Control 5.37 befasst sich mit dem Konzept der Informationssicherheit als betriebliche Tätigkeit, deren Bestandteile von einer oder mehreren Personen ausgeführt und/oder verwaltet werden.
Control 5.37 beschreibt eine Reihe von Betriebsabläufen, die eine gewährleisten Informationssicherheit der Organisation Die Anlage bleibt effizient und sicher und entspricht ihren dokumentierten Anforderungen.
Kontrolle 5.37 ist ein vorbeugend und korrigierend Kontrolliere das hält das Risiko aufrecht durch die Schaffung einer Datenbank von Verfahren, die mit einem verbunden sind Informationssicherheit der Organisation Aktivitäten.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv #Korrektur | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen #Genesen | #Vermögensverwaltung #Physische Sicherheit #System- und Netzwerksicherheit #Anwendungssicherheit #Sichere Konfiguration #Identitäts- und Zugriffsmanagement #Bedrohungs- und Schwachstellenmanagement #Kontinuität #Informationssicherheits-Ereignismanagement | #Governance und Ökosystem #Schutz #Verteidigung |
Kontrolle 5.37 befasst sich mit einer Vielzahl von Umständen, die das Potenzial haben, Folgendes einzubeziehen mehrere Abteilungen und Jobrollen im Rahmen dokumentierter Betriebsabläufe. Dennoch kann davon ausgegangen werden, dass die meisten Verfahren Auswirkungen auf das IKT-Personal, die Ausrüstung und die Systeme haben werden.
In diesem Fall sollte die Verantwortung bei einem hochrangigen Mitglied des Managementteams liegen, das für alle IKT-bezogenen Aktivitäten verantwortlich ist, beispielsweise einem IT-Leiter.
Wir sind kostengünstig und schnell
Für Aktivitäten im Zusammenhang mit der Informationssicherheit sollten Verfahren erstellt werden in Übereinstimmung mit 5 zentralen betrieblichen Überlegungen:
Wenn diese Fälle auftreten, sollten dokumentierte Betriebsabläufe Folgendes klar darlegen:
Alle oben genannten Verfahren sollten bei Bedarf regelmäßigen und/oder Ad-hoc-Überprüfungen unterzogen werden, wobei alle Änderungen zeitnah vom Management ratifiziert werden müssen, um die Informationssicherheitsaktivitäten im gesamten Unternehmen zu gewährleisten.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
27002:2022-5.37 ersetzt 27002:2013-12.1.1 (Dokumentierte Betriebsabläufe).
27002:2022-5.37 erweitert 27002:2013-12.1.1, indem es eine viel breitere Reihe von Umständen bietet, die die Einhaltung eines Dokumentenverfahrens rechtfertigen würden.
27002:2013-12.1.1 listet Informationsverarbeitungsaktivitäten wie Computer-Start- und -Abschaltvorgänge, Backup, Gerätewartung, Medienhandhabung auf, während 27002:2022-5.37 den Kontrollbereich auf allgemeine Aktivitäten ausdehnt, die nicht auf bestimmte beschränkt sind technische Funktionen.
Abgesehen von einigen kleineren Ergänzungen – wie der Kategorisierung der für eine Aktivität verantwortlichen Personen – enthält 27002:2022-5.37 die gleichen allgemeinen Leitlinien wie 27002:2013-12.1.1
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |