Was ist Kontrolle 5.10, akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten?
Die Richtlinie zur akzeptablen Nutzung von Informationsressourcen (AUA) gilt für alle Mitglieder einer Organisation und alle Vermögenswerte, die der Organisation gehören oder von ihr betrieben werden. Das AUA gilt für alle Nutzungen von Informationsbeständen zu beliebigen Zwecken, einschließlich kommerzieller Zwecke.
Im Folgenden finden Sie Beispiele für Informationsressourcen:
- Hardware: Computer, Mobilgeräte, Telefone und Faxgeräte.
- Software: Betriebssysteme, Anwendungen (einschließlich webbasierter Apps), Dienstprogramme, Firmware und Programmiersprachen.
- Datum: strukturierte Daten in relationalen Datenbanken, Flatfiles und NoSQL-Daten; unstrukturierte Daten wie Textdokumente, Tabellenkalkulationen, Bilder, Video- und Audiodateien; Datensätze in jedem Format.
- Netzwerke: kabelgebundene und kabellose Netzwerke; Telekommunikationssysteme; Voice-over-IP-Dienste.
- Leistungen: Cloud-Dienste, E-Mail-Konten und andere gehostete Dienste.
Eine akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten bedeutet, dass Informationsressourcen auf eine Weise genutzt werden, die die Verfügbarkeit, Zuverlässigkeit oder Integrität von Daten, Diensten oder Ressourcen nicht gefährdet. Es bedeutet auch, sie auf eine Weise zu verwenden, die nicht gegen Gesetze oder die Richtlinien der Organisation verstößt.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Kontrollattribute 5.10
The new ISO 27002:2022-Standard enthält Attributtabellen, die in der Version 2013 nicht enthalten sind. Attribute sind eine Möglichkeit, Steuerelemente zu klassifizieren.
Sie ermöglichen Ihnen außerdem, Ihre Steuerungsauswahl mit häufig verwendeten Branchenbegriffen und -spezifikationen abzugleichen. Die folgenden Steuerelemente sind in Steuerelement 5:10 verfügbar.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Vermögensverwaltung | #Governance und Ökosystem |
| #Integrität | #Informationsschutz | #Schutz | ||
| #Verfügbarkeit |
Was ist der Zweck der Kontrolle 5.10?
Das übergeordnete Ziel davon Die Kontrolle besteht darin, Informationen und andere damit verbundene Vermögenswerte sicherzustellen angemessen geschützt, genutzt und gehandhabt werden.
Control 5.10 wurde entwickelt, um sicherzustellen, dass Richtlinien, Verfahren und technische Kontrollen vorhanden sind, um zu verhindern, dass Benutzer unangemessen auf Informationsbestände zugreifen, diese verwenden oder offenlegen.
Ziel dieser Kontrolle ist es, Organisationen einen Rahmen zu bieten, um dies sicherzustellen Informationen und andere Vermögenswerte angemessen geschützt, genutzt und gehandhabt werden. Dazu gehört die Sicherstellung, dass die Richtlinien und Verfahren auf allen Ebenen innerhalb der Organisation vorhanden sind, sowie die Sicherstellung, dass diese Richtlinien und Verfahren konsequent durchgesetzt werden.
Implementierung von Control 5.10 als Teil Ihres ISMS bedeutet dass Sie die verschiedenen Anforderungen im Zusammenhang mit dem Schutz von IT-Ressourcen in Ihrem Unternehmen erfüllt haben, darunter:
- Der Schutz von Informationen bei der Speicherung, Verarbeitung und Übertragung.
- Der Schutz und die angemessene Nutzung von IT-Geräten.
- Der Einsatz geeigneter Authentifizierungsdienste zur Kontrolle des Zugriffs auf Informationssysteme.
- Die Verarbeitung von Informationen innerhalb einer Organisation nur durch Benutzer mit entsprechender Berechtigung.
- Die Bereitstellung von Informationen im Zusammenhang mit Verantwortlichkeiten gegenüber bestimmten Personen oder Rollen.
- Die Aufklärung und Schulung der Benutzer hinsichtlich ihrer Sicherheitsverantwortung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Was dazugehört und wie man die Anforderungen erfüllt
Um die Anforderungen zu erfüllen Kontrolle 5.10 in ISO 27002:2022ist es wichtig, dass Mitarbeiter und externe Parteien, die die Informationen und andere damit verbundene Vermögenswerte der Organisation nutzen oder Zugriff darauf haben, sich der Informationssicherheitsanforderungen der Organisation bewusst sind.
Diese Personen sollten für alle Informationsverarbeitungseinrichtungen, die sie nutzen, zur Verantwortung gezogen werden.
Jeder, der an der Nutzung oder Handhabung von Informationen und anderen damit verbundenen Vermögenswerten beteiligt ist, sollte über die Richtlinien der Organisation zur akzeptablen Nutzung von Informationen und anderen damit verbundenen Vermögenswerten informiert werden.
Jeder, der an der Verwendung oder Handhabung von beteiligt ist Informationen und andere damit verbundene Vermögenswerte sollten über die Richtlinien der Organisation zur zulässigen Nutzung von Informationen und anderen damit verbundenen Vermögenswerten informiert werden. Im Rahmen einer themenspezifischen Nutzungsrichtlinie sollte das Personal genau wissen, was von ihm mit Informationen und anderen Vermögenswerten erwartet wird.
In der themenspezifischen Richtlinie sollte insbesondere Folgendes festgelegt werden:
a) erwartetes und inakzeptables Verhalten von Einzelpersonen aus Sicht der Informationssicherheit;
b) erlaubte und verbotene Nutzung von Informationen und anderen damit verbundenen Vermögenswerten;
c) Überwachung der von der Organisation durchgeführten Aktivitäten.
Für den gesamten Informationslebenszyklus sollten entsprechend seiner Klassifizierung und den ermittelten Risiken akzeptable Verwendungsverfahren erstellt werden. Folgende Punkte sollten berücksichtigt werden:
a) Zugangsbeschränkungen zur Unterstützung der Schutzanforderungen für jede Klassifizierungsstufe;
b) Führung einer Aufzeichnung der autorisierten Benutzer von Informationen und anderen damit verbundenen Vermögenswerten;
c) Schutz temporärer oder dauerhafter Kopien von Informationen auf einem Niveau, das mit dem vereinbar ist
Schutz der Originalinformationen;
d) Speicherung von mit Informationen verbundenen Vermögenswerten gemäß Herstellerspezifikationen;
e) Deutliche Kennzeichnung aller Kopien von Speichermedien (elektronisch oder physisch) zu Händen des
autorisierter Empfänger;
f) Genehmigung der Entsorgung von Informationen und anderen damit verbundenen Vermögenswerten sowie unterstützte Löschmethode(n).
Unterschiede zwischen ISO 27002:2013 und ISO 27002:2022
Die neue Revision 2022 von ISO 27002 wurde am 15. Februar 2022 veröffentlicht und ist eine Aktualisierung von ISO 27002:2013.
Die Kontrolle 5.10 in ISO 27002:2022 ist keine neue Kontrolle, sondern eine Kombination der Kontrollen 8.1.3 – akzeptable Nutzung von Vermögenswerten und 8.2.3 – Umgang mit Vermögenswerten in ISO 27002:2013.
Während das Wesentliche und die Implementierungsrichtlinien der Kontrolle 5.10 mit den Kontrollen 8.1.3 und 8.2.3 relativ identisch sind, hat Kontrolle 5.10 sowohl die akzeptable Verwendung von Vermögenswerten als auch die Handhabung von Vermögenswerten in einer Kontrolle zusammengefasst, um eine verbesserte Benutzerfreundlichkeit zu ermöglichen.
Allerdings fügte Kontrolle 5.10 auch einen zusätzlichen Punkt zu Kontrolle 8.2.3 hinzu. Dies umfasst die Autorisierung der Entsorgung von Informationen und anderen damit verbundenen Vermögenswerten sowie die unterstützten Löschmethoden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wer ist für diesen Prozess verantwortlich?
Die akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten ist eine Richtlinie, die Regeln festlegt, um die ordnungsgemäße Nutzung der Informationen und anderer damit verbundener Vermögenswerte des Unternehmens, einschließlich Computer, Netzwerke und Systeme, E-Mail, Dateien und Speichermedien, sicherzustellen. Diese Richtlinie ist für alle Mitarbeiter und Auftragnehmer bindend.
Der Zweck dieser Richtlinie besteht darin:
- Stellen Sie sicher, dass die Informationen des Unternehmens und andere damit verbundene Vermögenswerte nur für legitime Geschäftszwecke verwendet werden.
- Stellen Sie sicher, dass die Mitarbeiter alle Gesetze und Vorschriften zur Informationssicherheit einhalten.
- Schützen Sie die Informationen des Unternehmens und andere damit verbundene Vermögenswerte vor Bedrohungen, die von innerhalb oder außerhalb des Unternehmens ausgehen.
Der Information Security Officer (ISO) ist für die Entwicklung, Implementierung und Aufrechterhaltung der akzeptablen Nutzung von Informationsressourcen verantwortlich.
Die ISO ist für die Verwaltung der Nutzung von Informationsressourcen im gesamten Unternehmen verantwortlich, um sicherzustellen, dass Informationen auf eine Weise verwendet werden, die die Sicherheit und Integrität der Daten schützt, die Vertraulichkeit geschützter oder sensibler Informationen wahrt und vor Missbrauch und unbefugtem Zugriff auf die Datenverarbeitung schützt Ressourcen und eliminiert unnötige Belastungen oder Haftungen gegenüber der Organisation.
Was bedeuten diese Veränderungen für Sie?
Die neue Norm ISO 27002:2022 stellt keine wesentliche Verbesserung dar. Daher müssen Sie möglicherweise keine wesentlichen Änderungen in Bezug auf die Einhaltung der neuesten Version von ISO 27002 vornehmen.
Bitte lesen Sie jedoch unseren Leitfaden zu ISO 27002:2022, in dem Sie mehr darüber erfahren können, wie sich diese Änderungen in Control 5.10 auf Ihr Unternehmen auswirken werden.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
Wie Sie wissen, ist ISO 27002 ein weit verbreiteter und anerkannter Standard für Informationssicherheit.
Es bietet ein Modell für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Überprüfung, die Wartung und die Verbesserung eines Informationssicherheits-Managementsystem (ISMS).
Da der ISO 27002-Standard so umfassend und detailliert ist, kann seine Implementierung ein zeitaufwändiger Prozess sein. Aber mit ISMS.online, Sie haben eine Komplettlösung, die die Dinge viel einfacher macht.
Unsere Weltklasse Informationssicherheit Die Softwareplattform für Managementsysteme macht es sehr einfach zu verstehen, was getan werden muss und wie es zu tun ist.
Wir erleichtern Ihnen die Verwaltung Ihrer Compliance-Anforderungen.
Mit ISMS.online ist die Implementierung von ISO 27002 einfacher, da unsere Schritt-für-Schritt-Checkliste Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS bis hin zur Risikoidentifizierung und Kontrollimplementierung.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
