ISO 27002-Kontrolle 5.35: Warum unabhängige Sicherheitsüberprüfungen wichtig sind
Informationssicherheit ist ein zentraler Aspekt der Datenverwaltung einer Organisation Praktiken.
So sehr, dass es notwendig ist, Selbstgefälligkeit zu beseitigen, indem man regelmäßig unabhängige Überprüfungen darüber durchführt, wie eine Organisation die Menschen, Prozesse und Technologien verwaltet, die an der Aufrechterhaltung eines Unternehmens beteiligt sind effektive Informationssicherheit Erfassung sind.
Zweck der Kontrolle 5.35
Control 5.35 verlangt von Organisationen, unabhängige Überprüfungen ihrer Informationssicherheitspraktiken durchzuführen – sowohl in geplanten Abständen als auch bei größeren betrieblichen Änderungen – um sicherzustellen, dass die Richtlinien für das Informationssicherheitsmanagement:
- Ausreichend – Sie haben die Fähigkeit, die Einhaltung zu erreichen
- Geeignet – Sie versuchen, die richtigen Ziele zu erreichen
- Effektiv – Sie funktionieren wie vorgesehen
Attributtabelle
Kontrolle 5.35 ist ein vorbeugend und korrigierend Kontrolliere das hält das Risiko aufrecht durch die Schaffung von Prozessen, die regelmäßige Überprüfungen der Informationssicherheitsmanagementpraktiken einer Organisation ermöglichen.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Informationssicherheitsgewährleistung | #Governance und Ökosystem |
| #Korrektur | #Integrität | #Schützen | ||
| #Verfügbarkeit |
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Eigentum an der Kontrolle 5.35
Control 5.35 befasst sich hauptsächlich mit betrieblichen Angelegenheiten. Daher sollte das Eigentum beim COO oder CISO (falls vorhanden) liegen.
Allgemeine Leitlinien zur Kontrolle 5.35
Das übergeordnete Ziel ist für Das Management muss Prozesse erstellen und implementieren, die eine unabhängige Überprüfung der Informationssicherheit ermöglichen Praktiken.
Bewertungen sollten sich auf alle vorgenommenen Änderungen konzentrieren erforderlich, um den Ansatz einer Organisation zur Informationssicherheit zu verbesserndarunter:
- Die Informationssicherheitspolitik.
- Themenspezifische Richtlinien.
- Verwandte Steuerelemente.
Jede Überprüfung sollte von einer Person innerhalb oder außerhalb der Organisation durchgeführt werden, die kein persönliches Interesse an dem hat, was sie untersucht, wie zum Beispiel:
- Interne Auditoren.
- Unabhängige Abteilungsleiter.
- Drittorganisationen.
Wer auch immer die Überprüfung durchführt, sollte über die entsprechenden Kenntnisse verfügen operative Kompetenz ein fundiertes Urteil über ihre Ergebnisse zu fällen, und (im Fall interner Mitarbeiter) ihre berufliche Rolle sollte sie nicht daran hindern, eine gültige und legitime Beurteilung vorzunehmen.
Die Ergebnisse der Überprüfung sollten sorgfältig aufgezeichnet, gespeichert und dem Manager (oder den Gruppen von Managern) gemeldet werden, der sie angefordert hat, und in bestimmten Fällen der C-Suite-Ebene oder dem Eigentümer.
Prüfer sollten versuchen festzustellen, ob die Informationssicherheitspraktiken mit den „dokumentierten Zielen und Anforderungen“ der Organisation in der Informationssicherheitsrichtlinie oder anderen themenspezifischen Richtlinien vereinbar sind.
Neben regelmäßigen Überprüfungen kann es erforderlich sein, Ad-hoc-Überprüfungen einzuleiten. Diese Bewertungen können in fünf Schlüsselbereichen gerechtfertigt werden:
- Alle Gesetze, Richtlinien oder Vorschriften werden geändert, die sich auf die Informationssicherheitsmaßnahmen der Organisation auswirken.
- Dur Es kommt zu Vorfällen, die Auswirkungen auf die Informationssicherheit haben (Datenverlust, Einbruch usw.).
- Es wird ein neues Unternehmen gegründet oder es werden wesentliche Änderungen am bestehenden Unternehmen vorgenommen.
- Die Eine Organisation führt ein neues Produkt oder eine neue Dienstleistung ein, die über Informationssicherheit verfügt Auswirkungen hat oder grundlegende Änderungen an einem aktuellen Produkt oder einer aktuellen Dienstleistung vornimmt.
- Es werden wesentliche Änderungen an den Informationssicherheitskontrollen, -richtlinien und -verfahren der Organisation vorgenommen.
Ergänzende Anleitung
ISO / IEC 27007 und ISO/IEC TS 27008 enthalten weitere Leitlinien zur Praxis unabhängiger Überprüfungen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022-5.35 ersetzt 27002:2013-18.1.2 (Unabhängige Überprüfung der Informationssicherheit).
27002:2022-5.35 enthält die gleichen allgemeinen Leitlinien wie 27002:2013-18.1.2, geht jedoch noch einen Schritt weiter und legt konkrete Beispiele dafür fest, wann eine Organisation neben ihren regelmäßigen Überprüfungen auch Ad-hoc-Überprüfungen durchführen sollte.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.
Wenn Sie Nutzen Sie ISMS.online, können Sie:
Erstellen Sie ein ISMS, das kompatibel ist mit ISO 27001
Standards.
Führen Sie Aufgaben aus und legen Sie den Nachweis vor, dass sie die Anforderungen der Norm erfüllt haben.
Aufgaben zuweisen und Fortschritte bei der Einhaltung der Gesetze verfolgen.
Erhalten Sie Zugang zu einem spezialisierten Beraterteam, das Sie auf Ihrem Weg zur Compliance unterstützt.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
