וואָס איז קאָנטראָל 5.2: אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז?
יסאָ קסנומקס: קסנומקס, קאָנטראָל 5.2 - אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז - איז איינער פון די מערסט וויכטיק קאָנטראָלס אין ISO 27002:2022. עס איז אַ מאָדיפיקאַטיאָן פון קאָנטראָל 6.1.1 אין ISO 27002:2013 און דיפיינז ווי אָרגאַנאַזיישאַנז זאָל דעפינירן און אַלאַקייט אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז.
אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז דערקלערט
דער הויפּט פון דער אָרגאַניזאַציע, די הויפּט אינפֿאָרמאַציע זיכערהייט אָפיציר (CISOs), די IT סערוויס פאַרוואַלטונג (ITSMs), די סיסטעם אָונערז און די סיסטעם ניצערס אַלע ביישטייערן צו די ראָובאַסטנאַס פון אינפֿאָרמאַציע זיכערהייט. דער אָפּטיילונג סאַמערייזיז און דיסקאַסט די ריספּאַנסאַבילאַטיז פון די וואס האַלטן די ראָלעס.
דער פירער פון דער אָרגאַניזאַציע טראגט די בראַנט פון די ריספּאַנסאַבילאַטיז
אינפֿאָרמאַציע זיכערהייט איז דיין פֿאַראַנטוואָרטלעכקייט ווי דער סעאָ פון דיין אַגענטור. אין אַדישאַן, איר דינען ווי די אַקרעדיטינג גוף פון דער אָרגאַניזאַציע.
אינפֿאָרמאַציע זיכערהייט איז די פֿאַראַנטוואָרטלעכקייט פון די סיסאָ
גוט פּראַקטיסיז אין די זיכערהייט סעקטאָר און אין גאַווערנאַנס זענען וואָס CISOs זענען פאַראַנטוואָרטלעך פֿאַר. ווייל דעם שטעלע אין פּלאַץ געראַנטיז אַז אינפֿאָרמאַציע זיכערהייט איז רעכט געראטן אין די העכסטן לעוועלס פון דער אָרגאַניזאַציע.
IT סערוויס פאַרוואַלטונג (ITSM) איז פאַראַנטוואָרטלעך פֿאַר ימפּלאַמענינג זיכערהייט מיטלען און צושטעלן עקספּערטיז
אַן ITSM איז אַ הויך-ראַנגקט באַאַמטער אין די פירמע. סיסטעם אַדמיניסטראַטאָרס אַרבעטן אין קאַנדזשאַנגקשאַן מיט די הויפּט אינפֿאָרמאַציע זיכערהייט אָפיציר צו דורכפירן די סטראַטידזשיק דיירעקטיווז פון די הויפּט יגזעקיאַטיוו.
אָונערז פון סיסטעמען זענען פאַראַנטוואָרטלעך פֿאַר מיינטיינינג און אַפּערייטינג זיי
אַ באַזיצער איז פארלאנגט פֿאַר יעדער סיסטעם. ווי אַ רעזולטאַט, עס איז אַבליידזשד אויף יעדער סיסטעם באַזיצער צו גאַראַנטירן אַדכיראַנס צו IT גאַווערנאַנס כּללים און מקיים פון געשעפט באדערפענישן.
סיסטעם ניצערס באַוואָרענען סיסטעמען דורך אַדכירינג צו פּאַלאַסיז און פּראָוסידזשערז
סיסטעם ניצערס זענען מער מסתּמא צו אַדכיר צו זיכערהייט כּללים און פּראָוסידזשערז אויב עס איז אַ שטאַרק זיכערהייט קולטור אין פּלאַץ. יעדער סיסטעם האט איינגעווארפענע געפארן, און עס איז אויף די באנוצער צו נעמען פאראנטווארטליכקייט פאר פארמינערן אזעלכע סכנות.
אַדרעסינג דעם קאָנטראָל איז קריטיש פֿאַר ינשורינג אַז יעדער אָנגעשטעלטער פארשטייט וואָס זיי זענען פאַראַנטוואָרטלעך פֿאַר ווען עס קומט צו באַשיצן דאַטן, סיסטעמען און נעטוואָרקס. אַדמיטאַד, דאָס איז אַ אַרויסרופן פֿאַר פילע קאָמפּאַניעס, ספּעציעל קליין אָנעס ווו די עמפּלוייז טיפּיקלי טראָגן מער ווי איין הוט.
אַטריביוץ טאַבלע פון קאָנטראָל 5.2
אַ אַטריביוץ אָפּטיילונג איז איצט אַרייַנגערעכנט אין די לעצטע ווערסיע פון ISO 27002. דעפינירן אַטריביוץ איז אַ וועג צו קלאַסיפיצירן קאָנטראָלס. די אַלאַוז איר צו לייכט גלייַכן דיין קאָנטראָל סעלעקציע מיט טיפּיש ינדאַסטרי טערמינאָלאָגיע. די אַטריביוץ פֿאַר קאָנטראָל 5.2 זענען:
| קאָנטראָל טיפּע | אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס | סייבערסעקוריטי קאַנסעפּס | אַפּעריישאַנאַל קייפּאַבילאַטיז | זיכערהייַט דאָומיינז |
|---|---|---|---|---|
| # פּרעווענטיוו | #מיט זיכערקייט | # אידענטיפיצירן | # גאַווערנאַנס | # גאַווערנאַנס און יקאָוסיסטאַם |
| # אָרנטלעכקייַט | # ריזיליאַנס | |||
| # אַוואַילאַביליטי |
ISO 27001 געמאַכט גרינג
א 81% פֿאָרשפּרונג פֿון טאָג איינס
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
וואָס איז דער ציל פון קאָנטראָל 5.2?
דער ציל פון קאָנטראָל 5.2 איז צו פאַרלייגן אַ דיפיינד, באוויליקט און פארשטאנען סטרוקטור פֿאַר די ימפּלאַמענטיישאַן, אָפּעראַציע און פאַרוואַלטונג פון אינפֿאָרמאַציע זיכערהייט אין דער אָרגאַניזאַציע. דאָס איז אַ פאָרמאַל אָרגאַנאַזיישאַנאַל סטרוקטור וואָס אַסיינז פֿאַראַנטוואָרטלעכקייט פֿאַר אינפֿאָרמאַציע זיכערהייט איבער דער אָרגאַניזאַציע.
קאָנטראָל 5.2 דערקלערט
קאָנטראָל 5.2 אַדרעסז די ימפּלאַמענטיישאַן, אָפּעראַציע און פאַרוואַלטונג פון ראָלעס און ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט אין אַן אָרגאַניזאַציע לויט די פריימווערק ווי דיפיינד דורך ISO 27001.
די קאָנטראָל זאגט אַז אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז זאָל זיין געזונט דיפיינד און אַז אַלעמען ינוואַלווד זאָל פֿאַרשטיין זייער ראָלע. טיפּיקאַללי, אַסעץ זענען אַסיינד אַ דעזיגנייטיד באַזיצער וואָס אַסומז פֿאַראַנטוואָרטלעכקייט פֿאַר זייער טאָג-צו-טאָג זאָרגן.
אָבער, דיפּענדינג אויף די גרייס פון דער אָרגאַניזאַציע און די בנימצא רעסורסן, אינפֿאָרמאַציע זיכערהייט קענען זיין כאַנדאַלד דורך אַ דעדאַקייטאַד מאַנשאַפֿט אָדער נאָך ריספּאַנסאַבילאַטיז אַסיינד צו קראַנט עמפּלוייז.
וואָס איז ינוואַלווד און ווי צו טרעפן די רעקווירעמענץ
אַלאַקייטינג ראָלעס און ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט איז קריטיש פֿאַר ינשורינג אַז די אינפֿאָרמאַציע זיכערהייט פון דער אָרגאַניזאַציע איז מיינטיינד און ימפּרוווד. צו טרעפן די רעקווירעמענץ פֿאַר דעם קאָנטראָל, די אַלאַקיישאַן פון ראָלעס זאָל זיין פאָרמאַלייזד און דאַקיומענטאַד, למשל, אין אַ טיש פאָרעם אָדער אין די פאָרעם פון אַן אָרגאַנאַזיישאַנאַל טשאַרט.
- די אָרגאַניזאַציע זאָל דעפינירן די ריספּאַנסאַבילאַטיז און אַקאַונטאַביליטיז פֿאַר אינפֿאָרמאַציע זיכערהייט אין דער אָרגאַניזאַציע און באַשטימען זיי צו ספּעציפיש פאַרוואַלטונג אַרבעט פאַנגקשאַנז אָדער ראָלעס.
- דער קאָנטראָל זאָל ענשור אַז עס איז קלעריטי אין אַכטונג צו די פאַרשידן ראָלעס און ריספּאַנסאַבילאַטיז אין דער אָרגאַניזאַציע, צו ענשור אַז די צונעמען פאַרוואַלטונג ופמערקזאַמקייט איז באַצאָלט צו אינפֿאָרמאַציע זיכערהייט.
- ווען צונעמען, ווייַטער טריינינג פֿאַר יחיד זייטלעך און אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז זאָל זיין צוגעשטעלט צו מקיים די פליכט.
דער כוונה דאָ איז צו ענשור אַז קלאָר ראָלעס, ריספּאַנסאַבילאַטיז און אויטאריטעטן זענען אַסיינד און פארשטאנען איבער די אָרגאַניזאַציע. אין סדר צו ענשור עפעקטיוו סעגרעגאַציע פון דוטיז, די ראָלעס און ריספּאַנסאַבילאַטיז זאָל זיין דאַקיומענטאַד, קאַמיונאַקייטיד און קאַנסיסטאַנטלי געווענדט אַריבער די אָרגאַניזאַציע.
פאַרוואַלטן אַלע אייערע קאָנפאָרמאַנס, אַלץ אין איין אָרט
ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.
דיפעראַנסיז צווישן ISO 27002:2013 און 27002:2022
ווי שוין אנגעוויזן, קאָנטראָל 5.2 אין ISO 27002:2022, אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז, איז נישט אַ נייַע קאָנטראָל. דאָס איז פשוט אַ מאַדאַפייד קאָנטראָל געפֿונען אין ISO 27002:2013 ווי קאָנטראָל 6.1.1.
דער ציל פון קאָנטראָל 5.2 איז דיפיינד, און נייַע ימפּלאַמענטיישאַן אינסטרוקציעס זענען אַרייַנגערעכנט אין די לעצטע רעוויזיע פון ISO 27002. כאָטש די עסאַנס פון די צוויי קאָנטראָלס זענען בייסיקלי די זעלבע, עס זענען קליין ימפּרווומאַנץ אין די 2022 ווערסיע.
פֿאַר בייַשפּיל, ISO 27002: 2022 זאגט אַז מענטשן וואָס יבערנעמען אַ ספּעציפיש אינפֿאָרמאַציע זיכערהייט פֿונקציע זאָל זיין קאָמפּעטענט אין די וויסן און סקילז פארלאנגט דורך די ראָלע און געשטיצט צו בלייַבן אַרויף צו גיכקייַט מיט אַדוואַנסיז לינגקט צו די ראָלע און נייטיק צו מקיים די אַבלאַגיישאַנז פון די ראָלע. דעם פונט איז נישט אַ טייל פון די 2013 ווערסיע.
אין דערצו, די ימפּלאַמענטיישאַן גיידליינז פון ביידע ווערסיעס זענען אַ ביסל אַנדערש. זאל אונדז פאַרגלייַכן סעקשאַנז פון די צוויי אונטן:
ISO 27002:2013 זאגט אַז די געביטן פֿאַר וואָס מענטשן זענען פאַראַנטוואָרטלעך זאָל זיין סטייטיד. די שטחים זענען:
a) די אַסעץ און אינפֿאָרמאַציע זיכערהייט פּראַסעסאַז זאָל זיין יידענאַפייד און דיפיינד;
b) די ענטיטי פאַראַנטוואָרטלעך פֿאַר יעדער אַסעט אָדער אינפֿאָרמאַציע זיכערהייט פּראָצעס זאָל זיין אַסיינד און די דעטאַילס פון דעם פֿאַראַנטוואָרטלעכקייט זאָל זיין דאַקיומענטאַד;
c) דערלויבעניש לעוועלס זאָל זיין דיפיינד און דאַקיומענטאַד;
d) צו קענען מקיים פֿאַראַנטוואָרטלעכקייט אין די אינפֿאָרמאַציע זיכערהייט געגנט, די באשטימט מענטשן זאָל זיין קאָמפּעטענט אין דער געגנט און באַקומען אַפּערטונאַטיז צו האַלטן זיך מיט דיוועלאַפּמאַנץ;
e) קאָואָרדאַניישאַן און פאַרזע פון אינפֿאָרמאַציע זיכערהייט אַספּעקץ פון סאַפּלייער באציונגען זאָל זיין יידענאַפייד און דאַקיומענטאַד.
ISO 27002:2022 איז מער קאַנדענסט. עס פשוט שטאַטן אַז די אָרגאַניזאַציע זאָל דעפינירן און פירן ריספּאַנסאַבילאַטיז פֿאַר:
a) שוץ פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ;
b) דורכפירן ספּעציפיש אינפֿאָרמאַציע זיכערהייט פּראַסעסאַז;
c) אינפֿאָרמאַציע זיכערהייט ריזיקירן פאַרוואַלטונג אַקטיוויטעטן און אין באַזונדער אַקסעפּטאַנס פון ריזידזשואַל ריסקס (למשל צו ריזיקירן אָונערז);
d) אַלע פּערסאַנעל ניצן אַן אָרגאַניזאַציע ס אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ.
ביידע קאָנטראָל ווערסיעס אָבער פֿאָרשלאָגן אַז אָרגאַנאַזיישאַנז קענען נאָמינירן אַ אינפֿאָרמאַציע זיכערהייט פאַרוואַלטער צו נעמען קוילעלדיק פֿאַראַנטוואָרטלעכקייט פֿאַר דער אַנטוויקלונג און ימפּלאַמענטיישאַן פון אינפֿאָרמאַציע זיכערהייט און צו שטיצן די לעגיטימאַציע פון קאָנטראָלס.
באַפֿרײַ זיך פֿון אַ באַרג פֿון ספּרעדשיטן
איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.
ווער איז אין באַשולדיקונג פון דעם פּראָצעס?
א אינפֿאָרמאַציע זיכערהייט פאַרוואַלטער איז אָפט באשטימט דורך קאָמפּאַניעס צו אָוווערסי די שאַפונג און דורכפירונג פון זיכערהייט מיטלען און צו העלפן אין די דיטעקשאַן פון פּאָטענציעל טרעץ און קאָנטראָלס.
ריסאָרסינג און שטעלן די קאָנטראָלס אין פּלאַץ וועט טיפּיקלי פאַלן צו יחיד מאַנאַדזשערז. א אָפט פיר איז צו דעזיגנייט אַ יחיד פֿאַר יעדער אַסעט, וואָס איז דעמאָלט אין באַשולדיקונג פון די אַסעט ס אָנגאָינג זיכערהייט.
נייַ יסאָ 27002 קאָנטראָלס
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער | קאָנטראָל נאָמען |
|---|---|---|
| 5.7 | נעוו | סאַקאָנע סייכל |
| 5.23 | נעוו | אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס |
| 5.30 | נעוו | יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן |
| 7.4 | נעוו | פיזיש זיכערהייט מאָניטאָרינג |
| 8.9 | נעוו | קאָנפיגוראַטיאָן פאַרוואַלטונג |
| 8.10 | נעוו | אינפֿאָרמאַציע דילישאַן |
| 8.11 | נעוו | דאַטאַ מאַסקינג |
| 8.12 | נעוו | פאַרהיטונג פון דאַטן ליקאַדזש |
| 8.16 | נעוו | מאָניטאָרינג אַקטיוויטעטן |
| 8.23 | נעוו | וועב פֿילטרירונג |
| 8.28 | נעוו | זיכער קאָדירונג |
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער | קאָנטראָל נאָמען |
|---|---|---|
| 6.1 | 07.1.1 | זיפּונג |
| 6.2 | 07.1.2 | טערמינען און באדינגונגען פון באַשעפטיקונג |
| 6.3 | 07.2.2 | אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג |
| 6.4 | 07.2.3 | דיסציפּלינאַרי פּראָצעס |
| 6.5 | 07.3.1 | ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג |
| 6.6 | 13.2.4 | קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ |
| 6.7 | 06.2.2 | ווייַט ארבעטן |
| 6.8 | קסנומקס, קסנומקס | אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג |
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער | קאָנטראָל נאָמען |
|---|---|---|
| 7.1 | 11.1.1 | גשמיות זיכערהייַט פּערימאַטערז |
| 7.2 | קסנומקס, קסנומקס | פיזיש פּאָזיציע |
| 7.3 | 11.1.3 | סיקיורינג אָפאַסיז, רומז און פאַסילאַטיז |
| 7.4 | נעוו | פיזיש זיכערהייט מאָניטאָרינג |
| 7.5 | 11.1.4 | פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ |
| 7.6 | 11.1.5 | ארבעטן אין זיכער געביטן |
| 7.7 | 11.2.9 | קלאָר שרייַבטיש און קלאָר פאַרשטעלן |
| 7.8 | 11.2.1 | עקוויפּמענט סיטינג און שוץ |
| 7.9 | 11.2.6 | זיכערהייט פון אַסעץ אַוועק-לאָקאַל |
| 7.10 | קסנומקס, קסנומקס, קסנומקס, קסנומקס | סטאָרידזש מידיאַ |
| 7.11 | 11.2.2 | שטיצן יוטילאַטיז |
| 7.12 | 11.2.3 | קאַבלע זיכערהייַט |
| 7.13 | 11.2.4 | ויסריכט וישאַלט |
| 7.14 | 11.2.7 | זיכער באַזייַטיקונג אָדער שייַעך-נוצן פון ויסריכט |
ווי ISMS.online העלפּס
איר זענט נישט געריכט צו טאָן פיל אין טערמינען פון טרעפן די רעקווירעמענץ פֿאַר די נייַע ISO 27002: 2022 נאָרמאַל אַחוץ אַפּגריידינג דיין ISMS פּראַסעסאַז צו פאַרטראַכטנ די ימפּרוווד קאָנטראָלס, אויב דיין אין-הויז מאַנשאַפֿט קען נישט שעפּן דעם, ISMS.online קענען העלפֿן.
אין אַדישאַן צו צושטעלן אַ סאַפיסטאַקייטיד וואָלקן-באזירט פריימווערק פֿאַר דאַקיומענטינג ISMS פּראָוסידזשערז און טשעקליסץ צו פאַרזיכערן העסקעם מיט געגרינדעט נאָרמז, ISMS.online אויך סטרימליינז די ISO 27001 סערטאַפאַקיישאַן פּראָצעס און די ISO 27002 ימפּלאַמענטיישאַן פּראָצעס.
אַלע פון דיין ISMS סאַלושאַנז קענען זיין געראטן אין אַ סענטראַלייזד אָרט דאַנק צו אונדזער וואָלקן-באזירט ווייכווארג. איר קענען נוצן אונדזער גרינג-צו-נוצן אַפּלאַקיישאַן צו האַלטן שפּור פון אַלץ וואָס איז פארלאנגט צו באַשטעטיקן קאַנפאָרמאַטי מיט ISO 2K7 ספּעסאַפאַקיישאַנז.
די ימפּלאַמענטיישאַן פון ISO 27002 איז סימפּלאַפייד מיט אונדזער ינטואַטיוו שריט-פֿאַר-שריט וואָרקפלאָוו און מכשירים וואָס אַרייַננעמען פראַמעוואָרקס, פּאַלאַסיז און קאָנטראָלס, אַקטיאָנאַבלע דאַקיומענטיישאַן און גיידאַנס. איר קענען דעפינירן די די פאַרנעם פון די ISMS, ידענטיפיצירן ריסקס און ינסטרומענט קאָנטראָלס ניצן אונדזער פּלאַטפאָרמע - אין בלויז אַ ביסל קליקס.
מיר אויך האָבן אַן אין-הויז מאַנשאַפֿט פון אינפֿאָרמאַציע טעכנאָלאָגיע ספּעשאַלאַסץ וואָס וועט צושטעלן איר מיט עצה און הילף אַזוי אַז איר קענען באַווייַזן העסקעם צו נאָרמאַל און דעדיקאַציע צו אינפֿאָרמאַציע זיכערהייט צו דיין קאַסטאַמערז.
כּדי צו לערנען מער וועגן ווי ISMS.online קענען אַרוישעלפן איר צו דערגרייכן דיין ISO 2K7 אַבדזשעקטיווז, ביטע רופן אונדז +44 (0)1273 041140.
באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.
