Ein wesentlicher Bestandteil des Betriebs mit einem robusten, sichere Reihe von Informationssicherheitspraktiken ist die Notwendigkeit, alle veröffentlichten Richtlinien und Verfahren einzuhalten.
Gemäß Control 5.36 müssen Organisationen von oben nach unten vorgehen Sicht der Informationssicherheit Compliance in Bezug auf die verschiedenen Richtlinien (sowohl einzelne als auch themenspezifische), Regeln und Standards.
Kontrolle 5.36 ist ein vorbeugend und korrigierend Kontrolliere das verändert das Risiko durch die Einhaltung bereits Bestehender Richtlinien und Verfahren im Rahmen der Informationssicherheit.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren #Schützen | #Recht und Compliance #Informationssicherheitsgewährleistung | #Governance und Ökosystem |
Control 5.36 befasst sich hauptsächlich mit betrieblichen Angelegenheiten. Daher sollte das Eigentum beim COO oder CISO (falls vorhanden) liegen.
Manager und Informationseigentümer (einschließlich Service- und Produktbesitzer) sollten in der Lage sein, die Einhaltung der gesamten Informationssicherheitsrichtlinien, -regeln und -standards einer Organisation zu überprüfen.
Manager sollten geschäftsspezifische Berichtsmethoden (einschließlich aller erforderlichen technischen Tools) zur Einhaltung der Informationssicherheit implementieren, mit dem übergeordneten Ziel, regelmäßige Überprüfungen durchzuführen – die gründlich aufgezeichnet, gespeichert und gemeldet werden –, die Verbesserungsmöglichkeiten aufzeigen.
Wenn Probleme entdeckt werden und Fälle von Nichteinhaltung festgestellt werden, sollten Manager in der Lage sein, Folgendes zu tun:
Korrekturmaßnahmen sollten „zeitnah“ ergriffen werden, idealerweise bis zur nächsten Überprüfung. Wenn Maßnahmen bis zur nächsten Überprüfung noch nicht abgeschlossen sind, sollten Manager zumindest Fortschritte nachweisen können.
27002:2022-5.36 ersetzt zwei Kontrollen aus 27002:2013, nämlich:
27002:2022-5.36 fasst alle komplexen technischen Leitlinien zusammen, die in 27002:2013-18.2.3 angeboten werden, indem es einfach feststellt, dass Manager in der Lage sein sollten, die Einhaltung zu überprüfen, wann immer dies erforderlich ist.
27002:2022-5.36 enthält genau die gleichen Leitpunkte wie 27002:2013-18.2.2 in Bezug auf Maßnahmen, die erforderlich sind wenn eine Überprüfung Fälle von Nichteinhaltung aufdeckt.
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |