Kontrolle 5.10 besagt, dass die Regeln für die akzeptable Nutzung und Verfahren für den Umgang mit Informationen und anderen damit verbundenen Vermögenswerten identifiziert, dokumentiert und umgesetzt werden sollten.
Das Ziel solcher Richtlinien besteht darin, klare Richtlinien festzulegen, wie sich Benutzer bei der Arbeit mit Informationsressourcen verhalten sollten, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationssicherheitsressourcen der Organisation sicherzustellen.
Die Richtlinie zur akzeptablen Nutzung von Informationsressourcen (AUA) gilt für alle Mitglieder einer Organisation und alle Vermögenswerte, die der Organisation gehören oder von ihr betrieben werden. Das AUA gilt für alle Nutzungen von Informationsbeständen zu beliebigen Zwecken, einschließlich kommerzieller Zwecke.
Im Folgenden finden Sie Beispiele für Informationsressourcen:
Eine akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten bedeutet, dass Informationsressourcen auf eine Weise genutzt werden, die die Verfügbarkeit, Zuverlässigkeit oder Integrität von Daten, Diensten oder Ressourcen nicht gefährdet. Es bedeutet auch, sie auf eine Weise zu verwenden, die nicht gegen Gesetze oder die Richtlinien der Organisation verstößt.
The new ISO 27002:2022-Standard enthält Attributtabellen, die in der Version 2013 nicht enthalten sind. Attribute sind eine Möglichkeit, Steuerelemente zu klassifizieren.
Sie ermöglichen Ihnen außerdem, Ihre Steuerungsauswahl mit häufig verwendeten Branchenbegriffen und -spezifikationen abzugleichen. Die folgenden Steuerelemente sind in Steuerelement 5:10 verfügbar.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Asset-Management #Informationsschutz | #Governance und Ökosystem #Schutz |
Das übergeordnete Ziel davon Die Kontrolle besteht darin, Informationen und andere damit verbundene Vermögenswerte sicherzustellen angemessen geschützt, genutzt und gehandhabt werden.
Control 5.10 wurde entwickelt, um sicherzustellen, dass Richtlinien, Verfahren und technische Kontrollen vorhanden sind, um zu verhindern, dass Benutzer unangemessen auf Informationsbestände zugreifen, diese verwenden oder offenlegen.
Ziel dieser Kontrolle ist es, Organisationen einen Rahmen zu bieten, um dies sicherzustellen Informationen und andere Vermögenswerte angemessen geschützt, genutzt und gehandhabt werden. Dazu gehört die Sicherstellung, dass die Richtlinien und Verfahren auf allen Ebenen innerhalb der Organisation vorhanden sind, sowie die Sicherstellung, dass diese Richtlinien und Verfahren konsequent durchgesetzt werden.
Implementierung von Control 5.10 als Teil Ihres ISMS bedeutet dass Sie die verschiedenen Anforderungen im Zusammenhang mit dem Schutz von IT-Ressourcen in Ihrem Unternehmen erfüllt haben, darunter:
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
Wir haben angefangen, Tabellenkalkulationen zu verwenden, und es war ein Albtraum. Mit der ISMS.online-Lösung wurde die ganze harte Arbeit erleichtert.
Um die Anforderungen zu erfüllen Kontrolle 5.10 in ISO 27002:2022ist es wichtig, dass Mitarbeiter und externe Parteien, die die Informationen und andere damit verbundene Vermögenswerte der Organisation nutzen oder Zugriff darauf haben, sich der Informationssicherheitsanforderungen der Organisation bewusst sind.
Diese Personen sollten für alle Informationsverarbeitungseinrichtungen, die sie nutzen, zur Verantwortung gezogen werden.
Jeder, der an der Nutzung oder Handhabung von Informationen und anderen damit verbundenen Vermögenswerten beteiligt ist, sollte über die Richtlinien der Organisation zur akzeptablen Nutzung von Informationen und anderen damit verbundenen Vermögenswerten informiert werden.
Jeder, der an der Verwendung oder Handhabung von beteiligt ist Informationen und andere damit verbundene Vermögenswerte sollten über die Richtlinien der Organisation zur zulässigen Nutzung von Informationen und anderen damit verbundenen Vermögenswerten informiert werden. Im Rahmen einer themenspezifischen Nutzungsrichtlinie sollte das Personal genau wissen, was von ihm mit Informationen und anderen Vermögenswerten erwartet wird.
In der themenspezifischen Richtlinie sollte insbesondere Folgendes festgelegt werden:
a) erwartetes und inakzeptables Verhalten von Einzelpersonen aus Sicht der Informationssicherheit;
b) erlaubte und verbotene Nutzung von Informationen und anderen damit verbundenen Vermögenswerten;
c) Überwachung der von der Organisation durchgeführten Aktivitäten.
Für den gesamten Informationslebenszyklus sollten entsprechend seiner Klassifizierung und den ermittelten Risiken akzeptable Verwendungsverfahren erstellt werden. Folgende Punkte sollten berücksichtigt werden:
a) Zugangsbeschränkungen zur Unterstützung der Schutzanforderungen für jede Klassifizierungsstufe;
b) Führung einer Aufzeichnung der autorisierten Benutzer von Informationen und anderen damit verbundenen Vermögenswerten;
c) Schutz temporärer oder dauerhafter Kopien von Informationen auf einem Niveau, das mit dem vereinbar ist
Schutz der Originalinformationen;
d) Speicherung von mit Informationen verbundenen Vermögenswerten gemäß Herstellerspezifikationen;
e) Deutliche Kennzeichnung aller Kopien von Speichermedien (elektronisch oder physisch) zu Händen des
autorisierter Empfänger;
f) Genehmigung der Entsorgung von Informationen und anderen damit verbundenen Vermögenswerten sowie unterstützte Löschmethode(n).
Die neue Revision 2022 von ISO 27002 wurde am 15. Februar 2022 veröffentlicht und ist eine Aktualisierung von ISO 27002:2013.
Die Kontrolle 5.10 in ISO 27002:2022 ist keine neue Kontrolle, sondern eine Kombination der Kontrollen 8.1.3 – akzeptable Nutzung von Vermögenswerten und 8.2.3 – Umgang mit Vermögenswerten in ISO 27002:2013.
Während das Wesentliche und die Implementierungsrichtlinien der Kontrolle 5.10 mit den Kontrollen 8.1.3 und 8.2.3 relativ identisch sind, hat Kontrolle 5.10 sowohl die akzeptable Verwendung von Vermögenswerten als auch die Handhabung von Vermögenswerten in einer Kontrolle zusammengefasst, um eine verbesserte Benutzerfreundlichkeit zu ermöglichen.
Allerdings fügte Kontrolle 5.10 auch einen zusätzlichen Punkt zu Kontrolle 8.2.3 hinzu. Dies umfasst die Autorisierung der Entsorgung von Informationen und anderen damit verbundenen Vermögenswerten sowie die unterstützten Löschmethoden.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Die akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten ist eine Richtlinie, die Regeln festlegt, um die ordnungsgemäße Nutzung der Informationen und anderer damit verbundener Vermögenswerte des Unternehmens, einschließlich Computer, Netzwerke und Systeme, E-Mail, Dateien und Speichermedien, sicherzustellen. Diese Richtlinie ist für alle Mitarbeiter und Auftragnehmer bindend.
Der Zweck dieser Richtlinie besteht darin:
Der Information Security Officer (ISO) ist für die Entwicklung, Implementierung und Aufrechterhaltung der akzeptablen Nutzung von Informationsressourcen verantwortlich.
Die ISO ist für die Verwaltung der Nutzung von Informationsressourcen im gesamten Unternehmen verantwortlich, um sicherzustellen, dass Informationen auf eine Weise verwendet werden, die die Sicherheit und Integrität der Daten schützt, die Vertraulichkeit geschützter oder sensibler Informationen wahrt und vor Missbrauch und unbefugtem Zugriff auf die Datenverarbeitung schützt Ressourcen und eliminiert unnötige Belastungen oder Haftungen gegenüber der Organisation.
Die neue Norm ISO 27002:2022 stellt keine wesentliche Verbesserung dar. Daher müssen Sie möglicherweise keine wesentlichen Änderungen in Bezug auf die Einhaltung der neuesten Version von ISO 27002 vornehmen.
Bitte lesen Sie jedoch unseren Leitfaden zu ISO 27002:2022, in dem Sie mehr darüber erfahren können, wie sich diese Änderungen in Control 5.10 auf Ihr Unternehmen auswirken werden.
Wie Sie wissen, ist ISO 27002 ein weit verbreiteter und anerkannter Standard für Informationssicherheit.
Es bietet ein Modell für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Überprüfung, die Wartung und die Verbesserung eines Informationssicherheits-Managementsystem (ISMS).
Da der ISO 27002-Standard so umfassend und detailliert ist, kann seine Implementierung ein zeitaufwändiger Prozess sein. Aber mit ISMS.online, Sie haben eine Komplettlösung, die die Dinge viel einfacher macht.
Unsere Weltklasse Informationssicherheit Die Softwareplattform für Managementsysteme macht es sehr einfach zu verstehen, was getan werden muss und wie es zu tun ist.
Wir erleichtern Ihnen die Verwaltung Ihrer Compliance-Anforderungen.
Mit ISMS.online ist die Implementierung von ISO 27002 einfacher, da unsere Schritt-für-Schritt-Checkliste Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS bis hin zur Risikoidentifizierung und Kontrollimplementierung.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
