ISO 27002:2022Controle 5.4, Managementverantwoordelijkheden omvat de noodzaak voor het management om ervoor te zorgen dat al het personeel zich houdt aan alle onderwerpspecifieke beleidslijnen en procedures op het gebied van informatiebeveiliging, zoals gedefinieerd in het vastgestelde informatiebeveiligingsbeleid van de organisatie.
An informatiebeveiligingsbeleid is een formeel document dat managementrichting, doelen en principes biedt voor het beschermen van de informatie van een organisatie. Een effectief informatiebeveiligingsbeleid moet worden afgestemd op de specifieke behoeften van een organisatie en worden ondersteund door het senior management om een passende toewijzing van middelen te garanderen.
Het beleid communiceert de overkoepelende principes over hoe het management wil dat werknemers omgaan met gevoelige gegevens en hoe de bedrijf zal zijn informatiemiddelen beschermen.
Het beleid is vaak afgeleid van wet- en regelgeving en best practices waar de organisatie zich aan moet houden. Het informatiebeveiligingsbeleid wordt doorgaans opgesteld door het senior management van een organisatie, met inbreng van het IT-beveiligingspersoneel.
Beleid moet ook een raamwerk bevatten het definiëren van rollen en verantwoordelijkheden en een tijdlijn voor periodieke evaluatie.
Attributen zijn een manier om verschillende soorten besturingselementen te categoriseren. Met deze kenmerken kunt u uw bedieningselementen afstemmen op de industriestandaarden. In controle 5.4 zijn dit:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Bestuur | #Governance en ecosysteem |
ISMS.online bespaart u tijd en geld
Vraag uw offerte aanControle 5.4 is ontworpen om ervoor zorgen dat het management hun verantwoordelijkheid op het gebied van informatiebeveiliging begrijpt en dat zij stappen ondernemen om ervoor te zorgen dat alle medewerkers hiervan op de hoogte zijn en voldoen aan hun verplichtingen op het gebied van informatiebeveiliging.
Informatie is een waardevol bezit en moet worden beschermd tegen verlies, beschadiging of misbruik. De organisatie zorgt ervoor dat passende maatregelen worden genomen om dit bezit te beschermen. Om dit te laten gebeuren moet het management ervoor zorgen dat al het personeel het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid en de procedures van de organisatie toepast.
Beheersing 5.4 behandelt het doel en de implementatierichtlijnen voor het definiëren van de managementverantwoordelijkheid met betrekking tot informatiebeveiliging in een organisatie in overeenstemming met de kader van ISO 27001.
Bij deze controle gaat het erom dat te garanderen Het management is akkoord met het informatiebeveiligingsprogramma en dat alle werknemers en contractanten op de hoogte zijn van het informatiebeveiligingsbeleid van de organisatie en deze naleven. Niemand mag ooit worden vrijgesteld van verplichte naleving van het beveiligingsbeleid, het onderwerpspecifieke beleid en de procedures van de organisatie.
De sleutel om aan de vereisten van deze controle te voldoen is ervoor te zorgen dat het management al het relevante personeel kan dwingen zich te houden aan het informatiebeveiligingsbeleid, de normen en de procedures van de organisatie.
De eerste stap is management buy-in en ondersteuning. Het management moet zijn commitment tonen door al het beleid en de procedures die zij invoert, op te volgen. Bijvoorbeeld als u van werknemers verlangt dat zij jaarlijks een beveiligingsbewustzijn volgen opleidingenmoeten managers het goede voorbeeld geven en deze cursussen eerst voltooien.
Vervolgens komt het communiceren van het belang van informatiebeveiliging naar iedereen in het bedrijf, ongeacht hun rol. Dit omvat de raad van bestuur, het management en het management, maar ook de medewerkers. Iedereen moet zijn rol bij het in stand houden van de economie begrijpen beveiliging van gevoelige gegevens zoals gedekt door het ISMS van het bedrijf programma.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Sinds de migratie hebben we de tijd die we aan administratie besteden, kunnen terugdringen.
ISO 27002:2022-controle 5.4 Managementverantwoordelijkheden stonden voorheen bekend als controle. 7.2.1 Managementverantwoordelijkheden in ISO 27002:2013. Dit is geen nieuwe controle, maar een robuustere interpretatie van de versie uit 2013.
Hoewel controle 5.4 en controle 7.2.1 in grote lijnen hetzelfde behandelen, zijn er weinig verschillen waar organisaties en bedrijfsmanagers rekening mee moeten houden. Deze verschillen worden behandeld in de implementatierichtlijnen van de besturing.
In ISO 27002:2013 omvatten de managementverantwoordelijkheden het garanderen dat werknemers en contractanten:
a) zijn goed geïnformeerd over hun rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voordat toegang wordt verleend tot vertrouwelijke informatie of informatiesystemen;
b) worden voorzien van richtlijnen om de verwachtingen op het gebied van informatiebeveiliging ten aanzien van hun rol binnen de organisatie uiteen te zetten
Organisatie;
c) bent gemotiveerd om het informatiebeveiligingsbeleid van de organisatie te vervullen;
d) een niveau van bewustzijn op het gebied van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie;
e) conformeren aan de arbeidsvoorwaarden, waaronder het informatiebeveiligingsbeleid van de organisatie en passende werkwijzen vallen;
f) over de juiste vaardigheden en kwalificaties te blijven beschikken en regelmatig onderwijs te volgen;
g) zijn voorzien van een anoniem meldkanaal om schendingen van het informatiebeveiligingsbeleid of -procedures te melden (“klokkenluiden”).
Het management moet blijk geven van steun voor het informatiebeveiligingsbeleid, de procedures en de controles, en als rolmodel optreden.
Control 5.4 is een gebruiksvriendelijkere versie en vereist dat management verantwoordelijkheden zorgt ervoor dat werknemers en opdrachtnemers:
a) goed zijn geïnformeerd over hun rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voordat zij toegang krijgen tot de informatie van de organisatie en andere bijbehorende bedrijfsmiddelen;
b) Worden voorzien van richtlijnen waarin de informatiebeveiligingsverwachtingen van hun rol binnen de organisatie worden vermeld;
c) Zijn gemandateerd om het informatiebeveiligingsbeleid en het onderwerpspecifieke beleid van de organisatie uit te voeren;
d) Een niveau van bewustzijn van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie;
e) Naleving van de arbeidsvoorwaarden, contract of overeenkomst, waaronder het informatiebeveiligingsbeleid van de organisatie en passende werkwijzen;
f) Blijven beschikken over de juiste vaardigheden en kwalificaties op het gebied van informatiebeveiliging door middel van voortgezette beroepsopleiding;
g) Waar praktisch uitvoerbaar, worden zij voorzien van een vertrouwelijk kanaal voor het melden van schendingen van het informatiebeveiligingsbeleid, onderwerpspecifiek beleid of procedures voor informatiebeveiliging (“klokkenluiders”). Dit kan anonieme meldingen mogelijk maken, of er kunnen voorzieningen in worden opgenomen om ervoor te zorgen dat kennis van de identiteit van de melder alleen bekend is bij degenen die dergelijke meldingen moeten behandelen;
h) Krijgen voldoende middelen en projectplanningstijd voor het implementeren van de beveiligingsgerelateerde processen en controles van de organisatie.
Zoals u kunt zien vereist ISO 27002:2022 specifiek dat werknemers en aannemers, om de veiligheidsgerelateerde procedures en controles van de organisatie uit te voeren, worden voorzien van de nodige middelen en projectplanningstijd.
De bewoordingen in sommige implementatierichtlijnen van ISO 27002:2013 versus ISO 27002:2020 werden ook beïnvloed. Waar richtlijn C uit de versie uit 2013 stelt dat werknemers en opdrachtnemers ‘gemotiveerd’ moeten zijn om het ISMS-beleid van het bedrijf over te nemen, wordt in 2022 het woord ‘gemandeerd’ gebruikt.
Het antwoord op deze vraag is vrij eenvoudig: het management! Het is de verantwoordelijkheid van het management om ervoor te zorgen dat een goed ISMS (Information Security Management System) wordt geïmplementeerd.
Normaal gesproken wordt dit ondersteund door de benoeming van een voldoende gekwalificeerde en ervaren informatiebeveiligingsmanager, die verantwoording zal afleggen aan het senior management voor het ontwikkelen, implementeren, beheren en voortdurend verbeteren van het ISMS.
Een van de grootste uitdagingen bij het implementeren van een ISO 27001-uitgelijnd ISMS houdt toezicht op uw informatiebeveiligingscontroles. Ons systeem maakt dit eenvoudig.
Wij begrijpen het belang van bescherming van de gegevens van uw organisatie en reputatie. Daarom is ons cloudgebaseerde platform ontworpen om de implementatie van ISO 27001 te vereenvoudigen, u een robuust raamwerk van informatiebeveiligingscontroles te bieden en u te helpen certificering te behalen met minimale middelen en tijd.
We hebben een aantal gebruiksvriendelijke toegevoegd functies en toolkits in ons platform om u tijd te besparen en te garanderen dat u een echt robuust ISMS creëert. Met ISMS.online, kunt u eenvoudig de ISO 27001-certificering verkrijgen en deze daarna eenvoudig beheren.
Boek een demo <p></p>
ISMS.online is een
one-stop-oplossing die onze implementatie radicaal heeft versneld.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
