5.23 ist eine neue Kontrolle, die die Prozesse beschreibt, die für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten in Bezug auf die Besonderheiten der Organisation erforderlich sind Anforderungen an die Informationssicherheit.
Mit Control 5.23 können Unternehmen zunächst festlegen und anschließend verwalten Informationssicherheit verwalten Konzepte im Zusammenhang mit Cloud-Diensten in ihrer Eigenschaft als „Cloud-Dienstleistungskunde“.
5.23 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Festlegung von Richtlinien und Verfahren, die regeln die Informationssicherheit, im Bereich kommerzieller Cloud-Dienste.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sicherheit von Lieferantenbeziehungen | #Governance und Ökosystem #Schutz |
Wir sind kostengünstig und schnell
Die Verbreitung von Cloud-Diensten im letzten Jahrzehnt ist so groß, dass Control 5.23 eine Vielzahl von Verfahren enthält, die viele verschiedene Elemente des Betriebs einer Organisation umfassen.
Angesichts der Tatsache, dass nicht alle Cloud-Dienste IKT-spezifisch sind – obwohl man vernünftigerweise behaupten könnte, dass dies bei den meisten der Fall ist – sollte das Eigentum an Control 5.22 zwischen den Organisationen einer Organisation aufgeteilt werden CTO or COO, abhängig von den vorherrschenden betrieblichen Umständen.
Zur Einhaltung von Control 5.23 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zu Cloud-Diensten und Informationssicherheit.
Angesichts der Vielfalt der angebotenen Cloud-Dienste ermutigen themenspezifische Ansätze Unternehmen dazu, Richtlinien für Cloud-Dienste zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine Pauschallösung zu halten Richtlinie, die für die Informationssicherheit gilt und Cloud-Dienste auf ganzer Linie.
Es ist zu beachten, dass ISO die Einhaltung von Control 5.23 als eine gemeinsame Anstrengung zwischen der Organisation und ihrem Cloud-Service-Partner betrachtet. Control 5.23 sollte auch eng an den Controls 5.21 und 5.22 ausgerichtet sein, die sich mit Informationen befassen Management in der Lieferkette bzw. das Management von Lieferantendienstleistungen.
Ganz gleich, für welche Vorgehensweise sich eine Organisation entscheidet, Control 5.23 sollte nicht isoliert betrachtet werden und bestehende Bemühungen ergänzen Lieferantenbeziehungen verwalten.
Da die Informationssicherheit an erster Stelle steht, sollte die Organisation Folgendes definieren:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Control 5.23 erkennt an, dass es sich bei Cloud-Service-Vereinbarungen im Gegensatz zu anderen Lieferantenbeziehungen um starre Dokumente handelt, die in den allermeisten Fällen nicht geändert werden können.
Vor diesem Hintergrund sollten Unternehmen Cloud-Service-Vereinbarungen genau unter die Lupe nehmen und sicherstellen, dass vier wesentliche betriebliche Anforderungen erfüllt sind:
Wie bei anderen Lieferantenverträgen sollten Cloud-Service-Verträge vor der Annahme einer Prüfung unterzogen werden gründliche Risikobewertung das potenzielle Probleme an der Quelle aufzeigt.
Als absolutes Minimum sollte die Organisation nur dann einen Cloud-Services-Vertrag abschließen, wenn sie davon überzeugt ist, dass die folgenden zehn Bestimmungen erfüllt sind:
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Zusätzlich zu den oben genannten Leitlinien schlägt Control 5.23 vor, dass Organisationen eine enge Zusammenarbeit mit Cloud-Service-Anbietern eingehen, entsprechend dem wichtigen Service, den sie nicht nur im Hinblick auf die Informationssicherheit, sondern für den gesamten kommerziellen Betrieb einer Organisation bereitstellen.
Organisationen sollten nach Möglichkeit die folgenden Bestimmungen von Cloud-Dienstanbietern einholen, um die betriebliche Belastbarkeit zu verbessern und ein höheres Maß an Informationssicherheit zu genießen:
Kontrolle 5.23 ist ein neue Steuerung das kommt in der ISO 27002:2013 in keiner Weise vor.
ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.
Wenn Sie ISMS.online nutzen, können Sie:
Nehmen Sie Kontakt auf und Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |