Kiểm soát 5.10, Việc sử dụng thông tin có thể chấp nhận được và các tài sản liên quan khác là gì?
Chính sách sử dụng tài sản thông tin được chấp nhận (AUA) áp dụng cho tất cả các thành viên của một tổ chức và tài sản do tổ chức sở hữu hoặc điều hành. AUA áp dụng cho tất cả các mục đích sử dụng Tài sản thông tin cho bất kỳ mục đích nào, bao gồm cả mục đích thương mại.
Sau đây là các ví dụ về Tài sản thông tin:
- Phần cứng : máy tính, thiết bị di động, điện thoại và máy fax.
- Phần mềm : hệ điều hành, ứng dụng (bao gồm cả ứng dụng chạy trên nền web), tiện ích, chương trình cơ sở và ngôn ngữ lập trình.
- Dữ liệu : dữ liệu có cấu trúc trong cơ sở dữ liệu quan hệ, tệp phẳng và dữ liệu NoSQL; dữ liệu không có cấu trúc như tài liệu văn bản, bảng tính, hình ảnh, tệp video và âm thanh; bản ghi ở bất kỳ định dạng nào.
- Mạng : mạng có dây và không dây; hệ thống viễn thông; dịch vụ thoại qua IP.
- Dịch vụ : dịch vụ đám mây, tài khoản email và các dịch vụ lưu trữ khác.
Việc sử dụng thông tin và các tài sản liên quan khác một cách chấp nhận được có nghĩa là sử dụng tài sản thông tin theo cách không gây nguy hiểm cho tính khả dụng, độ tin cậy hoặc tính toàn vẹn của dữ liệu, dịch vụ hoặc tài nguyên. Nó cũng có nghĩa là sử dụng chúng theo cách không vi phạm luật pháp hoặc chính sách của tổ chức.
Thuộc tính của Kiểm soát 5.10
Tiêu chuẩn ISO 27002:2022 mới đi kèm với các bảng thuộc tính không có trong phiên bản 2013. Thuộc tính là một cách để phân loại các điều khiển.
Chúng cũng cho phép bạn khớp lựa chọn kiểm soát của mình với các thuật ngữ và thông số kỹ thuật thường dùng trong ngành. Các kiểm soát sau đây có sẵn trong control 5:10.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật | #Bảo vệ | #Quản lý tài sản | #Quản trị và Hệ sinh thái |
| #Chính trực | #Bảo vệ thông tin | #Sự bảo vệ | ||
| #Khả dụng |
Mục đích của Control 5.10 là gì?
Mục tiêu bao quát của biện pháp kiểm soát này là đảm bảo thông tin và các tài sản liên quan khác được bảo vệ, sử dụng và xử lý phù hợp.
Biện pháp kiểm soát 5.10 được thiết kế để đảm bảo các chính sách, quy trình và biện pháp kiểm soát kỹ thuật được áp dụng nhằm ngăn chặn người dùng truy cập, sử dụng hoặc tiết lộ thông tin tài sản một cách không phù hợp.
Kiểm soát này nhằm mục đích cung cấp một khuôn khổ cho các tổ chức để đảm bảo rằng thông tin và các tài sản khác được bảo vệ, sử dụng và xử lý phù hợp. Điều này bao gồm đảm bảo rằng các chính sách và quy trình tồn tại ở mọi cấp độ trong tổ chức, cũng như đảm bảo rằng các chính sách và quy trình đó được thực thi một cách nhất quán.
Việc triển khai kiểm soát 5.10 như một phần của ISMS có nghĩa là bạn đã đưa ra các yêu cầu khác nhau liên quan đến cách công ty bạn bảo vệ tài sản CNTT bao gồm:
- Bảo vệ thông tin trong quá trình lưu trữ, xử lý và truyền tải.
- Bảo vệ và sử dụng hợp lý các thiết bị CNTT.
- Việc sử dụng các dịch vụ xác thực phù hợp để kiểm soát quyền truy cập vào hệ thống thông tin.
- Việc xử lý thông tin trong một tổ chức chỉ được thực hiện bởi những người dùng có thẩm quyền phù hợp.
- Việc phân bổ trách nhiệm liên quan đến thông tin cho các cá nhân hoặc vai trò cụ thể .
- Giáo dục và đào tạo người dùng về trách nhiệm bảo mật của họ.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Để đáp ứng các yêu cầu kiểm soát 5.10 trong ISO 27002:2022 , điều quan trọng là nhân viên và các bên bên ngoài sử dụng hoặc có quyền truy cập vào thông tin của tổ chức và các tài sản liên quan khác phải nhận thức được các yêu cầu về bảo mật thông tin của tổ chức.
Những người này phải chịu trách nhiệm về bất kỳ phương tiện xử lý thông tin nào mà họ sử dụng.
Mọi người tham gia vào việc sử dụng hoặc xử lý thông tin và các tài sản liên quan khác đều phải nhận thức được chính sách của tổ chức về việc sử dụng thông tin và các tài sản liên quan khác một cách hợp lý.
Mọi người tham gia vào việc sử dụng hoặc xử lý thông tin và các tài sản liên quan khác phải được thông báo về chính sách của tổ chức về việc sử dụng thông tin và các tài sản liên quan khác được phép. Là một phần của chính sách sử dụng được chấp nhận theo chủ đề cụ thể, nhân viên phải biết chính xác những gì họ được mong đợi sẽ làm với thông tin và các tài sản khác.
Đặc biệt, chính sách theo chủ đề cụ thể phải nêu rõ rằng:
a) Hành vi mong đợi và không thể chấp nhận được của cá nhân theo quan điểm bảo mật thông tin;
b) Việc sử dụng thông tin và các tài sản liên quan khác được phép và bị cấm;
c) Giám sát các hoạt động đang được tổ chức thực hiện.
Các thủ tục sử dụng được chấp nhận phải được lập cho toàn bộ vòng đời thông tin theo phân loại và rủi ro đã xác định. Cần xem xét các mục sau:
a) Các hạn chế truy cập hỗ trợ các yêu cầu bảo vệ cho từng cấp độ phân loại;
b) Duy trì hồ sơ về người sử dụng thông tin được ủy quyền và các tài sản liên quan khác;
c) Bảo vệ các bản sao thông tin tạm thời hoặc vĩnh viễn ở mức độ phù hợp với mức độ
bảo vệ thông tin gốc;
d) Lưu trữ tài sản liên quan đến thông tin theo đúng thông số kỹ thuật của nhà sản xuất;
e) đánh dấu rõ ràng tất cả các bản sao của phương tiện lưu trữ (điện tử hoặc vật lý) để người nhận được ủy quyền chú ý
;
f) ủy quyền xử lý thông tin và các tài sản liên quan khác và phương pháp xóa được hỗ trợ.
Sự khác biệt giữa ISO 27002:2013 và ISO 27002:2022
Phiên bản sửa đổi năm 2022 mới của ISO 27002 đã được công bố vào ngày 15 tháng 2 năm 2022 và là bản nâng cấp của ISO 27002:2013.
Kiểm soát 5.10 trong ISO 27002:2022 không phải là kiểm soát mới, mà là sự kết hợp của các kiểm soát 8.1.3 – sử dụng tài sản được chấp nhận và 8.2.3 – xử lý tài sản trong ISO 27002:2013.
Trong khi bản chất và hướng dẫn triển khai của biện pháp kiểm soát 5.10 tương đối giống với biện pháp kiểm soát 8.1.3 và 8.2.3, biện pháp kiểm soát 5.10 đã hợp nhất cả việc sử dụng tài sản được chấp nhận và việc xử lý tài sản thành một biện pháp kiểm soát để cải thiện tính thân thiện với người dùng.
Tuy nhiên, kiểm soát 5.10 cũng đã thêm một điểm bổ sung vào kiểm soát 8.2.3. Điều này bao gồm việc cho phép xử lý thông tin và các tài sản liên quan khác và phương pháp xóa được hỗ trợ.
Ai là người chịu trách nhiệm cho quá trình này?
Việc sử dụng thông tin và các tài sản liên quan khác được chấp nhận là chính sách thiết lập các quy tắc để đảm bảo sử dụng đúng thông tin của công ty và các tài sản liên quan khác, bao gồm máy tính, mạng và hệ thống, email, tệp và phương tiện lưu trữ. Chính sách này ràng buộc tất cả nhân viên và nhà thầu.
Mục đích của chính sách này là:
- Đảm bảo rằng thông tin của công ty và các tài sản liên quan khác chỉ được sử dụng cho mục đích kinh doanh hợp pháp.
- Đảm bảo nhân viên tuân thủ mọi luật pháp và quy định liên quan đến bảo mật thông tin.
- Bảo vệ thông tin của công ty và các tài sản liên quan khác khỏi các mối đe dọa xuất phát từ bên trong hoặc bên ngoài công ty.
Cán bộ An ninh thông tin (ISO) chịu trách nhiệm phát triển, triển khai và duy trì việc Sử dụng thông tin được chấp nhận.
ISO chịu trách nhiệm quản lý việc sử dụng các nguồn thông tin trong toàn tổ chức để đảm bảo thông tin được sử dụng theo cách bảo vệ tính bảo mật và toàn vẹn của dữ liệu, bảo vệ tính bí mật của thông tin độc quyền hoặc thông tin nhạy cảm, chống lại việc lạm dụng và truy cập trái phép vào các nguồn máy tính và loại bỏ sự phơi bày hoặc trách nhiệm pháp lý không cần thiết cho tổ chức.
Những thay đổi này có ý nghĩa gì đối với bạn?
Tiêu chuẩn ISO 27002: 2022 mới không phải là bản nâng cấp đáng kể. Do đó, bạn có thể không cần thực hiện bất kỳ thay đổi đáng kể nào liên quan đến việc tuân thủ phiên bản mới nhất của ISO 27002.
Tuy nhiên, vui lòng xem hướng dẫn về ISO 27002:2022 của chúng tôi, nơi bạn có thể khám phá thêm về cách những thay đổi đối với biện pháp kiểm soát 5.10 này sẽ ảnh hưởng đến doanh nghiệp của bạn.
