आईएसओ 27001:2022 सूचना सुरक्षा प्रबंधन प्रणाली

सूचना सुरक्षा प्रबंधन प्रणाली का अवलोकन

सूचना सुरक्षा से तात्पर्य सूचना की सुरक्षा सुनिश्चित करने से है:

• गोपनीयता: यह सुनिश्चित करना कि जानकारी केवल उन लोगों के लिए ही उपलब्ध हो जिन्हें इसे उपयोग करने की अनुमति है।
• सत्यनिष्ठा: यह सुनिश्चित करना कि जानकारी सटीक और पूर्ण है तथा बिना अनुमति के उसमें कोई संशोधन नहीं किया गया है।
• उपलब्धता: यह सुनिश्चित करना कि आवश्यकता पड़ने पर जानकारी अधिकृत उपयोगकर्ताओं के लिए सुलभ हो।

सूचना सुरक्षा नियंत्रणों (नीतियाँ, प्रक्रियाएँ, कार्यविधियाँ, संगठनात्मक संरचनाएँ, तथा सॉफ़्टवेयर और हार्डवेयर फ़ंक्शन) के उपयुक्त सेट को लागू करके प्राप्त की जाती है। सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) सूचना सुरक्षा को स्थापित करने, लागू करने, संचालित करने, निगरानी करने, समीक्षा करने, बनाए रखने और सुधारने के लिए व्यवस्थित व्यावसायिक जोखिम दृष्टिकोण के आधार पर सूचना की सुरक्षा और प्रबंधन करने का तरीका है। यह सूचना सुरक्षा के लिए एक संगठनात्मक दृष्टिकोण है।
आईएसओ दो मानक प्रकाशित करता है जो किसी संगठन के आईएसएमएस पर ध्यान केंद्रित करते हैं:

• अभ्यास मानक संहिता: ISO 27002. इस मानक का उपयोग ISMS विकसित करने के लिए एक प्रारंभिक बिंदु के रूप में किया जा सकता है। यह सूचना परिसंपत्तियों की सुरक्षा के लिए एक कार्यक्रम की योजना बनाने और उसे लागू करने के लिए मार्गदर्शन प्रदान करता है। यह नियंत्रणों (सुरक्षा उपायों) की एक सूची भी प्रदान करता है जिन्हें आप अपने ISMS के भाग के रूप में लागू करने पर विचार कर सकते हैं।
• प्रबंधन प्रणाली मानक: ISO 27001. यह मानक ISMS के लिए विनिर्देश है। यह बताता है कि ISO/IEC 27002 को कैसे लागू किया जाए। यह वह मानक प्रदान करता है जिसके आधार पर प्रमाणन किया जाता है, जिसमें आवश्यक दस्तावेजों की सूची भी शामिल है। कोई संगठन जो अपने ISMS का प्रमाणन चाहता है, उसकी जाँच इस मानक के आधार पर की जाती है।

मानक निम्नलिखित प्रथाओं को निर्धारित करते हैं:

• सभी गतिविधियों को एक विधि का पालन करना चाहिए। विधि मनमाना है लेकिन इसे अच्छी तरह से परिभाषित और प्रलेखित किया जाना चाहिए।
• किसी कंपनी या संगठन को अपने सुरक्षा लक्ष्यों का दस्तावेजीकरण करना चाहिए। एक ऑडिटर यह सत्यापित करेगा कि क्या ये आवश्यकताएं पूरी हुई हैं।
• आईएसएमएस में प्रयुक्त सभी सुरक्षा उपायों को जोखिम विश्लेषण के परिणामस्वरूप क्रियान्वित किया जाएगा ताकि जोखिमों को समाप्त किया जा सके या स्वीकार्य स्तर तक कम किया जा सके।
• मानक सुरक्षा नियंत्रणों का एक सेट प्रदान करता है। यह संगठन पर निर्भर करता है कि वह अपने व्यवसाय की विशिष्ट आवश्यकताओं के आधार पर कौन से नियंत्रण लागू करना चाहता है।
• किसी भी प्रक्रिया में ऑडिट और समीक्षा के माध्यम से सुरक्षा प्रणाली के सभी तत्वों का निरंतर सत्यापन सुनिश्चित किया जाना चाहिए।
• एक प्रक्रिया को सूचना और सुरक्षा प्रबंधन प्रणाली के सभी तत्वों में निरंतर सुधार सुनिश्चित करना चाहिए। (आईएसओ 27001 मानक योजना-करो-जाँचो-कार्य करो [पीडीसीए] मॉडल को अपने आधार के रूप में अपनाता है और उम्मीद करता है कि आईएसएमएस कार्यान्वयन में इस मॉडल का पालन किया जाएगा।)

आईएसओ 27001:2022 संरचना

खण्ड 0: परिचय

यह मानक सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, रखरखाव और निरंतर सुधार के लिए आवश्यकताएँ प्रदान करता है। संगठन अपनी आवश्यकताओं, उद्देश्यों, सुरक्षा आवश्यकताओं, प्रक्रियाओं, अपने आकार और संगठन की संरचना से प्रभावित होकर रणनीतिक निर्णय के रूप में सूचना सुरक्षा प्रबंधन को लागू करेगा। परिचय उस क्रम की ओर भी ध्यान आकर्षित करता है जिसमें आवश्यकताएँ प्रस्तुत की जाती हैं, यह बताते हुए कि यह क्रम उनके महत्व को नहीं दर्शाता है या उस क्रम को इंगित नहीं करता है जिसमें उन्हें लागू किया जाना है। परिचय किसी भी मॉडल के बजाय केवल आवश्यकताओं को संदर्भित करता है, और यह अब स्पष्ट रूप से बताता है कि सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) का उद्देश्य जोखिम प्रबंधन प्रक्रिया को लागू करके सूचना की गोपनीयता, अखंडता और उपलब्धता को संरक्षित करना है और इच्छुक पक्षों को यह विश्वास दिलाना है कि जोखिमों का पर्याप्त रूप से प्रबंधन किया जाता है। यह इस बात पर भी जोर देता है कि ISMS संगठन की प्रक्रियाओं और समग्र प्रबंधन संरचना का हिस्सा है और उसके साथ एकीकृत है; यह एक महत्वपूर्ण संदेश को पुष्ट करता है – ISMS व्यवसाय के लिए बोल्ट-ऑन नहीं है। यह यह बताकर इसे पुष्ट करता है कि प्रक्रियाओं, सूचना प्रणालियों और नियंत्रणों के डिजाइन में सूचना सुरक्षा पर विचार किया जाता है। अन्य प्रबंधन प्रणाली मानकों के साथ संगतता बनी हुई है और अनुलग्नक SL को अपनाने से यह स्पष्ट रूप से प्रदर्शित और सुदृढ़ हो गई है।

खंड 1: दायरा

इस खंड का उद्देश्य संगठन के संदर्भ में ISMS की स्थापना, कार्यान्वयन और निरंतर सुधार की आवश्यकताओं के माध्यम से मानक की प्रयोज्यता को बताना है। यह संगठन की आवश्यकताओं के अनुरूप सूचना सुरक्षा जोखिमों के आकलन और उपचार की आवश्यकता को पूरा करता है। यह एक सामान्य मानक है और आकार, प्रकृति और प्रकार के बावजूद सभी संगठनों पर लागू होता है। इस मानक के अनुरूप होने का दावा करने के लिए बहिष्करण स्वीकार्य नहीं हैं।

धारा 2: मानक संदर्भ

एकमात्र मानक संदर्भ आईएसओ/आईईसी 27000, सूचना प्रौद्योगिकी – सुरक्षा तकनीक – सूचना सुरक्षा प्रबंधन प्रणाली – अवलोकन और शब्दावली है।

खंड 3: शब्द और परिभाषाएँ

इसमें कोई शब्द या परिभाषा शामिल नहीं है। ISO/IEC 27000 में दिए गए सभी शब्द और परिभाषाएँ लागू होती हैं, जिसमें अनुलग्नक SL में दिए गए सामान्य शब्द और परिभाषाएँ शामिल हैं। तुलना की जानी चाहिए और जहाँ आवश्यक हो, संदर्भित अन्य दस्तावेज़ों से आगे स्पष्टीकरण मांगा जाना चाहिए। हालाँकि, कृपया सुनिश्चित करें कि आप ISO/IEC 27000 का ऐसा संस्करण उपयोग करते हैं जो ISO/IEC 27001:2022 के बाद प्रकाशित हुआ हो, अन्यथा इसमें सही शब्द या परिभाषाएँ नहीं होंगी। यह पढ़ने के लिए एक महत्वपूर्ण दस्तावेज़ है। कई परिभाषाएँ, उदाहरण के लिए ‘प्रबंधन प्रणाली’ और ‘नियंत्रण’, बदल दी गई हैं और अब नए ISO निर्देशों और ISO 31000 में दी गई परिभाषाओं के अनुरूप हैं। यदि कोई शब्द ISO/IEC 27000 में परिभाषित नहीं है, तो कृपया ऑक्सफ़ोर्ड इंग्लिश डिक्शनरी में दी गई परिभाषा का उपयोग करें। यह महत्वपूर्ण है, अन्यथा, भ्रम और गलतफहमी का परिणाम हो सकता है।

आईएसओ और आईईसी निम्नलिखित पतों पर आईएसओ 27000/27001 में प्रयुक्त शब्दावली डेटाबेस बनाए रखते हैं:
— 1SO ऑनलाइन ब्राउज़िंग प्लेटफ़ॉर्म: https://www.iso.org/obp
पर उपलब्ध है — आईईसी इलेक्ट्रोपीडिया: https://www.electropedia.org पर उपलब्ध है

धारा 4: संगठन का संदर्भ

यह खंड आंशिक रूप से निवारक कार्रवाई की मूल्यह्रास अवधारणा को संबोधित करता है और आंशिक रूप से ISMS के लिए संदर्भ स्थापित करता है। यह प्रासंगिक बाहरी और आंतरिक मुद्दों को एक साथ लाकर इन उद्देश्यों को पूरा करता है, अर्थात वे जो संगठन की ISMS के इच्छित परिणाम को प्राप्त करने की क्षमता को प्रभावित करते हैं, ISMS के दायरे को निर्धारित करने के लिए इच्छुक पक्षों की आवश्यकताओं के साथ। यह ध्यान दिया जाना चाहिए कि ‘मुद्दा’ शब्द न केवल उन समस्याओं को शामिल करता है, जो पिछले मानक में निवारक कार्रवाई का विषय रही होंगी, बल्कि ISMS के लिए संबोधित करने के लिए महत्वपूर्ण विषय भी शामिल हैं, जैसे कि कोई भी बाजार आश्वासन और शासन लक्ष्य जो संगठन ISMS के लिए निर्धारित कर सकता है।
ध्यान दें कि ‘आवश्यकता’ शब्द एक ‘आवश्यकता या अपेक्षा है जो बताई गई है, आम तौर पर निहित या अनिवार्य है’। खंड 4.2 के साथ संयुक्त रूप से, इसे अपने आप में एक शासन आवश्यकता के रूप में माना जा सकता है, क्योंकि सख्ती से कहा जाए तो एक ISMS जो आम तौर पर स्वीकृत सार्वजनिक अपेक्षाओं के अनुरूप नहीं था, उसे अब मानक के साथ गैर-अनुपालन माना जा सकता है। आपको इच्छुक पक्षों की “प्रासंगिक” आवश्यकताओं की पहचान करनी चाहिए और यह निर्धारित करना चाहिए कि ISMS के माध्यम से किनका समाधान किया जाएगा।
अंतिम आवश्यकता (धारा 4.4) आईएसएमएस की स्थापना, कार्यान्वयन, रखरखाव और निरंतर सुधार करना है, जिसमें मानक की आवश्यकताओं के अनुसार आवश्यक प्रक्रिया और उनकी परस्पर क्रिया शामिल है।

धारा 5: नेतृत्व

यह खंड ‘शीर्ष प्रबंधन’ पर आवश्यकताओं को रखता है जो वह व्यक्ति या लोगों का समूह है जो संगठन को उच्चतम स्तर पर निर्देशित और नियंत्रित करता है। ध्यान दें कि यदि वह संगठन जो ISMS का विषय है, किसी बड़े संगठन का हिस्सा है, तो ‘शीर्ष प्रबंधन’ शब्द छोटे संगठन को संदर्भित करता है। इन आवश्यकताओं का उद्देश्य शीर्ष से नेतृत्व करके नेतृत्व और प्रतिबद्धता का प्रदर्शन करना है। शीर्ष प्रबंधन की एक विशेष जिम्मेदारी सूचना सुरक्षा नीति स्थापित करना है, और मानक उन विशेषताओं और गुणों को परिभाषित करता है जिन्हें नीति में शामिल किया जाना है। अंत में, यह खंड शीर्ष प्रबंधन पर सूचना सुरक्षा-संबंधित जिम्मेदारियों और प्राधिकारों को सौंपने की आवश्यकताएं रखता है, जो ISO 27001 के लिए ISMS अनुरूपता और ISMS प्रदर्शन पर रिपोर्टिंग से संबंधित दो विशेष भूमिकाओं पर प्रकाश डालता है।

खंड 6: योजना

खंड 6.1.1 (सामान्य) निवारक कार्रवाइयों से निपटने के नए तरीके को पूरा करने के लिए खंड 4.1 और 4.2 के साथ काम करता है। इस खंड का पहला भाग (यानी 6.1.1 c तक और इसमें शामिल) जोखिम मूल्यांकन से संबंधित है जबकि खंड 6.1.1 d) जोखिम उपचार से संबंधित है। चूंकि सूचना सुरक्षा जोखिम के मूल्यांकन और उपचार को खंड 6.1.2 और 6.1.3 में निपटाया जाता है, इसलिए संगठन इस खंड का उपयोग ISMS जोखिमों और अवसरों पर विचार करने के लिए कर सकते हैं।
खंड 6.1.2 (सूचना सुरक्षा जोखिम मूल्यांकन) विशेष रूप से सूचना सुरक्षा जोखिम के मूल्यांकन से संबंधित है। ISO 31000 में दिए गए सिद्धांतों और मार्गदर्शन के साथ संरेखित करते हुए, यह खंड जोखिम पहचान के लिए एक शर्त के रूप में परिसंपत्तियों, खतरों और कमजोरियों की पहचान को हटा देता है। यह जोखिम मूल्यांकन विधियों की पसंद को बढ़ाता है जिसका उपयोग कोई संगठन कर सकता है और फिर भी मानक के अनुरूप है। खंड ‘जोखिम मूल्यांकन स्वीकृति मानदंड’ को भी संदर्भित करता है, जो जोखिम के केवल एक स्तर के अलावा अन्य मानदंडों की अनुमति देता है। जोखिम स्वीकृति मानदंड अब स्तरों के अलावा अन्य शब्दों में व्यक्त किए जा सकते हैं, उदाहरण के लिए, जोखिम का इलाज करने के लिए उपयोग किए जाने वाले नियंत्रण के प्रकार। यह खंड ‘परिसंपत्ति मालिकों’ के बजाय ‘जोखिम मालिकों’ को संदर्भित करता है और बाद में जोखिम उपचार योजना और अवशिष्ट जोखिमों के लिए उनकी स्वीकृति की आवश्यकता होती है। इसमें संगठनों को परिणाम, संभावना और जोखिम के स्तरों का आकलन करने की भी आवश्यकता होती है।

खंड 6.1.3, (सूचना सुरक्षा जोखिम उपचार) सूचना सुरक्षा जोखिम के उपचार से संबंधित है। यह अनुलग्नक A से नियंत्रणों का चयन करने के बजाय आवश्यक नियंत्रणों के ‘निर्धारण’ को संदर्भित करता है। फिर भी, मानक अनुलग्नक A के उपयोग को क्रॉस-चेक के रूप में बनाए रखता है ताकि यह सुनिश्चित किया जा सके कि कोई आवश्यक नियंत्रण अनदेखा नहीं किया गया है, और संगठनों को अभी भी प्रयोज्यता का विवरण (SOA) प्रस्तुत करना आवश्यक है। जोखिम उपचार योजना का निर्माण और अनुमोदन अब इस खंड का हिस्सा है।
खंड 6.2, (सूचना सुरक्षा उद्देश्य और उन्हें प्राप्त करने की योजना) सूचना सुरक्षा उद्देश्यों से संबंधित है। यह “प्रासंगिक कार्य और स्तर” वाक्यांश का उपयोग करता है, जहाँ यहाँ, ‘कार्य’ शब्द संगठन के कार्यों को संदर्भित करता है, और ‘स्तर’ शब्द, इसके प्रबंधन के स्तर, जिनमें से ‘शीर्ष प्रबंधन’ सबसे ऊंचा है। खंड उन गुणों को परिभाषित करता है जो किसी संगठन के सूचना सुरक्षा उद्देश्यों में होने चाहिए। सूचना सुरक्षा उद्देश्यों की निगरानी की जानी चाहिए और उन्हें “दस्तावेजित जानकारी के रूप में उपलब्ध कराया जाना चाहिए”

खण्ड 6.3 (परिवर्तन की योजना) इस बारे में है कि कैसे सुनिश्चित किया जाए कि आईएसएमएस में परिवर्तन योजनाबद्ध तरीके से हो। चूंकि इसमें ऐसी कोई प्रक्रिया निर्दिष्ट नहीं की गई है जिसे शामिल किया जाना चाहिए, इसलिए आपको यह निर्धारित करना चाहिए कि आप कैसे प्रदर्शित कर सकते हैं कि आईएसएमएस में परिवर्तन वास्तव में योजनाबद्ध तरीके से किए गए हैं।

धारा 7: समर्थन

यह खंड इस आवश्यकता से शुरू होता है कि संगठन ISMS को स्थापित करने, लागू करने, बनाए रखने और निरंतर सुधारने के लिए आवश्यक संसाधनों का निर्धारण और प्रावधान करेंगे। सरल शब्दों में कहें तो यह एक बहुत ही शक्तिशाली आवश्यकता है जो सभी ISMS संसाधन आवश्यकताओं को कवर करती है। समर्थन खंड यह बताता है कि एक प्रभावी ISMS को स्थापित करने, लागू करने, बनाए रखने और निरंतर सुधारने के लिए क्या आवश्यक है, जिसमें शामिल हैं:

• संसाधन आवश्यकताएँ
• सूचना सुरक्षा निष्पादन में शामिल लोगों की शिक्षा, प्रशिक्षण और अनुभव के संदर्भ में योग्यता
• सूचना सुरक्षा नीति, सुरक्षा प्रदर्शन और आईएसएमएस आवश्यकताओं के अनुरूप न होने के निहितार्थ के बारे में जागरूकता।
• इच्छुक पक्षों के साथ क्या, कब, किसके साथ, कैसे, आदि विषयों पर संचार।

अंत में, ‘दस्तावेजीकृत जानकारी’ के लिए आवश्यकताएँ हैं। मानक “दस्तावेजों और अभिलेखों” के बजाय “दस्तावेजीकृत जानकारी” को संदर्भित करता है और आवश्यकता है कि उन्हें सक्षमता के प्रमाण के रूप में बनाए रखा जाए। ये आवश्यकताएँ दस्तावेजीकृत जानकारी के निर्माण और अद्यतनीकरण तथा उनके नियंत्रण से संबंधित हैं। अब आपको प्रदान किए जाने वाले दस्तावेजों की सूची या उन्हें दिए जाने वाले विशेष नाम नहीं हैं। नए संशोधन में नाम के बजाय विषय-वस्तु पर जोर दिया गया है। ध्यान दें कि दस्तावेजीकृत जानकारी के लिए आवश्यकताएँ उस खंड में प्रस्तुत की गई हैं जिसका वे उल्लेख करते हैं।

धारा 8: संचालन

संगठन को सूचना सुरक्षा आवश्यकताओं को पूरा करने और मानक में निर्धारित कार्यों को लागू करने के लिए आवश्यक प्रक्रियाओं की योजना बनानी चाहिए, उन्हें लागू करना चाहिए और नियंत्रित करना चाहिए। संगठन को क्लॉज 6 में पहचाने गए कार्यों को लागू करने के लिए प्रक्रियाओं के लिए मानदंड स्थापित करना चाहिए और उन प्रक्रियाओं को मानदंडों के अनुरूप नियंत्रित करना चाहिए। उन्हें ISM से संबंधित “बाहरी रूप से प्रदान की गई प्रक्रियाओं, उत्पादों या सेवाओं” को नियंत्रित करने की आवश्यकता है। संगठन को नियोजित अंतराल पर सूचना सुरक्षा जोखिम आकलन करना चाहिए और सूचना सुरक्षा जोखिम उपचार योजना को भी लागू करना चाहिए। यह खंड उन योजनाओं और प्रक्रियाओं के निष्पादन से संबंधित है जो पिछले खंडों के विषय हैं। संगठनों को अपनी सूचना सुरक्षा आवश्यकताओं को पूरा करने के लिए आवश्यक प्रक्रियाओं की योजना बनानी चाहिए और उन्हें नियंत्रित करना चाहिए, जिनमें शामिल हैं:

• दस्तावेज़ रखना
• परिवर्तन का प्रबंधन
• प्रतिकूल घटनाओं पर प्रतिक्रिया
• किसी भी आउटसोर्स प्रक्रिया का नियंत्रण

परिचालन नियोजन और नियंत्रण में नियोजित अंतरालों पर सूचना सुरक्षा जोखिम आकलन करने और सूचना सुरक्षा जोखिम उपचार योजना के कार्यान्वयन को भी अनिवार्य किया गया है।
खंड 8.1 खंड 6.1 में निर्धारित कार्यों के निष्पादन, सूचना सुरक्षा उद्देश्यों और आउटसोर्स प्रक्रियाओं की उपलब्धि से संबंधित है;
खंड 8.2 नियोजित अंतरालों पर सूचना सुरक्षा जोखिम आकलन के निष्पादन से संबंधित है, या जब महत्वपूर्ण परिवर्तन प्रस्तावित किए जाते हैं या घटित होते हैं; और
खंड 8.3 जोखिम उपचार योजना के कार्यान्वयन से संबंधित है।

धारा 9: कार्यनिष्पादन मूल्यांकन

संगठन सूचना सुरक्षा प्रदर्शन और सूचना सुरक्षा प्रबंधन प्रणाली की प्रभावशीलता का मूल्यांकन करेगा। संगठन नियोजित अंतराल पर आंतरिक ऑडिट आयोजित करेगा ताकि यह जानकारी मिल सके कि सूचना सुरक्षा प्रबंधन प्रणाली संगठन की अपनी आवश्यकताओं और अंतर्राष्ट्रीय मानक आवश्यकताओं के अनुरूप है या नहीं।

खंड 9.1 (निगरानी, ​​मापन, विश्लेषण और मूल्यांकन) का पहला पैराग्राफ खंड के समग्र लक्ष्यों को बताता है। एक सामान्य अनुशंसा के रूप में, निर्धारित करें कि आपको सूचना सुरक्षा प्रदर्शन और अपने ISMS की प्रभावशीलता का मूल्यांकन करने के लिए किस जानकारी की आवश्यकता है। इस ‘सूचना की आवश्यकता’ से पीछे की ओर काम करें और निर्धारित करें कि क्या मापना और निगरानी करना है, कब कौन और कैसे। केवल इसलिए निगरानी और माप करने का कोई मतलब नहीं है क्योंकि आपके संगठन में ऐसा करने की क्षमता है। केवल तभी निगरानी और माप करें जब यह सूचना सुरक्षा प्रदर्शन और ISMS प्रभावशीलता का मूल्यांकन करने की आवश्यकता का समर्थन करता है। ध्यान दें कि किसी संगठन की कई सूचना आवश्यकताएँ हो सकती हैं, और ये आवश्यकताएँ समय के साथ बदल सकती हैं। उदाहरण के लिए, जब कोई ISMS अपेक्षाकृत नया होता है, तो सूचना सुरक्षा जागरूकता कार्यक्रमों में उपस्थिति की निगरानी करना महत्वपूर्ण हो सकता है। एक बार इच्छित दर प्राप्त हो जाने के बाद, संगठन जागरूकता कार्यक्रम की गुणवत्ता की ओर अधिक ध्यान दे सकता है। यह विशिष्ट जागरूकता उद्देश्य निर्धारित करके और यह निर्धारित करके ऐसा कर सकता है कि उपस्थित लोगों ने जो सीखा है उसे किस हद तक समझा है। बाद में भी, सूचना की आवश्यकता यह निर्धारित करने के लिए विस्तारित हो सकती है कि संगठन के लिए सूचना सुरक्षा पर जागरूकता के इस स्तर का क्या प्रभाव पड़ता है। वैध परिणाम देने के लिए निगरानी, ​​माप, विश्लेषण और मूल्यांकन के लिए एक तुलनीय और पुनरुत्पादनीय विधि का चयन किया जाना चाहिए।
आंतरिक ऑडिट और प्रबंधन समीक्षा आईएसएमएस के प्रदर्शन की समीक्षा करने और इसके निरंतर सुधार के लिए उपकरण के प्रमुख तरीके बने हुए हैं। आवश्यकताओं में नियोजित अंतराल पर आंतरिक ऑडिट करना, एक ऑडिट कार्यक्रम की योजना बनाना, स्थापित करना, लागू करना और बनाए रखना, ऑडिटर का चयन करना और ऑडिट प्रक्रिया की वस्तुनिष्ठता और निष्पक्षता सुनिश्चित करने वाले ऑडिट करना
शामिल है। खंड 9.3 (प्रबंधन समीक्षा) में, सटीक इनपुट और आउटपुट निर्दिष्ट करने के बजाय, यह खंड अब समीक्षा के दौरान विचार के लिए विषयों पर आवश्यकताएं रखता है।

धारा 10: सुधार

निवारक कार्रवाइयों को संभालने के नए तरीके के कारण, इस खंड में कोई निवारक कार्रवाई की आवश्यकता नहीं है। हालाँकि, कुछ नई सुधारात्मक कार्रवाई की आवश्यकताएँ हैं। पहली है गैर-अनुरूपता पर प्रतिक्रिया करना और गैर-अनुरूपता को नियंत्रित करने और सुधारने और परिणामों से निपटने के लिए, जहाँ लागू हो, कार्रवाई करना। दूसरा यह निर्धारित करना है कि क्या समान गैर-अनुरूपता मौजूद है, या संभावित रूप से हो सकती है। हालाँकि निवारक कार्रवाई की अवधारणा विकसित हुई है, फिर भी संभावित गैर-अनुरूपता पर विचार करने की आवश्यकता है, भले ही यह वास्तविक गैर-अनुरूपता का परिणाम हो। यह सुनिश्चित करने के लिए एक नई आवश्यकता भी है कि सुधारात्मक कार्रवाइयाँ सामने आई गैर-अनुरूपता के प्रभावों के लिए उपयुक्त हैं। निरंतर सुधार की आवश्यकता को ISMS की उपयुक्तता और पर्याप्तता के साथ-साथ इसकी प्रभावशीलता को कवर करने के लिए बढ़ाया गया है, लेकिन यह अब यह निर्दिष्ट नहीं करता है कि कोई संगठन इसे कैसे प्राप्त करता है।

अनुलग्नक A सूचना सुरक्षा नियंत्रण संदर्भ

सूचना सुरक्षा नियंत्रणों को 4 समूहों या थीम में वर्गीकृत किया जा सकता है। ये हैं:

1. लोग, यदि वे व्यक्तिगत लोगों से संबंधित हैं;
2. भौतिक, यदि वे भौतिक वस्तुओं से संबंधित हों;
3. तकनीकी, यदि वे प्रौद्योगिकी से संबंधित हों;
4. अन्यथा उन्हें संगठनात्मक के रूप में वर्गीकृत किया जाता है।

5 संगठनात्मक नियंत्रण

5.1 सूचना सुरक्षा के लिए नीतियां

नियंत्रण
सूचना सुरक्षा नीति और विषय-विशिष्ट नीतियों को परिभाषित किया जाना चाहिए, प्रबंधन द्वारा अनुमोदित किया जाना चाहिए, प्रकाशित किया जाना चाहिए, संबंधित कर्मियों और संबंधित इच्छुक पक्षों द्वारा संप्रेषित और स्वीकार किया जाना चाहिए, और नियोजित अंतराल पर और यदि महत्वपूर्ण परिवर्तन होते हैं तो उनकी समीक्षा की जानी चाहिए।

इस नियंत्रण का उद्देश्य व्यवसाय, कानूनी, वैधानिक, नियामक और संविदात्मक आवश्यकताओं के अनुसार सूचना सुरक्षा के लिए प्रबंधन निर्देश और समर्थन की निरंतर उपयुक्तता, पर्याप्तता, प्रभावशीलता सुनिश्चित करना है। प्रबंधन को सूचना सुरक्षा की अपनी दिशा और समर्थन को स्पष्ट करने के लिए नीतियों का एक सेट परिभाषित करना चाहिए। शीर्ष स्तर पर, एक समग्र “सूचना सुरक्षा नीति” होनी चाहिए। एक दस्तावेज बनाने की जरूरत है, जिसमें बताया जाए कि संगठन सूचना सुरक्षा उद्देश्यों को कैसे प्रबंधित करता है। इस दस्तावेज को प्रबंधन द्वारा अनुमोदित किया जाना चाहिए, और इसमें उच्च और निम्न-स्तर की दोनों नीतियां शामिल होनी चाहिए। एक बार नीतियां लागू हो जाने के बाद, उनकी नियमित रूप से समीक्षा की जानी चाहिए। इसके लिए सबसे अच्छा तरीका एक नियमित बैठक निर्धारित करना है और स्थिति की आवश्यकता होने पर बीच में एक अतिरिक्त बैठक की योजना बनाना है।

5.2 सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ

नियंत्रण
सूचना सुरक्षा भूमिकाओं और जिम्मेदारियों को संगठन की आवश्यकताओं के अनुसार परिभाषित और आवंटित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य संगठन के भीतर सूचना सुरक्षा के कार्यान्वयन, संचालन और प्रबंधन के लिए एक परिभाषित, स्वीकृत और समझी जाने वाली संरचना स्थापित करना है। नीति को यह परिभाषित करने की आवश्यकता है कि कौन किस परिसंपत्ति, प्रक्रिया या सूचना सुरक्षा जोखिम गतिविधि के लिए जिम्मेदार है। यह महत्वपूर्ण है कि असाइनमेंट स्पष्ट रूप से और सभी असाइनमेंट के लिए किया जाए। सुनिश्चित करें कि भूमिकाएँ और ज़िम्मेदारियाँ आपके संगठन के अनुकूल हों; पाँच लोगों की एक छोटी टीम को संभवतः पूर्णकालिक सुरक्षा अधिकारी की आवश्यकता नहीं है।

5.3 कर्तव्यों का पृथक्करण

नियंत्रण
परस्पर विरोधी कर्तव्यों और जिम्मेदारी के परस्पर विरोधी क्षेत्रों को अलग किया जाना चाहिए।

इस नियंत्रण का उद्देश्य धोखाधड़ी, त्रुटि और सूचना सुरक्षा नियंत्रणों को दरकिनार करने के जोखिम को कम करना है। कंपनी की परिसंपत्तियों के किसी भी दुरुपयोग को रोकने के लिए, किसी संवेदनशील गतिविधि को पूरी तरह से नियंत्रित करने की “शक्ति” एक ही व्यक्ति के पास नहीं होनी चाहिए। इसे लागू करने का सबसे अच्छा तरीका सभी गतिविधियों को लॉग करना और महत्वपूर्ण कार्यों को करने और जाँचने या अनुमोदन करने और आरंभ करने में विभाजित करना है। यह धोखाधड़ी और त्रुटि को रोकता है, उदाहरण के लिए एक व्यक्ति द्वारा सभी कंपनी चेक बनाने और उन पर हस्ताक्षर करने के मामले में।

5.4 प्रबंधन जिम्मेदारियाँ

नियंत्रण
प्रबंधन को सभी कार्मिकों से यह अपेक्षा करनी चाहिए कि वे संगठन की स्थापित सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों और प्रक्रियाओं के अनुसार सूचना सुरक्षा लागू करें।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि प्रबंधन सूचना सुरक्षा में अपनी भूमिका को समझे और यह सुनिश्चित करने के लिए कार्रवाई करे कि सभी कर्मचारी अपनी सूचना सुरक्षा जिम्मेदारियों के बारे में जानते हैं और उन्हें पूरा करते हैं। प्रबंधन को यह सुनिश्चित करने की आवश्यकता है कि सभी कर्मचारी और ठेकेदार संगठन की सूचना सुरक्षा नीति के बारे में जानते हैं और उसका पालन करते हैं। उन्हें एक उदाहरण बनकर नेतृत्व करना चाहिए और दिखाना चाहिए कि सूचना सुरक्षा उपयोगी और आवश्यक दोनों है।

5.5 अधिकारियों से संपर्क

नियंत्रण
संगठन को संबंधित प्राधिकारियों के साथ संपर्क स्थापित करना चाहिए और उसे बनाए रखना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि संगठन और संबंधित कानूनी, विनियामक और पर्यवेक्षी प्राधिकरणों के बीच सूचना सुरक्षा के संबंध में सूचना का उचित प्रवाह हो। यह स्पष्ट होना चाहिए कि अधिकारियों (जैसे कानून प्रवर्तन, विनियामक निकाय, पर्यवेक्षी प्राधिकरण) से संपर्क करने के लिए कौन जिम्मेदार है, किन अधिकारियों से संपर्क किया जाना चाहिए (जैसे कौन सा क्षेत्र/देश), और किन मामलों में ऐसा करने की आवश्यकता है। घटनाओं पर त्वरित और पर्याप्त प्रतिक्रिया प्रभाव को बहुत कम कर सकती है, और कानून द्वारा अनिवार्य भी हो सकती है।

5.6 विशेष रुचि समूहों से संपर्क

नियंत्रण
संगठन को विशेष हित समूहों या अन्य विशेषज्ञ सुरक्षा मंचों और पेशेवर संघों के साथ संपर्क स्थापित करना चाहिए और बनाए रखना चाहिए।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा के संबंध में सूचना का उचित प्रवाह सुनिश्चित करना है। यह सुनिश्चित करने के लिए कि नवीनतम सूचना सुरक्षा प्रवृत्तियों और सर्वोत्तम प्रथाओं को बनाए रखा जाता है, आईएसएमएस कार्यों वाले कर्मियों द्वारा विशेष रुचि समूहों के साथ अच्छा संपर्क बनाए रखा जाना चाहिए। ऐसे समूहों से कुछ मामलों में विशेषज्ञ सलाह मांगी जा सकती है, और यह किसी के अपने ज्ञान को बेहतर बनाने के लिए एक बढ़िया स्रोत हो सकता है।

5.7 ख़तरे की खुफिया जानकारी

नियंत्रण

सूचना सुरक्षा खतरों से संबंधित जानकारी एकत्रित की जानी चाहिए और खतरे की खुफिया जानकारी उत्पन्न करने के लिए उसका विश्लेषण किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य संगठन के खतरे के माहौल के बारे में जागरूकता प्रदान करना है ताकि उचित शमन कार्रवाई की जा सके। खतरों पर प्रतिक्रिया करने से उनकी पहली भौतिक घटना को रोकने में बहुत कम मदद मिलती है। अपने संगठन के लिए खतरों के बारे में जानकारी एकत्र करने और उसका विश्लेषण करने से, आपको इस बात का बेहतर अंदाजा होगा कि आपके संगठन के लिए प्रासंगिक खतरों से बचाव के लिए कौन से सुरक्षा तंत्र लागू किए जाने चाहिए। कंप्यूटर चिप निर्माताओं को राज्य के अभिनेताओं द्वारा लक्षित आईपी-चोरी हमलों के लिए तैयार रहने की आवश्यकता है, लेकिन एक छोटे SaaS-प्रदाता के लिए, स्वचालित फ़िशिंग मेल एक बड़ा खतरा हैं।

5.8 परियोजना प्रबंधन में सूचना सुरक्षा

नियंत्रण
सूचना सुरक्षा को परियोजना प्रबंधन में एकीकृत किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि परियोजनाओं और डिलीवरेबल्स से संबंधित सूचना सुरक्षा जोखिमों को परियोजना जीवन चक्र के दौरान परियोजना प्रबंधन में प्रभावी ढंग से संबोधित किया जाए। एक सफल संगठन-व्यापी ISMS कार्यान्वयन को सुनिश्चित करने के लिए, सूचना सुरक्षा पर विचार किया जाना चाहिए और सभी परियोजनाओं में आवश्यकताओं के रूप में इसका दस्तावेजीकरण किया जाना चाहिए। ये आवश्यकताएँ व्यवसाय, कानूनी और अन्य मानकों या विनियमों के अनुपालन से उत्पन्न हो सकती हैं। यदि आपके पास परियोजना प्रबंधन पुस्तिकाएँ या टेम्पलेट हैं, तो एक सूचना सुरक्षा अध्याय शामिल किया जाना चाहिए।

5.9 सूचना और अन्य संबद्ध परिसंपत्तियों की सूची

नियंत्रण:
स्वामियों सहित सूचना और अन्य संबद्ध परिसंपत्तियों की एक सूची विकसित और अनुरक्षित की जानी चाहिए।

इस नियंत्रण का उद्देश्य संगठन की जानकारी और अन्य संबंधित परिसंपत्तियों की पहचान करना है ताकि उनकी सूचना सुरक्षा को बनाए रखा जा सके और उचित स्वामित्व प्रदान किया जा सके। संगठन को सभी सूचना और सूचना प्रसंस्करण परिसंपत्तियों की पहचान करनी चाहिए। सभी परिसंपत्तियों को एक सूची में तैयार किया जाना चाहिए, जिसे उचित रूप से बनाए रखा जाना चाहिए। यह जानना कि कौन सी परिसंपत्तियाँ हैं, उनका महत्व, वे कहाँ हैं, और उन्हें कैसे संभाला जाता है, जोखिमों की पहचान करने और भविष्यवाणी करने में आवश्यक है। यह कानूनी दायित्वों या बीमा उद्देश्यों के लिए भी अनिवार्य हो सकता है।
सूची में सभी परिसंपत्तियाँ, इसलिए पूरी कंपनी की अगर सूची पूरी है, तो उसका एक मालिक होना चाहिए। परिसंपत्ति स्वामित्व के लिए धन्यवाद, परिसंपत्तियों पर उनके पूरे जीवन चक्र के दौरान नज़र रखी जाती है और उनकी देखभाल की जाती है। समान परिसंपत्तियों को समूहीकृत किया जा सकता है और किसी परिसंपत्ति की दिन-प्रतिदिन की देखरेख एक तथाकथित संरक्षक को छोड़ी जा सकती है, लेकिन मालिक जिम्मेदार रहता है। परिसंपत्ति स्वामित्व को प्रबंधन द्वारा अनुमोदित किया जाना चाहिए।

5.10 सूचना और अन्य संबद्ध परिसंपत्तियों का स्वीकार्य उपयोग

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों के संचालन के लिए स्वीकार्य उपयोग और प्रक्रियाओं के लिए नियमों की पहचान, दस्तावेजीकरण और कार्यान्वयन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना और अन्य संबद्ध परिसंपत्तियाँ उचित रूप से संरक्षित, उपयोग और संभाली जाएँ। सूचना परिसंपत्तियों तक पहुँचने के लिए अच्छी तरह से प्रलेखित नियम होने चाहिए। परिसंपत्ति के उपयोगकर्ताओं को परिसंपत्ति के उपयोग के बारे में सूचना सुरक्षा आवश्यकताओं के बारे में पता होना चाहिए, और उनका पालन करना चाहिए। परिसंपत्तियों के संचालन के लिए, प्रक्रियाएँ भी मौजूद होनी चाहिए। कर्मियों को परिसंपत्तियों के लेबलिंग को समझने की आवश्यकता है, और यह जानना चाहिए कि वर्गीकरण के विभिन्न स्तरों को कैसे संभालना है। चूँकि वर्गीकरण के लिए कोई सार्वभौमिक मानक नहीं है, इसलिए अन्य पक्षों के वर्गीकरण स्तरों का ज्ञान होना भी महत्वपूर्ण है, क्योंकि वे संभवतः आपके वर्गीकरण स्तरों से भिन्न होंगे।

5.11 परिसंपत्तियों का रिटर्न

नियंत्रण
कार्मिकों और अन्य इच्छुक पक्षों को, उनकी नियुक्ति, अनुबंध या समझौते में परिवर्तन या समाप्ति पर, उनके कब्जे में मौजूद संगठन की सभी परिसंपत्तियां वापस कर देनी चाहिए।

इस नियंत्रण का उद्देश्य रोजगार, अनुबंध या समझौते को बदलने या समाप्त करने की प्रक्रिया के हिस्से के रूप में संगठन की परिसंपत्तियों की सुरक्षा करना है। जब कोई कर्मचारी या बाहरी पक्ष किसी परिसंपत्ति तक पहुँच नहीं पाता है, उदाहरण के लिए, रोजगार या समझौते की समाप्ति के कारण, तो उन्हें परिसंपत्ति को संगठन को वापस करना होगा। इसके लिए एक स्पष्ट नीति होनी चाहिए, जिसे सभी संबंधित लोगों को जानना चाहिए। वर्तमान परिचालन के लिए महत्वपूर्ण गैर-मूर्त परिसंपत्तियाँ जैसे कि विशिष्ट ज्ञान जो अभी तक प्रलेखित नहीं है, उन्हें प्रलेखित किया जाना चाहिए और उसी रूप में वापस किया जाना चाहिए।

5.12 सूचना का वर्गीकरण

नियंत्रण
सूचना को गोपनीयता, अखंडता, उपलब्धता और प्रासंगिक हितधारक आवश्यकताओं के आधार पर संगठन की सूचना सुरक्षा आवश्यकताओं के अनुसार वर्गीकृत किया जाना चाहिए।

इस नियंत्रण का उद्देश्य संगठन के लिए इसके महत्व के अनुसार सूचना की सुरक्षा आवश्यकताओं की पहचान और समझ सुनिश्चित करना है। कुछ जानकारी को मौद्रिक या कानूनी मूल्य के कारण संवेदनशील माना जाता है, और उसे गोपनीय रखना होता है जबकि अन्य जानकारी कम महत्वपूर्ण होती है। संगठन के पास वर्गीकृत जानकारी को संभालने के तरीके के बारे में एक नीति होनी चाहिए। सूचना परिसंपत्तियों को वर्गीकृत करने की जवाबदेही उसके मालिक के पास होती है। विभिन्न वर्गीकृत परिसंपत्तियों के महत्व के बीच अंतर करने के लिए, गैर-मौजूद से लेकर संगठन के अस्तित्व को गंभीर रूप से प्रभावित करने वाले गोपनीयता के कई स्तरों को लागू करना उपयोगी हो सकता है।

5.13 सूचना का लेबल लगाना

नियंत्रण:
संगठन द्वारा अपनाई गई सूचना वर्गीकरण योजना के अनुसार सूचना लेबलिंग के लिए प्रक्रियाओं का एक उपयुक्त सेट विकसित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना के वर्गीकरण के संचार को सुगम बनाना तथा सूचना प्रसंस्करण और प्रबंधन के स्वचालन का समर्थन करना है। सभी सूचनाएँ एक ही श्रेणी में नहीं आती हैं, जैसा कि ऊपर 5.12 में चर्चा की गई है। इसलिए, सभी सूचनाओं को उनके वर्गीकरण के अनुसार लेबल करना महत्वपूर्ण है। जब सूचना को संभाला जाता है, संग्रहीत किया जाता है या आदान-प्रदान किया जाता है, तो वस्तु के वर्गीकरण को जानना महत्वपूर्ण हो सकता है। लेबल आसानी से पहचाने जाने योग्य होने चाहिए। प्रक्रियाओं को इस बात पर मार्गदर्शन देना चाहिए कि भंडारण मीडिया के प्रकारों के आधार पर सूचना तक कैसे पहुँचा जाता है या परिसंपत्तियों को कैसे संभाला जाता है, इस पर विचार करते हुए लेबल कहाँ और कैसे संलग्न किए जाते हैं।

5.14 सूचना हस्तांतरण

नियंत्रण

संगठन के भीतर तथा संगठन और अन्य पक्षों के बीच सभी प्रकार की स्थानांतरण सुविधाओं के लिए सूचना स्थानांतरण नियम, प्रक्रियाएं या समझौते मौजूद होने चाहिए।

इस नियंत्रण का उद्देश्य संगठन के भीतर और किसी भी बाहरी इच्छुक पक्ष के साथ हस्तांतरित सूचना की सुरक्षा बनाए रखना है। संगठन के अंदर और बाहर सूचना साझा की जाती है। डिजिटल दस्तावेज़, भौतिक दस्तावेज़, वीडियो, लेकिन मौखिक रूप से भी सभी प्रकार की सूचना साझा करने के लिए एक प्रोटोकॉल होना चाहिए। सूचना को सुरक्षित रूप से कैसे साझा किया जा सकता है, इस पर स्पष्ट नियम सूचना संदूषण और लीक के जोखिम को कम करने में मदद करते हैं। संगठन और बाहरी पक्षों के बीच साझा की जाने वाली सूचना से पहले सूचना हस्तांतरण समझौता होना चाहिए। इस तरह, सूचना हस्तांतरण का स्रोत, सामग्री, गोपनीयता, हस्तांतरण माध्यम और गंतव्य दोनों पक्षों द्वारा जाना जाता है और उन पर सहमति व्यक्त की जाती है। व्यावसायिक संचार अक्सर इलेक्ट्रॉनिक संदेश के माध्यम से होता है। संगठनों को इलेक्ट्रॉनिक संदेश के स्वीकृत प्रकारों का अवलोकन करने की सलाह दी जाती है और उन्हें यह दस्तावेज करना चाहिए कि ये कैसे सुरक्षित हैं और इनका उपयोग कैसे किया जा सकता है।

5.15 प्रवेश नियंत्रण

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों तक भौतिक और तार्किक पहुंच को नियंत्रित करने के लिए नियंत्रण नियम स्थापित किए जाने चाहिए और उन्हें व्यवसाय और सूचना सुरक्षा आवश्यकताओं के आधार पर लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य अधिकृत पहुँच सुनिश्चित करना और सूचना तथा अन्य संबद्ध परिसंपत्तियों तक अनधिकृत पहुँच को रोकना है। पहुँच को कैसे प्रबंधित किया जाए और किसे क्या एक्सेस करने की अनुमति है, यह परिभाषित करने के लिए एक एक्सेस कंट्रोल पॉलिसी लागू होनी चाहिए। प्रत्येक परिसंपत्ति के नियम परिसंपत्ति स्वामियों के पास होते हैं, जो “अपनी” परिसंपत्ति तक पहुँच के लिए आवश्यकताएँ, प्रतिबंध और अधिकार निर्धारित करते हैं। एक्सेस कंट्रोल पॉलिसी में अक्सर इस्तेमाल किए जाने वाले शब्द हैं जानने की आवश्यकता और उपयोग करने की आवश्यकता, जहाँ पहला एक्सेस अधिकारों को केवल उस जानकारी तक सीमित करता है जिसकी किसी कर्मचारी को अपना कार्य करने के लिए आवश्यकता होती है और दूसरा एक्सेस अधिकारों को केवल उस जानकारी प्रसंस्करण सुविधाओं तक सीमित करता है जिसकी कार्य करने के लिए आवश्यकता होती है।

5.16 पहचान प्रबंधन

नियंत्रण
पहचान के सम्पूर्ण जीवन चक्र का प्रबंधन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य संगठन की जानकारी और अन्य संबद्ध परिसंपत्तियों तक पहुँचने वाले व्यक्तियों और प्रणालियों की विशिष्ट पहचान की अनुमति देना और पहुँच अधिकारों के उचित असाइनमेंट को सक्षम करना है। परिसंपत्तियों और नेटवर्क तक पहुँच अधिकार असाइन करने और वास्तव में कौन पहुँच रहा है, इस पर नज़र रखने के लिए, उपयोगकर्ताओं को एक आईडी के तहत पंजीकृत होना चाहिए। जब ​​कोई कर्मचारी किसी संगठन को छोड़ता है, तो आईडी और उस तक पहुँच हटा दी जानी चाहिए। जब ​​किसी कर्मचारी को केवल पहुँच से वंचित करने की आवश्यकता होती है, तो आईडी की पहुँच सीमित की जा सकती है। भले ही किसी अन्य कर्मचारी की आईडी का उपयोग करके किसी चीज़ तक पहुँचना तेज़ और आसान हो सकता है, लेकिन अधिकांश मामलों में प्रबंधन द्वारा इसकी अनुमति नहीं दी जानी चाहिए। आईडी साझा करने से पहुँच सीमा और कर्मचारी के बीच की कड़ी हट जाती है, और सही व्यक्ति को उनके कार्यों के लिए ज़िम्मेदार ठहराना लगभग असंभव हो जाता है। पहचान असाइन करना, बदलना और अंततः उसे हटाना अक्सर पहचान जीवन चक्र कहलाता है।

5.17 प्रमाणीकरण जानकारी

नियंत्रण

प्रमाणीकरण जानकारी के आवंटन और प्रबंधन को एक प्रबंधन प्रक्रिया द्वारा किया जाना चाहिए, जिसमें प्रमाणीकरण जानकारी के उचित संचालन पर कर्मियों को सलाह देना शामिल है।

इस नियंत्रण का उद्देश्य उचित इकाई प्रमाणीकरण सुनिश्चित करना और प्रमाणीकरण प्रक्रियाओं की विफलताओं को रोकना है। गुप्त प्रमाणीकरण, जैसे पासवर्ड और एक्सेस कार्ड, को औपचारिक प्रक्रिया में प्रबंधित किया जाना चाहिए। नीति में बताई जाने वाली अन्य महत्वपूर्ण गतिविधियाँ हैं, उदाहरण के लिए, उपयोगकर्ताओं को गुप्त प्रमाणीकरण जानकारी साझा करने से मना करना, नए उपयोगकर्ताओं को एक पासवर्ड देना जिसे पहले उपयोग पर बदलना होगा, और सभी सिस्टम को उपयोगकर्ता की गुप्त प्रमाणीकरण जानकारी (पीसी पर पासवर्ड, दरवाजों के लिए एक्सेस कार्ड स्वाइप करना) की आवश्यकता के द्वारा उपयोगकर्ता को प्रमाणित करना।
यदि पासवर्ड प्रबंधन प्रणाली का उपयोग किया जाता है, तो उन्हें अच्छे पासवर्ड प्रदान करने और संगठन की गुप्त प्रमाणीकरण जानकारी नीति का सख्ती से पालन करने की आवश्यकता होती है। पासवर्ड को स्वयं पासवर्ड प्रबंधन प्रणाली द्वारा सुरक्षित रूप से संग्रहीत और प्रेषित किया जाना चाहिए।

5.18 पहुँच अधिकार

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों तक पहुंच अधिकारों कोसंगठन की विषय-विशिष्ट नीति और पहुंच के नियमों के अनुसार प्रावधानित, समीक्षा, संशोधित और हटाया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि व्यावसायिक आवश्यकताओं के अनुसार सूचना और अन्य संबद्ध परिसंपत्तियों तक पहुँच परिभाषित और अधिकृत हो। प्रबंधन के पास पहुँच अधिकारों के प्रावधान और निरस्तीकरण के लिए एक प्रणाली होनी चाहिए। यह सलाह दी जाती है कि कुछ प्रकार के कर्मचारियों द्वारा की जाने वाली गतिविधियों के आधार पर कुछ भूमिकाएँ बनाई जाएँ और उन्हें समान मूल पहुँच अधिकार दिए जाएँ। एक प्रणाली होने का एक हिस्सा अनधिकृत पहुँच के प्रयास के लिए नतीजे होना है। कर्मचारियों को उन जगहों तक पहुँचने की कोशिश करने की कोई ज़रूरत नहीं है जहाँ उन्हें नहीं पहुँचना चाहिए, क्योंकि पहुँच अधिकारों के लिए परिसंपत्ति के मालिक और/या प्रबंधन से आसानी से अनुरोध किया जा सकता है। संगठन और उनके कर्मचारी स्थिर नहीं हैं। भूमिकाएँ बदलती हैं या कर्मचारी कंपनी छोड़ते हैं, पहुँच की ज़रूरतें लगातार बदलती रहती हैं। परिसंपत्ति मालिकों को नियमित रूप से समीक्षा करनी चाहिए कि उनकी परिसंपत्ति तक कौन पहुँच सकता है, जबकि भूमिका बदलने या छोड़ने पर प्रबंधन द्वारा पहुँच अधिकारों की समीक्षा शुरू होनी चाहिए। चूँकि विशेषाधिकार प्राप्त पहुँच अधिकार अधिक संवेदनशील होते हैं, इसलिए उनकी अधिक बार समीक्षा की जानी चाहिए। एक बार अनुबंध या समझौता समाप्त हो जाने के बाद, प्राप्त करने वाले पक्ष के पहुँच अधिकारों को हटा दिया जाना चाहिए।

5.19 आपूर्तिकर्ता संबंधों में सूचना सुरक्षा

नियंत्रण

आपूर्तिकर्ता के उत्पादों या सेवाओं के उपयोग से जुड़े सूचना सुरक्षा जोखिमों के प्रबंधन के लिए  प्रक्रियाओं और कार्यप्रणालियों को परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता संबंधों में सूचना सुरक्षा के एक सहमत स्तर को बनाए रखना है। चूंकि आपूर्तिकर्ताओं के पास कुछ परिसंपत्तियों तक पहुंच होती है, इसलिए संगठनों को जोखिम शमन के लिए आवश्यकताओं को बताते हुए एक नीति स्थापित करने की आवश्यकता होती है। इस नीति को आपूर्तिकर्ताओं को सूचित किया जाना चाहिए और उस पर सहमति होनी चाहिए। ऐसी आवश्यकताओं के उदाहरण पूर्व निर्धारित लॉजिस्टिक प्रक्रियाएँ, दोनों पक्षों के लिए एक घटना प्रक्रिया दायित्व, गैर प्रकटीकरण समझौते और आपूर्ति प्रक्रिया का दस्तावेज़ीकरण हैं।

5.20 आपूर्तिकर्ता समझौतों के अंतर्गत सूचना सुरक्षा को संबोधित करना

नियंत्रण
प्रासंगिक सूचना सुरक्षा आवश्यकताओं को स्थापित किया जाना चाहिए और आपूर्तिकर्ता संबंध के प्रकार के आधार पर प्रत्येक आपूर्तिकर्ता के साथ सहमति होनी चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता संबंधों में सूचना सुरक्षा के एक सहमत स्तर को बनाए रखना है। प्रत्येक आपूर्तिकर्ता जो किसी भी तरह से, प्रत्यक्ष या अप्रत्यक्ष रूप से, संगठन की जानकारी के संपर्क में आता है, उसे निर्धारित सूचना सुरक्षा आवश्यकताओं का पालन करना चाहिए और उनसे सहमत होना चाहिए। उदाहरण के लिए सूचना वर्गीकरण, स्वीकार्य उपयोग और ऑडिट के अधिकार की आवश्यकताएँ। समझौते का एक आसानी से भुलाया जाने वाला पहलू यह है कि जब आपूर्तिकर्ता अब आपूर्ति नहीं कर सकता या नहीं करेगा तो क्या करना चाहिए। इसके लिए एक खंड को लागू करना महत्वपूर्ण है।

5.21 आईसीटी आपूर्ति श्रृंखला में सूचना सुरक्षा का प्रबंधन

नियंत्रण

आईसीटी उत्पादों और सेवाओं की आपूर्ति श्रृंखला से जुड़े सूचना सुरक्षा जोखिमों के प्रबंधन के लिए  प्रक्रियाओं और कार्यप्रणालियों को परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता संबंधों में सूचना सुरक्षा के एक सहमत स्तर को बनाए रखना है। आपूर्तिकर्ताओं के साथ समझौतों में सूचना सुरक्षा आवश्यकताओं और आईसीटी सेवाओं और आपूर्ति श्रृंखला पर समझौतों का भी उल्लेख होना चाहिए। शामिल आवश्यकताओं के उदाहरणों में आपूर्ति श्रृंखला के माध्यम से वस्तुओं का पालन करने में सक्षम होने की आवश्यकता है, और यह कि “श्रृंखला” के प्रत्येक स्तर पर सुरक्षा का एक निश्चित न्यूनतम स्तर बनाए रखा जाता है।

5.22 आपूर्तिकर्ता सेवाओं की निगरानी, ​​समीक्षा और परिवर्तन प्रबंधन

नियंत्रण
संगठन को आपूर्तिकर्ता सूचना सुरक्षा प्रथाओं और सेवा वितरण में परिवर्तन की नियमित रूप से निगरानी, ​​समीक्षा, मूल्यांकन और प्रबंधन करना चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता समझौतों के अनुरूप सूचना सुरक्षा और सेवा वितरण के एक सहमत स्तर को बनाए रखना है। हर कोई गलतियाँ करता है, और आपूर्तिकर्ता भी। चाहे गलती दुर्घटनावश हुई हो या जानबूझकर, परिणाम एक ही होता है: संगठन को ठीक वही नहीं मिलता जिस पर सहमति बनी थी और विश्वास कम हो सकता है। इस कारण से, संगठनों को आपूर्तिकर्ताओं पर नज़र रखनी चाहिए, और जहाँ आवश्यक महसूस हो, उनका ऑडिट करना चाहिए। इस तरह, एक संगठन को पता चल जाता है कि कोई आपूर्तिकर्ता सामान्य से हटकर कुछ करता है। सिस्टम परिवर्तनों की तरह ही, प्रबंधन को आपूर्तिकर्ता सेवाओं में किसी भी परिवर्तन को नियंत्रित करने की आवश्यकता होती है। उन्हें यह सुनिश्चित करने की आवश्यकता है कि सूचना सुरक्षा नीतियाँ अद्यतित हैं और सेवा के प्रावधान में कोई भी परिवर्तन स्वयं प्रबंधित है। प्रदान की गई सेवा में एक छोटा सा बदलाव

5.23 क्लाउड सेवाओं के उपयोग के लिए सूचना सुरक्षा

नियंत्रण

क्लाउड सेवाओं के अधिग्रहण, उपयोग, प्रबंधन और निकास के लिए प्रक्रियाएं संगठन की सूचना सुरक्षा आवश्यकताओं के अनुसार स्थापित की जानी चाहिए।

इस नियंत्रण का उद्देश्य क्लाउड सेवाओं के उपयोग के लिए सूचना सुरक्षा को निर्दिष्ट और प्रबंधित करना है। क्लाउड आपूर्तिकर्ता ऐसी सेवा प्रदान करते हैं, जो उपयोग में होने पर, अक्सर किसी संगठन के बुनियादी ढांचे का एक महत्वपूर्ण हिस्सा होती है। कार्यालय दस्तावेज़ क्लाउड में संग्रहीत किए जाते हैं, लेकिन कई SaaS-प्रदाता अपने उत्पाद को Amazon AWS, Microsoft Azure या Google Cloud जैसे क्लाउड प्रदाता के माध्यम से अपने ग्राहकों को प्रदान करते हैं। संगठन के इस महत्वपूर्ण हिस्से से जुड़े जोखिमों को उचित रूप से कम किया जाना चाहिए। संगठनों के पास उपयोग किए गए क्लाउड का उपयोग करने, प्रबंधित करने और छोड़ने (निकास रणनीति) के लिए प्रक्रियाएँ होनी चाहिए। क्लाउड प्रदाता के साथ संबंध तोड़ने का मतलब अक्सर एक नया क्लाउड प्रदाता क्षितिज पर होता है, इसलिए खरीद को नियंत्रित करना और नए क्लाउड पर बोर्डिंग करना भी नहीं भूलना चाहिए। किसी भी अन्य तृतीय पक्ष सॉफ़्टवेयर की तरह, एक नए क्लाउड वातावरण को आपको अपनी इच्छित स्तर की सूचना सुरक्षा बनाए रखने की अनुमति देनी चाहिए, न कि उससे समझौता करना चाहिए।

5.24 सूचना सुरक्षा घटना प्रबंधन योजना और तैयारी

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं पर संचार सहित सूचना सुरक्षा घटनाओं के लिए त्वरित, प्रभावी, सुसंगत और व्यवस्थित प्रतिक्रिया सुनिश्चित करना है। संगठनों को सूचना सुरक्षा घटनाओं के लिए प्रक्रियाओं को बनाने और उनका दस्तावेजीकरण करने की आवश्यकता है, और कौन किसके लिए जिम्मेदार है। इस तरह, यदि कोई सूचना सुरक्षा घटना होती है, तो उसे प्रभावी ढंग से और जल्दी से संभाला जा सकता है। सुरक्षा घटना अप्रत्याशित रूप से होती है और काफी अराजकता पैदा कर सकती है, जिसे जानकार और प्रशिक्षित कर्मचारियों द्वारा पालन किए जाने वाले प्रोटोकॉल के द्वारा कम किया जा सकता है।

5.25 सूचना सुरक्षा घटनाओं पर मूल्यांकन और निर्णय

नियंत्रण
संगठन को सूचना सुरक्षा घटनाओं का मूल्यांकन करना चाहिए और निर्णय लेना चाहिए कि उन्हें सूचना सुरक्षा घटनाओं के रूप में वर्गीकृत किया जाना चाहिए या नहीं।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं का प्रभावी वर्गीकरण और प्राथमिकता सुनिश्चित करना है। संगठनों के पास सुरक्षा घटनाओं के लिए एक अच्छी तरह से दस्तावेज़ मूल्यांकन पद्धति होनी चाहिए। जब ​​कोई संदिग्ध घटना होती है, तो जिम्मेदार व्यक्ति को आवश्यकताओं के विरुद्ध घटना का परीक्षण करना होता है और यह निर्धारित करना होता है कि क्या वास्तव में कोई सूचना सुरक्षा घटना हुई थी। इस मूल्यांकन के परिणामों को दस्तावेजित किया जाना चाहिए, ताकि उन्हें भविष्य के संदर्भ के लिए इस्तेमाल किया जा सके।

5.26 सूचना सुरक्षा घटनाओं पर प्रतिक्रिया

नियंत्रण
सूचना सुरक्षा घटनाओं का प्रत्युत्तर दस्तावेजी प्रक्रियाओं के अनुसार दिया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं के लिए कुशल और प्रभावी प्रतिक्रिया सुनिश्चित करना है। यह बिंदु सीधा लगता है, लेकिन इसका उल्लेख करना अभी भी महत्वपूर्ण है और कभी-कभी व्यवहार में करना कठिन होता है। एक बार जब कोई सूचना सुरक्षा घटना घटित होती है, तो नियुक्त कर्मचारियों द्वारा निर्धारित प्रक्रियाओं का पालन करते हुए इसका जवाब दिया जाना चाहिए। पूर्व-निर्धारित कार्रवाई की जानी चाहिए, और पूरी प्रक्रिया को सटीक रूप से प्रलेखित किया जाना चाहिए। इससे भविष्य में होने वाली घटनाओं को रोकने और संबंधित सुरक्षा कमजोरियों को दूर करने में मदद मिलती है।

5.27 सूचना सुरक्षा घटनाओं से सीखना

नियंत्रण

सूचना सुरक्षा घटनाओं से प्राप्त ज्ञान का उपयोग सूचना सुरक्षा नियंत्रणों को मजबूत करने और सुधारने के लिए किया जाना चाहिए।

इस नियंत्रण का उद्देश्य भविष्य की घटनाओं की संभावना या परिणामों को कम करना है। भले ही घटनाएँ अवांछित हों, फिर भी उनका बहुत महत्व है। किसी घटना को हल करने से प्राप्त ज्ञान का उपयोग भविष्य में इसी तरह की घटनाओं को रोकने के लिए किया जाना चाहिए, और यह संभावित व्यवस्थित समस्या की पहचान करने में मदद कर सकता है। अतिरिक्त नियंत्रणों के साथ, लागतों पर नज़र रखना महत्वपूर्ण है; एक नए नियंत्रण से संगठन को वार्षिक आधार पर उन घटनाओं की तुलना में अधिक लागत नहीं उठानी चाहिए जिन्हें वह कम करता है।

5.28 साक्ष्य एकत्र करना

नियंत्रण
संगठन को सूचना सुरक्षा घटनाओं से संबंधित साक्ष्य की पहचान, संग्रह, अधिग्रहण और संरक्षण के लिए प्रक्रियाएं स्थापित और कार्यान्वित करनी चाहिए

इस नियंत्रण का उद्देश्य अनुशासनात्मक और कानूनी कार्रवाइयों के उद्देश्य से सूचना सुरक्षा घटनाओं से संबंधित साक्ष्यों का सुसंगत और प्रभावी प्रबंधन सुनिश्चित करना है। एक बार दुर्घटना होने पर, कारण आमतौर पर तुरंत स्पष्ट नहीं होता है। जब कारण कोई व्यक्ति या संगठन होता है, तो उन्हें इरादे और प्रभाव के आधार पर अनुशासित किया जाना चाहिए। किसी घटना को कारण से जोड़ने के लिए, साक्ष्य एकत्र करने की आवश्यकता होती है। दुर्भावनापूर्ण कार्रवाई के मामले में, यह साक्ष्य और इसे प्राप्त करने का तरीका कानूनी कार्यवाही में इस्तेमाल किया जा सकता है। साक्ष्य के आकस्मिक या जानबूझकर विनाश को रोकने के लिए, एक स्पष्ट और सुरक्षित साक्ष्य पहचान प्रक्रिया होनी चाहिए।

5.29 व्यवधान के दौरान सूचना सुरक्षा

नियंत्रण
संगठन को यह योजना बनानी चाहिए कि व्यवधान के दौरान सूचना सुरक्षा को उचित स्तर पर कैसे बनाए रखा जाए

इस नियंत्रण का उद्देश्य व्यवधान के दौरान सूचना और अन्य संबद्ध परिसंपत्तियों की सुरक्षा करना है। संगठनों को संकट की स्थिति में सूचना सुरक्षा निरंतरता के लिए अपनी आवश्यकताओं का निर्धारण करना चाहिए। सबसे आसान विकल्प प्रतिकूल स्थिति में यथासंभव मानक सूचना सुरक्षा गतिविधियों को फिर से शुरू करना है। एक बार प्रबंधन में आवश्यकताओं को निर्धारित और सहमति हो जाने के बाद, प्रक्रिया, योजना और नियंत्रण को संकट की स्थिति में सूचना सुरक्षा के स्वीकार्य स्तर के साथ फिर से शुरू करने के लिए लागू किया जाना चाहिए।
जैसे-जैसे संगठन बदलते हैं, संकट का जवाब देने का सबसे अच्छा तरीका भी बदल जाता है। उदाहरण के लिए, एक संगठन जो एक साल के समय में आकार में दोगुना हो गया है, उसे एक साल पहले की तुलना में एक अलग प्रतिक्रिया से लाभ होने की संभावना है। इस कारण से, सूचना सुरक्षा निरंतरता नियमित आधार पर नियंत्रित होती है।

5.30 व्यवसाय निरंतरता के लिए आईसीटी तत्परता

नियंत्रण
आई.सी.टी. तत्परता की योजना, कार्यान्वयन, रखरखाव और परीक्षण व्यवसाय निरंतरता उद्देश्यों और आई.सी.टी. निरंतरता आवश्यकताओं के आधार पर किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य व्यवधान के दौरान संगठन की जानकारी और अन्य संबद्ध परिसंपत्तियों की उपलब्धता सुनिश्चित करना है। व्यवसाय निरंतरता नियोजन के दौरान, उन परिदृश्यों पर विशेष ध्यान दिया जाना चाहिए जहाँ IT सिस्टम विफल हो जाते हैं। सिस्टम को कैसे बहाल किया जाएगा, यह कौन करेगा और इसमें कितना समय लग सकता है और लगेगा, इस बारे में एक स्पष्ट रणनीति होनी चाहिए। यह भी स्पष्ट होना चाहिए कि किसी विशिष्ट परिदृश्य में “पुनर्स्थापना” का क्या अर्थ है, क्योंकि पूर्ण मेल्टडाउन के बाद पहले सप्ताह के लिए केवल मुख्य सिस्टम को चालू रखना ही पर्याप्त है।

5.31 कानूनी, वैधानिक, नियामक और संविदात्मक आवश्यकताओं की पहचान

नियंत्रित

सूचना सुरक्षा से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं को करें तथा इन आवश्यकताओं को पूरा करने के लिए संगठन के दृष्टिकोण की पहचान की जानी चाहिए, उनका दस्तावेजीकरण किया जाना चाहिए तथा उन्हें अद्यतन रखा जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन सुनिश्चित करना है। आवश्यकताएँ सभी जगहों से आती हैं, और उन्हें पूरा किया जाना चाहिए। इसलिए संगठनों को उन सभी सूचना सुरक्षा संबंधी आवश्यकताओं का अवलोकन होना चाहिए जिनका उन्हें अनुपालन करने की आवश्यकता है, और यह कैसे किया जाता है। चूँकि आवश्यकताएँ बदल सकती हैं या जोड़ी जा सकती हैं, इसलिए आवश्यकता अनुपालन अवलोकन को अद्यतित रखने की आवश्यकता है। बदलती आवश्यकताओं का एक उदाहरण तब होता है जब आपका संगठन किसी दूसरे महाद्वीप पर किसी नए देश में फैलता है। इस देश में गोपनीयता, सूचना भंडारण और क्रिप्टोग्राफी पर अलग-अलग कानून होने की संभावना है।

5.32 बौद्धिक संपदा अधिकार

नियंत्रण
संगठन को बौद्धिक संपदा अधिकारों की रक्षा के लिए उचित प्रक्रियाओं को लागू करना चाहिए ।

इस नियंत्रण का उद्देश्य बौद्धिक संपदा अधिकारों और मालिकाना उत्पादों के उपयोग से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं के अनुपालन को सुनिश्चित करना है। बौद्धिक संपदा (आईपी) अधिकार, कानूनी अनुपालन का एक हिस्सा है, यह एक ऐसा क्षेत्र है जो विशेष ध्यान देने योग्य है। आईपी का बहुत अधिक मूल्य हो सकता है, इसलिए अपनी खुद की बौद्धिक संपदा और दूसरे की बौद्धिक संपदा के उपयोग को अच्छी तरह से प्रलेखित करना महत्वपूर्ण है। दूसरे के आईपी के (गलती से) गलत उपयोग के परिणामस्वरूप बड़े मुकदमे हो सकते हैं, और इसे हर कीमत पर रोका जाना चाहिए।

5.33 अभिलेखों का संरक्षण

नियंत्रण
अभिलेखों को हानि, विनाश, जालसाजी, अनधिकृत पहुंच और अनधिकृत रिलीज से संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं के साथ-साथ अभिलेखों की सुरक्षा और उपलब्धता से संबंधित सामुदायिक या सामाजिक अपेक्षाओं का अनुपालन सुनिश्चित करना है। कोई भी रिकॉर्ड, चाहे वह अकाउंटिंग रिकॉर्ड हो या ऑडिट लॉग, सुरक्षित होना चाहिए। रिकॉर्ड के खो जाने, समझौता होने या अनधिकृत रूप से एक्सेस किए जाने का जोखिम रहता है। रिकॉर्ड की सुरक्षा की आवश्यकताएं संगठन से या कानून या बीमा कंपनियों जैसे अन्य स्रोतों से आ सकती हैं। इसके लिए सख्त दिशा-निर्देश बनाए जाने चाहिए और उनका पालन किया जाना चाहिए।

5.34 व्यक्तिगत पहचान योग्य जानकारी (PII) की गोपनीयता और सुरक्षा

नियंत्रण
संगठन को लागू कानूनों और विनियमों और संविदात्मक आवश्यकताओं के अनुसार गोपनीयता के संरक्षण और पीआईआई की सुरक्षा से संबंधित आवश्यकताओं की पहचान करनी चाहिए और उन्हें पूरा करना चाहिए।

इस नियंत्रण का उद्देश्य PII की सुरक्षा के सूचना सुरक्षा पहलुओं से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन सुनिश्चित करना है। संगठन जिस देश या आर्थिक क्षेत्र में स्थित है, उसके आधार पर व्यक्तिगत डेटा की सुरक्षा पर अलग-अलग कानून लागू हो सकते हैं। कतर में स्थित और/या कतर में व्यक्तिगत डेटा संसाधित करने वाले संगठनों के लिए, कतर ने व्यक्तिगत डेटा सुरक्षा के संबंध में 2016 का कानून संख्या (13) लागू किया है। संगठनों को यह सुनिश्चित करने की आवश्यकता है कि वे ऐसे कानून द्वारा निर्धारित आवश्यकताओं से अवगत हैं, और इसका धार्मिक रूप से पालन करते हैं। उदाहरण के लिए, कानून डेटा प्रोसेसिंग समझौतों का संचालन करना, प्रोसेसिंग गतिविधि का रजिस्टर रखना और डेटा प्रोसेसिंग पारदर्शिता को अनिवार्य करता है।

5.35 सूचना सुरक्षा की स्वतंत्र समीक्षा

नियंत्रण
सूचना सुरक्षा के प्रबंधन और लोगों, प्रक्रियाओं और प्रौद्योगिकियों सहित इसके कार्यान्वयन के लिए संगठन के दृष्टिकोण की योजनाबद्ध अंतराल पर या जब महत्वपूर्ण परिवर्तन होते हैं, स्वतंत्र रूप से समीक्षा की जानी चाहिए।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा के प्रबंधन के लिए संगठन के दृष्टिकोण की निरंतर उपयुक्तता, पर्याप्तता और प्रभावशीलता सुनिश्चित करना है। संगठनों के लिए अपनी सूचना सुरक्षा प्रणाली की निष्पक्ष समीक्षा करना असंभव है। इस कारण से, संगठनों को नियमित आधार पर या जब बड़े बदलाव होते हैं, तो किसी स्वतंत्र पक्ष द्वारा अपनी सूचना सुरक्षा का ऑडिट करवाना चाहिए। इससे संगठन का अपनी सूचना सुरक्षा के बारे में दृष्टिकोण सही और पारदर्शी रहता है। एक स्वतंत्र पक्ष एक पूर्णकालिक आंतरिक लेखा परीक्षक भी हो सकता है, जिसका एकमात्र कार्य आंतरिक ऑडिट करना होता है और उसके पास अन्य परस्पर विरोधी कार्य और जिम्मेदारियाँ नहीं होती हैं।

5.36 सूचना सुरक्षा के लिए नीतियों और मानकों का अनुपालन

नियंत्रण

संगठन की सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों, नियमों और मानकों के अनुपालन की नियमित समीक्षा की जानी चाहिए ।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना सुरक्षा को संगठन की सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों, नियमों और मानकों के अनुसार कार्यान्वित और संचालित किया जाए। इन सभी सुरक्षा नीतियों, मानकों और प्रक्रियाओं के साथ, प्रबंधकों के लिए यह नियमित रूप से समीक्षा करना महत्वपूर्ण है कि क्या वे जिन गतिविधियों और/या प्रक्रियाओं के लिए जिम्मेदार हैं, वे पूरी तरह से अनुपालन करती हैं। इसे सही तरीके से करने के लिए, उन्हें पता होना चाहिए कि उन्हें किन नियमों और आवश्यकताओं का अनुपालन करने की आवश्यकता है और इसे मैन्युअल रूप से या स्वचालित रिपोर्टिंग टूल से जाँचना चाहिए। अनुपालन के लिए सूचना प्रणालियों की नियमित रूप से समीक्षा करने की भी आवश्यकता है। ऐसा करने का सबसे आसान और आमतौर पर सबसे किफ़ायती तरीका स्वचालित टूलिंग के माध्यम से है। यह टूलिंग किसी सिस्टम के सभी कोनों और दरारों की तुरंत जाँच कर सकता है और रिपोर्ट कर सकता है कि वास्तव में क्या गलत हुआ/हो सकता है। भेद्यता परीक्षण जैसे कि प्रवेश परीक्षण प्रभावी रूप से किसी भी कमज़ोरी को दिखा सकते हैं, लेकिन सावधानी के बिना किए जाने पर वास्तव में सिस्टम को नुकसान पहुँचा सकते हैं।

5.37 प्रलेखित संचालन प्रक्रियाएँ

नियंत्रण
सूचना प्रसंस्करण सुविधाओं के लिए संचालन प्रक्रियाओं का दस्तावेजीकरण किया जाना चाहिए तथा उन्हें जरूरतमंद कार्मिकों को उपलब्ध कराया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना प्रसंस्करण सुविधाओं का सही और सुरक्षित संचालन सुनिश्चित करना है। उपकरणों के संचालन की प्रक्रियाओं को दस्तावेजित किया जाना चाहिए और उपकरण का उपयोग करने वालों को उपलब्ध कराया जाना चाहिए। कंप्यूटर के उपयोग की सरल प्रक्रिया (शुरू से लेकर बंद होने तक) से लेकर अधिक जटिल उपकरणों के उपयोग तक, इसे सुरक्षित और सही तरीके से संचालित करने के तरीके के बारे में मार्गदर्शन होना चाहिए। उनके महत्व के कारण, प्रक्रियाओं को औपचारिक दस्तावेजों के रूप में माना जाना चाहिए, जिसका अर्थ है कि किसी भी बदलाव को प्रबंधन द्वारा अनुमोदित किया जाना चाहिए।

6.0 लोगों पर नियंत्रण

6.1 स्क्रीनिंग

नियंत्रण

कार्मिक बनने के लिए सभी उम्मीदवारों की पृष्ठभूमि सत्यापन जांच संगठन में शामिल होने से पहले और लागू कानूनों, विनियमों और नैतिकता को ध्यान में रखते हुए निरंतर आधार पर की जानी चाहिए और यह व्यावसायिक आवश्यकताओं, प्राप्त की जाने वाली जानकारी के वर्गीकरण और संभावित जोखिमों के अनुपात में होनी चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सभी कर्मी उन भूमिकाओं के लिए पात्र और उपयुक्त हैं जिनके लिए उन्हें विचार किया जाता है और वे अपने रोजगार के दौरान पात्र और उपयुक्त बने रहते हैं। सूचना सुरक्षा प्रबंधन प्रणाली को सलाहकारों और अस्थायी कर्मचारियों सहित सभी नए या पदोन्नत कर्मचारियों की जांच के लिए एक नीति की आवश्यकता होती है। यह सुनिश्चित करने के लिए है कि कर्मचारी सक्षम और भरोसेमंद हैं। नीति को स्थानीय कानून और नियमों और नए कर्मचारी की भूमिका दोनों को ध्यान में रखना चाहिए ताकि यह सुनिश्चित हो सके कि स्क्रीनिंग पर्याप्त है लेकिन असंगत नहीं है। संगठन के भीतर कुछ भूमिकाओं के लिए उच्च स्तर की स्क्रीनिंग की आवश्यकता हो सकती है, उदाहरण के लिए यदि कर्मचारी गोपनीय जानकारी संभालेंगे। विशेष रूप से सूचना सुरक्षा भूमिकाओं के लिए, स्क्रीनिंग में आवश्यक योग्यताएं और विश्वसनीयता भी शामिल होनी चाहिए

6.2 रोजगार की शर्तें और नियम

नियंत्रण
रोजगार संविदात्मक समझौतों में सूचना सुरक्षा के लिए कार्मिक और संगठन की जिम्मेदारियों का उल्लेख होना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि कर्मचारी उन भूमिकाओं के लिए अपनी सूचना सुरक्षा जिम्मेदारियों को समझें जिनके लिए उन्हें माना जाता है। काम शुरू करने से पहले, कर्मचारी को संगठन की सूचना सुरक्षा नीति के बारे में पता होना चाहिए, जिसमें सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ शामिल हैं। इसे हस्ताक्षरित आचार संहिता या इसी तरह की विधि के माध्यम से संप्रेषित किया जा सकता है। कर्मचारियों के अनुबंधों में संगठन की प्रासंगिक सूचना सुरक्षा नीति भी शामिल होनी चाहिए, जिसमें एक गोपनीयता समझौता भी शामिल है यदि कर्मचारी को गोपनीय जानकारी तक पहुँच होगी।

6.3 सूचना सुरक्षा जागरूकता, शिक्षा और प्रशिक्षण

नियंत्रण
संगठन केकार्मिकों और संबंधित इच्छुक पक्षों को उनके कार्य के लिए प्रासंगिक रूप से उचित जानकारी, सुरक्षा जागरूकता, शिक्षा और प्रशिक्षण तथा संगठन की सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों और प्रक्रियाओं के बारे में नियमित अद्यतन प्राप्त होना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि कर्मचारी और संबंधित इच्छुक पक्ष अपनी सूचना सुरक्षा जिम्मेदारियों के बारे में जागरूक हों और उन्हें पूरा करें। जब कर्मचारी परिवर्तन की भूमिका के संगठन में शामिल होते हैं तो उन्हें सूचना सुरक्षा प्रशिक्षण की आवश्यकता होती है। लंबे समय से सेवारत कर्मचारियों को भी नियमित प्रशिक्षण और संचार के साथ अपनी जागरूकता बनाए रखने की आवश्यकता होती है। प्रशिक्षण भूमिका के लिए प्रासंगिक होना चाहिए। कई कर्मचारियों के लिए, इसमें पासवर्ड सुरक्षा और सामाजिक-इंजीनियरिंग हमलों के बारे में अनुस्मारक जैसी बुनियादी बातें शामिल होंगी। तकनीकी कर्मचारियों या गोपनीय सामग्री को संभालने वालों के लिए उनकी विशिष्ट भूमिका के लिए अधिक गहन शिक्षा की आवश्यकता होगी।

6.4 अनुशासनात्मक प्रक्रिया

नियंत्रण
एक अनुशासनात्मक प्रक्रिया को औपचारिक रूप दिया जाना चाहिए और इसकी सूचना दी जानी चाहिए ताकि सूचना सुरक्षा नीति का उल्लंघन करने वाले कार्मिकों और अन्य संबंधित हितबद्ध पक्षों के विरुद्ध कार्रवाई की जा सके।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि कार्मिक और अन्य संबंधित इच्छुक पक्ष सूचना सुरक्षा नीति उल्लंघन के परिणामों को समझें, ताकि उल्लंघन करने वाले कार्मिक और अन्य संबंधित इच्छुक पक्षों को रोका जा सके और उनके साथ उचित तरीके से निपटा जा सके। सूचना सुरक्षा नीति उल्लंघन की पुष्टि के बाद अनुशासनात्मक प्रक्रिया के लिए एक नीति लागू होनी चाहिए। अनुशासनात्मक प्रक्रिया आनुपातिक और क्रमिक होनी चाहिए, जिसमें कार्रवाई घटना की गंभीरता, इरादे, क्या यह दोहराया गया अपराध था और सबसे महत्वपूर्ण बात यह है कि क्या कर्मचारी पर्याप्त रूप से प्रशिक्षित था, पर निर्भर करती है। कई दर्ज की गई सुरक्षा घटनाएँ नीति उल्लंघन का परिणाम होंगी और अनुशासनात्मक कार्रवाई की ओर ले जाएँगी। यह याद रखना महत्वपूर्ण है क्योंकि कर्मचारियों को अनुशासनात्मक कार्रवाई के डर से सुरक्षा घटनाओं की रिपोर्ट करने से बचना चाहिए।

6.5 नौकरी की समाप्ति या परिवर्तन के बाद जिम्मेदारियाँ

नियंत्रित

सूचना सुरक्षा जिम्मेदारियों और कर्तव्यों को  करें जो रोजगार की समाप्ति या परिवर्तन के बाद भी वैध रहते हैं, उन्हें परिभाषित, लागू किया जाना चाहिए और संबंधित कर्मियों और अन्य इच्छुक पक्षों को सूचित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य रोजगार या अनुबंधों को बदलने या समाप्त करने की प्रक्रिया के हिस्से के रूप में संगठन के हितों की रक्षा करना है। रोजगार बदलने या समाप्त होने पर सूचना सुरक्षा की ज़िम्मेदारियाँ समाप्त नहीं होती हैं। कर्मचारी के रोजगार की शर्तों और शर्तों में गोपनीयता समझौते शामिल होने चाहिए, जिसके अनुसार कर्मचारी को संगठन छोड़ने के बाद सूचना की गोपनीयता का सम्मान करना होगा। जब कोई कर्मचारी छोड़ता है, तो वह सूचना सुरक्षा भूमिकाएँ भी खाली छोड़ सकता है। सुरक्षा की निरंतरता बनाए रखने के लिए, प्रबंधन को इन भूमिकाओं की पहचान करनी चाहिए ताकि उन्हें स्थानांतरित किया जा सके।

6.6 गोपनीयता या गैर-प्रकटीकरण समझौते

नियंत्रित

सूचना की सुरक्षा के लिए संगठन की आवश्यकताओं को प्रतिबिंबित करने वाले गोपनीयता या गैर-प्रकटीकरण समझौतों की पहचान की जानी चाहिए, उनका दस्तावेजीकरण किया जाना चाहिए, नियमित रूप से समीक्षा की जानी चाहिए और कर्मियों तथा अन्य संबंधित इच्छुक पक्षों द्वारा उन पर हस्ताक्षर किए जाने चाहिए ।

इस नियंत्रण का उद्देश्य कार्मिकों या बाहरी पक्षों द्वारा सुलभ जानकारी की गोपनीयता बनाए रखना है। यदि जानकारी की गोपनीयता पर्याप्त रूप से उच्च है, तो इसे कानूनी रूप से लागू करने योग्य शर्तों द्वारा संरक्षित करने की आवश्यकता हो सकती है। इस मामले में, गोपनीयता समझौतों का उपयोग किया जा सकता है, जिसमें शामिल जानकारी, सभी पक्षों की ज़िम्मेदारियाँ, समझौते की अवधि और समझौते को तोड़ने पर दंड निर्धारित किया जाता है। ये कर्मचारी द्वारा एक निश्चित समय अवधि के लिए संगठन छोड़ने के बाद जानकारी को प्रकटीकरण से बचाते हैं।

6.7 दूरस्थ कार्य

नियंत्रण

जब कर्मचारी दूर से काम कर रहे हों, तो संगठन के परिसर के बाहर प्राप्त, संसाधित या संग्रहीत जानकारी की सुरक्षा के लिए  सुरक्षा उपायों को लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि जब कर्मचारी दूर से काम कर रहे हों तो सूचना की सुरक्षा हो। कई संगठनों में दूर से काम करना मानक बन गया है, जिससे संगठन और कर्मचारी दोनों को अधिक लचीलापन मिलता है। हालाँकि, दूर से काम करने के लिए सूचना सुरक्षा निहितार्थ हैं, जिन पर विचार किया जाना चाहिए और उनका दस्तावेजीकरण किया जाना चाहिए। दूर से काम करने की नीति में यह बताया जाना चाहिए कि कहाँ और कब दूर से काम करने की अनुमति है, डिवाइस और उपकरण का प्रावधान, अधिकृत पहुँच और कौन सी जानकारी दूर से एक्सेस की जा सकती है। विशेष रूप से महत्वपूर्ण हैं अजीब नेटवर्क के उपयोग को नियंत्रित करने वाली नीतियाँ और जोखिम कि मित्र, परिवार या अजनबी गोपनीय जानकारी को सुन या देख सकते हैं।

6.8 सूचना सुरक्षा घटना रिपोर्टिंग

नियंत्रण
संगठन को कार्मिकों के लिए एक तंत्र उपलब्ध कराना चाहिए, ताकि वे उचित माध्यमों से समयबद्ध तरीके से देखी गई या संदिग्ध सूचना सुरक्षा घटनाओं की रिपोर्ट कर सकें।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं की समय पर, सुसंगत और प्रभावी रिपोर्टिंग का समर्थन करना है जिन्हें कर्मियों द्वारा पहचाना जा सकता है। कर्मचारी कभी-कभी अपने दैनिक कार्य के दौरान सूचना सुरक्षा घटनाओं का सामना करते हैं। घटनाओं में मानवीय त्रुटियाँ, गोपनीयता भंग, खराबी, संदिग्ध मैलवेयर संक्रमण और आईएस नीति या कानून का गैर-अनुपालन शामिल हो सकते हैं। घटना की पहचान, उसे ठीक करने और फिर से होने से रोकने का पहला कदम रिपोर्टिंग है। इसलिए कर्मचारियों को एक रिपोर्टिंग चैनल की आवश्यकता होती है और उन्हें इसके अस्तित्व के बारे में पता होना चाहिए।

7.0 भौतिक नियंत्रण

7.1 भौतिक सुरक्षा परिधि

नियंत्रण
सुरक्षा परिधि को परिभाषित किया जाना चाहिए और उनका उपयोग उन क्षेत्रों की सुरक्षा के लिए किया जाना चाहिए जिनमें सूचना और अन्य संबद्ध परिसंपत्तियां हों।

इस नियंत्रण का उद्देश्य संगठन की जानकारी और अन्य संबंधित संपत्तियों तक अनधिकृत भौतिक पहुँच, क्षति और हस्तक्षेप को रोकना है। भौतिक स्थान की सुरक्षा करते समय पहला कदम इसकी परिधि को परिभाषित करना है। परिधि के भीतर संवेदनशील या महत्वपूर्ण क्षेत्रों की पहचान तब की जा सकती है। परिधि को अलार्म और घुसपैठिए का पता लगाने वाली प्रणालियों के साथ सामग्री की सुरक्षा के लिए पर्याप्त रूप से भौतिक रूप से सुरक्षित होना चाहिए। यदि आवश्यक हो तो एक निगरानी रिसेप्शन पहुँच को नियंत्रित कर सकता है। इस लेख के शीर्ष पर दी गई छवि परिधि और सुरक्षित क्षेत्रों को दर्शाने वाली ज़ोन योजना का एक उदाहरण है।

7.2 भौतिक प्रवेश नियंत्रण

नियंत्रण
सुरक्षित क्षेत्रों को उचित प्रवेश नियंत्रण और पहुंच बिंदुओं द्वारा संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि संगठन की जानकारी और अन्य संबद्ध परिसंपत्तियों तक केवल अधिकृत भौतिक पहुँच हो। केवल अधिकृत व्यक्ति ही परिसंपत्तियों और सूचनाओं में प्रवेश करने में सक्षम होने चाहिए। प्रतिबंधों का स्तर संगठनात्मक आवश्यकताओं पर निर्भर करता है। विचार करने योग्य बातों में व्यक्तिगत पहचान और लॉगिंग शामिल है जो परिसर में प्रवेश करता है। आगंतुकों को उनकी पहचान स्थापित करने, वे कहाँ जा सकते हैं और क्या उनके साथ कोई होना चाहिए, इसके लिए एक प्रक्रिया होनी चाहिए। डिलीवरी में भी जोखिम होता है, क्योंकि डिलीवरी क्षेत्रों को सुरक्षित करने की आवश्यकता होती है और डिलीवरी कर्मियों को प्रतिबंधित क्षेत्रों में प्रवेश करने से रोकना होता है।

7.3 कार्यालयों, कमरों और सुविधाओं को सुरक्षित करना

नियंत्रण

कार्यालयों, कमरों और सुविधाओं के लिए भौतिक सुरक्षा को डिजाइन और कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य कार्यालय, कमरे और सुविधाओं में संगठन की जानकारी और अन्य संबद्ध संपत्तियों तक अनधिकृत भौतिक पहुँच, क्षति और हस्तक्षेप को रोकना है। कार्यालयों को डिजिटल या भौतिक कुंजियों से सुरक्षित किया जाना चाहिए। सामान्य तौर पर, विस्तृत निर्देशिकाएँ और मानचित्र खुले तौर पर सुलभ नहीं होने चाहिए क्योंकि ये संवेदनशील संपत्तियों के स्थान को उजागर कर सकते हैं।

7.4 भौतिक सुरक्षा निगरानी

नियंत्रण
परिसर पर अनाधिकृत भौतिक पहुंच के लिए निरंतर निगरानी रखी जानी चाहिए।

इस नियंत्रण का उद्देश्य अनधिकृत भौतिक पहुँच का पता लगाना और उसे रोकना है। निगरानी से घुसपैठियों को रोका जा सकता है और घुसपैठ का पता लगाया जा सकता है। गार्ड, कैमरे और अलार्म सभी अनधिकृत पहुँच के खिलाफ निगरानी करते हैं। किसी भी निगरानी प्रणाली के डिजाइन को गोपनीय माना जाना चाहिए। यह सुनिश्चित करने के लिए नियमित परीक्षण की आवश्यकता होती है कि सिस्टम काम करता है। कैमरा निगरानी प्रणाली और अन्य निगरानी प्रणाली जो व्यक्तिगत जानकारी एकत्र करती हैं या किसी व्यक्ति को ट्रैक करने के लिए उपयोग की जा सकती हैं, उन्हें डेटा सुरक्षा कानूनों के तहत विशेष विचार की आवश्यकता हो सकती है। उदाहरण के लिए, कैमरा निगरानी के लिए GDPR कानून के तहत डेटा सुरक्षा प्रभाव मूल्यांकन की आवश्यकता हो सकती है।

7.5 भौतिक और पर्यावरणीय खतरों से सुरक्षा

नियंत्रण

प्राकृतिक आपदाओं और बुनियादी ढांचे के लिए अन्य जानबूझकर या अनजाने में उत्पन्न भौतिक खतरों जैसे भौतिक और पर्यावरणीय खतरों के खिलाफ  संरक्षण को डिजाइन और कार्यान्वित किया जाना चाहिए।
इस नियंत्रण का उद्देश्य भौतिक और पर्यावरणीय खतरों से उत्पन्न होने वाली घटनाओं के परिणामों को रोकना या कम करना है। प्राकृतिक या मानव निर्मित आपदाएँ और भौतिक हमले सूचना सुरक्षा और व्यवसाय निरंतरता को खतरे में डालते हैं। इन जोखिमों का स्तर स्थान पर अत्यधिक निर्भर है। बाढ़, आग और बड़े तूफान सबसे संभावित जोखिम हैं, लेकिन भूकंप, नागरिक अशांति और आतंकवादी हमलों से होने वाले जोखिम को भी जोखिम आकलन में शामिल किया जा सकता है।

7.6 सुरक्षित क्षेत्रों में कार्य करना

नियंत्रण
सुरक्षित क्षेत्रों में कार्य करने के लिए सुरक्षा उपायों को डिजाइन और कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सुरक्षित क्षेत्रों में सूचना और अन्य संबंधित संपत्तियों को इन क्षेत्रों में काम करने वाले कर्मियों द्वारा नुकसान और अनधिकृत हस्तक्षेप से बचाना है। सुरक्षित वातावरण के अस्तित्व और उद्देश्य को केवल आवश्यकता के आधार पर ही साझा किया जाना चाहिए। उन्हें बंद रखा जाना चाहिए, और अधिकृत व्यक्तियों तक ही पहुँच सीमित होनी चाहिए। आम तौर पर, सुरक्षा और सुरक्षा दोनों उद्देश्यों के लिए अकेले काम करने को हतोत्साहित किया जाना चाहिए।

7.7 साफ़ डेस्क और साफ़ स्क्रीन

नियंत्रण

कागजात और हटाए जाने योग्य भंडारण मीडिया के लिए स्पष्ट डेस्क नियम और सूचना प्रसंस्करण सुविधाओं के लिए स्पष्ट स्क्रीन नियमों को परिभाषित और उचित रूप से लागू किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सामान्य कार्य घंटों के दौरान और उसके बाहर डेस्क, स्क्रीन और अन्य सुलभ स्थानों पर अनधिकृत पहुँच, हानि और क्षति के जोखिम को कम करना है। डेस्क, स्क्रीन, प्रिंटर और व्हाइटबोर्ड पर छोड़ी गई संवेदनशील जानकारी को कोई भी एक्सेस कर सकता है। एक स्पष्ट डेस्क और स्क्रीन नीति परिभाषित करती है कि जानकारी कैसे और कहाँ एक्सेस की जा सकती है। एक बुनियादी नीति में कोई भी मुद्रित दस्तावेज़ बिना देखरेख के नहीं छोड़ना शामिल है, चाहे वह कार्य स्थल पर हो या प्रिंटर पर (स्पष्ट डेस्क) और लॉक डिवाइस स्क्रीन पर (स्पष्ट स्क्रीन)। संवेदनशील जानकारी के लिए अधिक विस्तृत नीतियों की आवश्यकता हो सकती है, उदाहरण के लिए कि जानकारी को खुले वातावरण में स्क्रीन पर नहीं देखा जा सकता है।

7.8 उपकरण का स्थान निर्धारण और सुरक्षा

नियंत्रण
उपकरण सुरक्षित एवं संरक्षित स्थान पर रखा जाना चाहिए।

इस नियंत्रण का उद्देश्य भौतिक और पर्यावरणीय खतरों, तथा अनधिकृत पहुँच और क्षति से होने वाले जोखिमों को कम करना है। उपकरणों का सावधानीपूर्वक उपयोग कई जोखिमों को कम कर सकता है: न केवल अनधिकृत पहुँच बल्कि पर्यावरणीय कारकों, फैले हुए भोजन और पेय, बर्बरता, तथा प्रकाश या आर्द्रता के कारण होने वाले क्षरण के कारण होने वाले जोखिम भी। आवश्यक सुरक्षा उपकरण की संवेदनशीलता पर निर्भर करेगी।

7.9 परिसर से बाहर परिसंपत्तियों की सुरक्षा

नियंत्रण:
ऑफ-साइट परिसंपत्तियों को संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य ऑफ़-साइट डिवाइस के नुकसान, क्षति, चोरी या समझौता को रोकना और संगठन के संचालन में बाधा उत्पन्न करना है। निजी डिवाइस (अपने-अपने-डिवाइस-लाएँ) सहित डिवाइस को परिसर से बाहर निकलते समय भी सुरक्षा की आवश्यकता होती है। बुनियादी बातों में उचित भौतिक सुरक्षा जैसे कवर और डिवाइस को बिना देखरेख के न छोड़कर चोरी की रोकथाम शामिल है। संगठन को इस बात की जानकारी होनी चाहिए कि ऑफ़-साइट डिवाइस का उपयोग किसके द्वारा किया जाता है और ऑफ़-साइट पर कौन सी जानकारी एक्सेस या उपयोग की जा रही है।

7.10 भंडारण मीडिया

नियंत्रण
भंडारण मीडिया को संगठन की वर्गीकरण योजना और हैंडलिंग आवश्यकताओं के अनुसार अधिग्रहण, उपयोग, परिवहन और निपटान के जीवन चक्र के माध्यम से प्रबंधित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य भंडारण मीडिया पर सूचना का केवल अधिकृत प्रकटीकरण, संशोधन, निष्कासन या विनाश सुनिश्चित करना है। किसी भी मीडिया प्रारूप में संग्रहीत सूचना अनधिकृत पहुँच का जोखिम लाती है, और संशोधन या गिरावट, हानि, विनाश या निष्कासन के माध्यम से सूचना अखंडता की हानि होती है। इसलिए मीडिया को सुरक्षित रूप से संग्रहीत किया जाना चाहिए और अंततः सुरक्षित रूप से नष्ट कर दिया जाना चाहिए। हटाने योग्य मीडिया के प्रबंधन को नियंत्रित करने वाली नीतियों में यह शामिल होना चाहिए कि हटाने योग्य मीडिया पर कौन सी जानकारी संग्रहीत की जा सकती है, ऐसे मीडिया का पंजीकरण और ट्रैकिंग, अनधिकृत पहुँच या गिरावट को रोकने के लिए इसे कैसे सुरक्षित रूप से संग्रहीत किया जाना चाहिए, और इसे कैसे ले जाया जाना चाहिए। जब ​​भंडारण की आवश्यकता नहीं रह जाती है, तो सुरक्षित विनाश आवश्यक है। यह किसी बाहरी पक्ष द्वारा किया जा सकता है।

7.11 सहायक उपयोगिताएँ

नियंत्रण
सूचना प्रसंस्करण सुविधाओं को बिजली की विफलताओं और सहायक उपयोगिताओं में विफलताओं के कारण होने वाली अन्य बाधाओं से संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना और अन्य संबंधित परिसंपत्तियों की हानि, क्षति या समझौता को रोकना है, या सहायक उपयोगिताओं की विफलता और व्यवधान के कारण संगठन के संचालन में रुकावट को रोकना है। बिजली की विफलता तुरंत किसी व्यवसाय की गतिविधियों को प्रभावित कर सकती है। कम स्पष्ट रूप से, दूरसंचार और एयर कंडीशनिंग सभी डिजिटल गतिविधियों को बाधित करेंगे, और गैस, सीवेज या पानी की आपूर्ति की विफलता कर्मचारियों को साइट पर काम करने से रोक देगी। निरीक्षण और अलार्म सिस्टम वास्तविक या संभावित विफलताओं की पहचान कर सकते हैं। निरंतरता योजनाओं को सेवा प्रदाताओं के लिए बैक-अप विकल्पों और आपातकालीन संपर्क विवरणों की पहचान करनी चाहिए।

7.12 केबल सुरक्षा

नियंत्रण
बिजली, डेटा या सहायक सूचना सेवाएं ले जाने वाले केबलों को अवरोधन, हस्तक्षेप या क्षति से बचाया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना और अन्य संबंधित परिसंपत्तियों की हानि, क्षति, चोरी या समझौता को रोकना और बिजली और संचार केबलिंग से संबंधित संगठन के संचालन में रुकावट को रोकना है। सूचना और डेटा केबल के माध्यम से स्थानांतरित किए जाते हैं, जबकि कंप्यूटर, सुरक्षा प्रणाली और पर्यावरण नियंत्रण सभी को केबलिंग द्वारा आपूर्ति की जाने वाली बिजली की आवश्यकता होती है। पूर्व को बाधित किया जा सकता है और दोनों में से किसी की भी आउटेज सूचना सुरक्षा और व्यवसाय निरंतरता को खतरे में डाल सकती है। आवश्यक सुरक्षा की डिग्री संगठन पर निर्भर करती है, और कई मामलों में भवन सुविधा प्रदाताओं या दूरसंचार और उपयोगिता कंपनियों द्वारा प्रबंधित की जाएगी। बुनियादी सुरक्षा में क्षति को रोकने के लिए केबलिंग कंडिट या केबल फ़्लोर कवर का उपयोग करना और उपयोगिता पहुँच और प्रवेश बिंदुओं तक लॉक की गई पहुँच शामिल है।

7.13 उपकरण रखरखाव

 नियंत्रण
सूचना की उपलब्धता, अखंडता और गोपनीयता सुनिश्चित करने के लिए उपकरण का रखरखाव सही ढंग से किया जाना चाहिए।

इस नियंत्रण का उद्देश्य रखरखाव की कमी के कारण सूचना और अन्य संबंधित परिसंपत्तियों की हानि, क्षति, चोरी या समझौता तथा संगठन के संचालन में व्यवधान को रोकना है। उपकरण रखरखाव में दो सूचना सुरक्षा संबंधी विचार शामिल हैं: खराब रखरखाव वाले उपकरण से सूचना के नुकसान का जोखिम होता है; जबकि उपकरण की सर्विसिंग या रखरखाव से सूचना बाहरी या अनधिकृत पक्षों के सामने आ सकती है। नियमित रूप से सर्विस किए गए और अपडेट किए गए उपकरणों को जोखिमपूर्ण मरम्मत की आवश्यकता होने या आउटेज की ओर ले जाने की संभावना कम होती है। जब मरम्मत की आवश्यकता होती है, तो सेवा प्रदाताओं को चुनने और उनके काम की जाँच करने में सावधानी बरतनी चाहिए।

7.14 उपकरणों का सुरक्षित निपटान या पुनः उपयोग

नियंत्रण
भंडारण मीडिया वाले उपकरणों के मदों का सत्यापन किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि निपटान या पुनः उपयोग से पहले किसी भी संवेदनशील डेटा और लाइसेंस प्राप्त सॉफ्टवेयर को हटा दिया गया है या सुरक्षित रूप से अधिलेखित कर दिया गया है।

इस नियंत्रण का उद्देश्य निपटान या पुनः उपयोग किए जाने वाले उपकरणों से सूचना के रिसाव को रोकना है। जो उपकरण अब उपयोग में नहीं है, उनमें अभी भी लाइसेंस प्राप्त सॉफ़्टवेयर स्थापित हो सकता है या संवेदनशील डेटा संग्रहीत हो सकता है। यह उन उपकरणों पर भी लागू होता है जिन्हें मरम्मत की आवश्यकता होती है, और बाहरी मरम्मत सेवाओं का उपयोग करने का निर्णय लेते समय इस पर विचार किया जाना चाहिए। संवेदनशील जानकारी को हटाने के लिए मानक डिलीट फ़ंक्शन पर्याप्त नहीं हो सकते हैं। इसके बजाय, विशेषज्ञ विनाश, विलोपन या ओवरराइटिंग विधियाँ स्टोरेज मीडिया पर बची हुई जानकारी के जोखिम को कम करती हैं। भौतिक लेबल या चिह्नों को भी हटाना याद रखें!

8.0 तकनीकी नियंत्रण

8.1 उपयोगकर्ता एंडपॉइंट डिवाइस

नियंत्रण

उपयोगकर्ता एंडपॉइंट डिवाइस पर संग्रहीत, उसके द्वारा संसाधित या उसके माध्यम से पहुंच योग्य  जानकारी को संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य उपयोगकर्ता एंडपॉइंट डिवाइस का उपयोग करके पेश किए गए जोखिमों के विरुद्ध जानकारी की सुरक्षा करना है। उपयोगकर्ता एंडपॉइंट डिवाइस वे डिवाइस हैं जिनसे जानकारी एक्सेस की जा सकती है, प्रोसेस की जा सकती है या जहाँ जानकारी को सहेजा जा सकता है। इनमें लैपटॉप, स्मार्टफोन और पीसी शामिल हैं। उपयोगकर्ता एंडपॉइंट डिवाइस के लिए एक नीति में पंजीकरण, भौतिक, पासवर्ड और क्रिप्टोग्राफ़िक सुरक्षा और जिम्मेदार उपयोग शामिल होना चाहिए। जिम्मेदार उपयोग में यह नियंत्रित करना शामिल है कि डिवाइस तक किसकी पहुँच है, सॉफ़्टवेयर की स्थापना, ऑपरेटिंग सिस्टम को नियमित रूप से अपडेट करना और डिवाइस का बैकअप लेना। किसी संगठन को विवादों और संबंधित सूचना सुरक्षा जोखिमों को रोकने के लिए अपने-अपने-डिवाइस लाने के लिए एक विशिष्ट नीति की आवश्यकता हो सकती है।

8.2 विशेषाधिकार प्राप्त पहुँच अधिकार

नियंत्रण
विशेषाधिकार प्राप्त पहुँच अधिकारों के आवंटन और उपयोग को प्रतिबंधित और प्रबंधित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि केवल अधिकृत उपयोगकर्ता, सॉफ़्टवेयर घटक और सेवाएँ ही विशेषाधिकार प्राप्त पहुँच अधिकार प्रदान करें। उपयोगकर्ताओं, सॉफ़्टवेयर घटकों और प्रणालियों को विशेषाधिकार प्राप्त या व्यवस्थापक पहुँच अधिकारों का आवंटन केस-दर-केस आधार पर और केवल आवश्यकतानुसार किया जाना चाहिए। इसका मतलब यह है कि पहुँच अधिकार कब दिए जा सकते हैं और कब उन्हें समाप्त या निरस्त किया जाना चाहिए, यह निर्धारित करने के लिए एक नीति होनी चाहिए। जब ​​विशेषाधिकार प्राप्त पहुँच अधिकार दिए जाते हैं, तो उपयोगकर्ता को यह समझना चाहिए कि वे किस लिए हैं और उनका उपयोग कब किया जाना चाहिए। पहला कदम यह है कि विशेषाधिकार प्राप्त उपयोगकर्ताओं को हमेशा पता होना चाहिए कि उनके पास व्यवस्थापक पहुँच अधिकार हैं। इन अधिकारों का उपयोग दिन-प्रतिदिन के कार्यों के लिए नहीं किया जाना चाहिए, जिन्हें हमेशा मानक पहुँच खातों के साथ किया जाना चाहिए। विशेषाधिकार प्राप्त पहुँच का उपयोग केवल तब किया जाना चाहिए जब व्यवस्थापक कार्य किए जा रहे हों।

8.3 सूचना तक पहुंच प्रतिबंध

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों तक पहुंच पर स्थापित विषय-विशिष्ट नीति के अनुसार प्रतिबंधित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य केवल अधिकृत पहुँच सुनिश्चित करना और सूचना तथा अन्य संबद्ध परिसंपत्तियों तक अनधिकृत पहुँच को रोकना है। सूचना तथा अन्य परिसंपत्तियों तक पहुँच व्यावसायिक आवश्यकता पर आधारित होनी चाहिए, तथा पहुँच विशेष उपयोगकर्ताओं तक सीमित होनी चाहिए। अज्ञात उपयोगकर्ताओं को जानकारी उपलब्ध नहीं होनी चाहिए, ताकि अप्राप्य तथा अनधिकृत पहुँच को रोका जा सके। सूचना की गोपनीयता बनाए रखने, उसके उपयोग की निगरानी करने तथा संशोधन और वितरण को रोकने के लिए यह महत्वपूर्ण है।

8.4 स्रोत कोड तक पहुंच

नियंत्रण
स्रोत कोड, विकास उपकरण और सॉफ्टवेयर लाइब्रेरी तक पढ़ने और लिखने की पहुंच को उचित रूप से प्रबंधित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य अनधिकृत कार्यक्षमता की शुरूआत को रोकना, अनजाने या दुर्भावनापूर्ण परिवर्तनों से बचना और मूल्यवान बौद्धिक संपदा की गोपनीयता बनाए रखना है। अवांछित परिवर्तनों को रोकने और कोड को गोपनीय रखने के लिए स्रोत कोड को सुरक्षित रखने की आवश्यकता है। कर्मचारियों की भूमिका और व्यावसायिक आवश्यकता यह निर्धारित करती है कि उनके पास पढ़ने और लिखने की पहुँच है या नहीं। अधिकांश कर्मचारियों के लिए केवल पढ़ने तक पहुँच सीमित करने से कोड की अखंडता की रक्षा करने में मदद मिलती है। इसी कारण से, डेवलपर्स को विकास उपकरणों का उपयोग करना चाहिए जो गतिविधियों को नियंत्रित करते हैं, बजाय स्रोत कोड भंडार तक सीधी पहुँच रखने के।

8.5 सुरक्षित प्रमाणीकरण

नियंत्रण
सुरक्षित प्रमाणीकरण प्रौद्योगिकियों और प्रक्रियाओं को सूचना पहुँच प्रतिबंधों और पहुँच नियंत्रण पर विषय-विशिष्ट नीति के आधार पर कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सिस्टम, एप्लिकेशन और सेवाओं तक पहुँच प्रदान किए जाने पर उपयोगकर्ता या इकाई सुरक्षित रूप से प्रमाणित हो। सुरक्षित प्रमाणीकरण यह गारंटी देने में मदद करता है कि उपयोगकर्ता वही है जो वह कहता है कि वह है। प्रमाणीकरण की आवश्यक शक्ति सूचना के वर्गीकरण पर निर्भर करती है। उपयोगकर्ता नाम और पासवर्ड प्रमाणीकरण का एक बुनियादी स्तर प्रदान करते हैं, जिसे क्रिप्टोग्राफ़िक या बायोमेट्रिक नियंत्रण, स्मार्ट कार्ड या टोकन या अन्य बहु कारक प्रमाणीकरण का उपयोग करके मजबूत किया जा सकता है। अनधिकृत व्यक्तियों को सहायता प्रदान करने से बचने के लिए लॉगिन स्क्रीन पर यथासंभव न्यूनतम जानकारी दिखाई जानी चाहिए। सभी लॉगिन प्रयासों को लॉग किया जाना चाहिए, चाहे वे सफल हों या नहीं, ताकि हमलों या अनधिकृत उपयोग की पहचान की जा सके।

8.6 क्षमता प्रबंधन

नियंत्रण
संसाधनों के उपयोग की निगरानी की जानी चाहिए तथा वर्तमान एवं अपेक्षित क्षमता आवश्यकताओं के अनुरूप समायोजित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना प्रसंस्करण सुविधाओं, मानव संसाधन, कार्यालयों और अन्य सुविधाओं की आवश्यक क्षमता सुनिश्चित करना है। क्षमता प्रबंधन में मानव संसाधन, कार्यालय स्थान और अन्य सभी सुविधाएँ शामिल हैं, न कि केवल सूचना प्रसंस्करण और भंडारण। व्यवसाय और सुरक्षा नियोजन में भविष्य की आवश्यकताओं को ध्यान में रखा जाना चाहिए, खासकर अगर परिसंपत्ति अधिग्रहण में लंबा समय लगता है। क्लाउड कंप्यूटिंग अक्सर लचीले क्षमता प्रबंधन की अनुमति देता है। इसके विपरीत, भौतिक सुविधाओं और कर्मियों को अधिक रणनीतिक योजना की आवश्यकता हो सकती है। भौतिक और डिजिटल सूचना भंडारण का अनुकूलन, पुराने डेटा को हटाना, और अनुकूलित बैच प्रसंस्करण और अनुप्रयोगों का मतलब होगा कि मौजूदा क्षमता का अधिक कुशलता से उपयोग किया जाता है।

8.7 मैलवेयर से सुरक्षा

नियंत्रण
मैलवेयर के विरुद्ध सुरक्षा को उचित उपयोगकर्ता जागरूकता द्वारा क्रियान्वित और समर्थित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना और अन्य संबद्ध संपत्तियां मैलवेयर से सुरक्षित रहें। मैलवेयर पहचान सॉफ़्टवेयर (जैसे वायरस स्कैनर) कुछ सुरक्षा प्रदान करता है, लेकिन यह मैलवेयर से सुरक्षा का एकमात्र तरीका नहीं है। सुरक्षा में सूचना सुरक्षा जागरूकता, पहुँच नियंत्रण और परिवर्तन प्रबंधन नियंत्रण भी शामिल हैं ताकि मैलवेयर को इंस्टॉल होने या समस्याएँ पैदा होने से रोका जा सके। रक्षा की पहली पंक्ति के रूप में, मैलवेयर पहचान सॉफ़्टवेयर को नियमित रूप से इंस्टॉल और अपडेट किया जाना चाहिए। हालाँकि, अनधिकृत सॉफ़्टवेयर इंस्टॉलेशन, संदिग्ध वेबसाइटों के उपयोग, दूरस्थ स्रोतों से फ़ाइलों के डाउनलोड और भेद्यता का पता लगाने से रोकने की नीति भी उतनी ही महत्वपूर्ण है। अंत में, मैलवेयर हमले के लिए सक्रिय रूप से योजना बनाकर सुरक्षा जोखिमों को कम किया जा सकता है। नए मैलवेयर से अवगत रहना, महत्वपूर्ण वातावरण को अलग करना, और हमला होने पर व्यवसाय निरंतरता योजनाएँ बनाना, ये सभी हमले की स्थिति में व्यवसाय निरंतरता बनाए रखने में मदद करेंगे।

8.8 तकनीकी कमजोरियों का प्रबंधन

नियंत्रण

उपयोग में आने वाली सूचना प्रणालियों की तकनीकी कमजोरियों के बारे में जानकारी प्राप्त की जानी चाहिए, ऐसी कमजोरियों के प्रति संगठन के जोखिम का मूल्यांकन किया जाना चाहिए और उचित उपाय किए जाने चाहिए।

इस नियंत्रण का उद्देश्य तकनीकी कमज़ोरियों के शोषण को रोकना है। तकनीकी कमज़ोरियों के प्रबंधन को तीन श्रेणियों में विभाजित किया जा सकता है: पहचान, मूल्यांकन और कार्रवाई। कमज़ोरियों की पहचान करने के लिए, आपूर्तिकर्ता, संस्करण, परिनियोजन स्थिति और जिम्मेदार स्वामी के विवरण के साथ परिसंपत्तियों की सूची बनाई जानी चाहिए। विक्रेता कमज़ोरियों के बारे में जानकारी दे सकता है, लेकिन स्वामी को अतिरिक्त संसाधनों की पहचान करनी चाहिए जो कमज़ोरियों के बारे में जानकारी की निगरानी और रिलीज़ करते हैं और कमज़ोरियों की पहचान करने के तरीके, जैसे कि पेन-टेस्टिंग। जब किसी कमज़ोरी की पहचान हो जाती है, तो जोखिम और तात्कालिकता का आकलन करने की आवश्यकता होती है, साथ ही अपडेट या पैच लागू करने के संभावित जोखिमों का भी। अपडेट का उपयोग अक्सर कमज़ोरियों के खिलाफ़ कार्रवाई करने के लिए किया जा सकता है, लेकिन हमेशा समस्या को ठीक नहीं कर सकता है और नई समस्याएँ पेश कर सकता है। यदि कोई अपडेट उपलब्ध नहीं है या अपडेट को अपर्याप्त माना जाता है, तो जोखिम को कम करने के लिए वर्कअराउंड, नेटवर्क से अलगाव और बढ़ी हुई निगरानी जैसे उपाय पर्याप्त हो सकते हैं।

8.9 कॉन्फ़िगरेशन प्रबंधन

नियंत्रण
हार्डवेयर, सॉफ्टवेयर, सेवाओं और नेटवर्कों के सुरक्षा कॉन्फ़िगरेशन सहित कॉन्फ़िगरेशन की स्थापना, दस्तावेज़ीकरण, कार्यान्वयन, निगरानी और समीक्षा की जानी चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि हार्डवेयर, सॉफ़्टवेयर, सेवाएँ और नेटवर्क आवश्यक सुरक्षा सेटिंग्स के साथ सही ढंग से काम करें, और अनधिकृत या गलत परिवर्तनों से कॉन्फ़िगरेशन में कोई बदलाव न हो। सॉफ़्टवेयर, हार्डवेयर, सेवा और नेटवर्क को संगठन की सुरक्षा के लिए आवश्यक मानी जाने वाली सुरक्षा सेटिंग्स के साथ सही ढंग से काम करने के लिए कॉन्फ़िगर किया जाना चाहिए। कॉन्फ़िगरेशन व्यावसायिक ज़रूरतों और ज्ञात खतरों पर आधारित होना चाहिए। सभी सुरक्षित प्रणालियों की तरह, विशेषाधिकार प्राप्त पहुँच सीमित होनी चाहिए और अनावश्यक फ़ंक्शन अक्षम होने चाहिए। कॉन्फ़िगरेशन परिवर्तनों को परिवर्तन प्रबंधन प्रक्रिया का पालन करना चाहिए और पूरी तरह से स्वीकृत और प्रलेखित होना चाहिए।

8.10 सूचना हटाना

नियंत्रण

सूचना प्रणालियों, उपकरणों या किसी अन्य भंडारण मीडिया में संग्रहीत  सूचना को तब हटा दिया जाना चाहिए जब उसकी आवश्यकता न रह जाए।
इस नियंत्रण का उद्देश्य संवेदनशील जानकारी के अनावश्यक प्रदर्शन को रोकना और सूचना हटाने के लिए कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन करना है। सूचना सुरक्षा जोखिम को कम करने, संसाधन उपयोग को आशावादी बनाने और कानूनों का अनुपालन करने के लिए जानकारी को आवश्यकता से अधिक समय तक नहीं रखा जाना चाहिए। स्थायी विलोपन सुनिश्चित करने के लिए स्वीकृत सुरक्षित विलोपन सॉफ़्टवेयर का उपयोग किया जाना चाहिए और भौतिक मीडिया के लिए प्रमाणित निपटान प्रदाताओं का उपयोग किया जाना चाहिए। क्लाउड सेवा प्रदाताओं द्वारा उपयोग की जाने वाली विलोपन विधि को संगठन द्वारा यह सुनिश्चित करने के लिए जाँचा जाना चाहिए कि यह पर्याप्त है। डेटा लीक होने की स्थिति में विलोपन का रिकॉर्ड बनाए रखना उपयोगी होता है।

8.11 डेटा मास्किंग

नियंत्रण
डेटा मास्किंग का उपयोग संगठन की विषय-विशिष्ट नीति, पहुँच नियंत्रण और अन्य संबंधित विषय-विशिष्ट नीतियों, तथा व्यावसायिक आवश्यकताओं के अनुसार किया जाना चाहिए, तथा लागू कानून को ध्यान में रखना चाहिए।

इस नियंत्रण का उद्देश्य PII सहित संवेदनशील डेटा के प्रदर्शन को सीमित करना और कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन करना है। किसी कार्य के लिए आवश्यक न्यूनतम मात्रा में डेटा ही खोज परिणामों में उपलब्ध होना चाहिए। इसे प्राप्त करने के लिए, विषयों की पहचान छिपाने के लिए व्यक्तिगत डेटा को छिपाया जाना चाहिए (या अनाम या छद्म अनामित किया जाना चाहिए)। यह कानून द्वारा आवश्यक हो सकता है।

8.12 डेटा लीक की रोकथाम

नियंत्रण

डेटा लीक रोकथाम उपायों को उन प्रणालियों , नेटवर्कों और अन्य उपकरणों पर लागू किया जाना चाहिए जो संवेदनशील जानकारी को संसाधित, संग्रहीत या संचारित करते हैं ।

इस नियंत्रण का उद्देश्य व्यक्तियों या प्रणालियों द्वारा सूचना के अनधिकृत प्रकटीकरण और निष्कर्षण का पता लगाना और उसे रोकना है। डेटा को प्रकट करने या निकालने के अनधिकृत प्रयासों की निगरानी और उनका पता लगाना रोकथाम के लिए महत्वपूर्ण है। जब कोई प्रयास पता चलता है, तो ईमेल संगरोध या एक्सेस ब्लॉक जैसे उपाय सक्रिय किए जा सकते हैं। डेटा को अपलोड करने, साझा करने या एक्सेस करने के बारे में नीतियों और प्रशिक्षण जैसे अन्य तरीकों का उपयोग कर्मचारियों द्वारा डेटा लीक करने के जोखिमों को दूर करने के लिए किया जाना चाहिए।

8.13 सूचना बैकअप

नियंत्रण
सूचना, सॉफ्टवेयर और प्रणालियों की बैकअप प्रतियों को बनाए रखा जाना चाहिए और बैकअप पर सहमत विषय-विशिष्ट नीति के अनुसार नियमित रूप से उनका परीक्षण किया जाना चाहिए।

इस नियंत्रण का उद्देश्य डेटा या सिस्टम के नुकसान से रिकवरी को सक्षम करना है। संगठन को बैक-अप पर एक विशिष्ट नीति की आवश्यकता है, जिसमें विधि, आवृत्ति और परीक्षण शामिल हैं। नीति विकसित करते समय, संगठन को बैक-अप और पुनर्स्थापना की पूर्णता सुनिश्चित करने, बैक-अप की व्यावसायिक आवश्यकताओं, उन्हें कहाँ और कैसे संग्रहीत किया जाता है, और बैक-अप सिस्टम का परीक्षण कैसे किया जाता है, जैसे बिंदुओं पर विचार करना चाहिए। बैक-अप सिस्टम को व्यवसाय निरंतरता योजनाओं के हिस्से के रूप में माना जाना चाहिए और निरंतरता आवश्यकताओं को पूरा करने के लिए पर्याप्त होना चाहिए।

8.14 सूचना प्रसंस्करण सुविधाओं की अतिरेकता

नियंत्रण
सूचना प्रसंस्करण सुविधाओं को उपलब्धता आवश्यकताओं को पूरा करने के लिए पर्याप्त अतिरेक के साथ कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सूचना प्रसंस्करण सुविधाओं के निरंतर संचालन को सुनिश्चित करना है। किसी भी संगठन को एक सिस्टम आर्किटेक्चर की आवश्यकता होती है जो व्यवसाय की उपलब्धता आवश्यकताओं को पूरा करने के लिए पर्याप्त हो। रिडंडेंसी सिस्टम विफलता के मामले में अतिरिक्त क्षमता होने से उपलब्धता सुनिश्चित करती है, और अक्सर बिजली आपूर्ति जैसे डुप्लिकेट सिस्टम की आवश्यकता होती है। पर्याप्त रिडंडेंसी जिसे आवश्यकता पड़ने पर बढ़ाया जा सकता है, व्यवसाय निरंतरता योजना का एक महत्वपूर्ण हिस्सा है और इसका नियमित रूप से परीक्षण किया जाना चाहिए।

8.15 लॉगिंग

नियंत्रण
लॉग जो गतिविधियों, अपवादों, दोषों और अन्य प्रासंगिक घटनाओं को रिकॉर्ड करते हैं, उन्हें तैयार, संग्रहीत, संरक्षित और विश्लेषित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य घटनाओं को रिकॉर्ड करना, साक्ष्य उत्पन्न करना, लॉग जानकारी की अखंडता सुनिश्चित करना, अनधिकृत पहुँच को रोकना, सूचना सुरक्षा घटनाओं की पहचान करना है जो सूचना सुरक्षा घटना को जन्म दे सकती हैं और जाँच का समर्थन करती हैं। लॉगिंग घटनाओं को रिकॉर्ड करती है, साक्ष्य उत्पन्न करती है, लॉग जानकारी की अखंडता सुनिश्चित करती है, अनधिकृत पहुँच को रोकने में मदद कर सकती है, सूचना सुरक्षा घटनाओं की पहचान करती है और जाँच का समर्थन करती है। एक लॉगिंग योजना को यह पहचानने की आवश्यकता होती है कि कौन सी जानकारी लॉग की जानी चाहिए (जैसे उपयोगकर्ता आईडी) और अन्य चीजों के अलावा सिस्टम एक्सेस प्रयास, परिवर्तन, लेनदेन या फ़ाइल एक्सेस जैसी घटनाओं को कवर कर सकती है। लॉग को विशेषाधिकार प्राप्त उपयोगकर्ताओं से भी सुरक्षित किया जाना चाहिए ताकि उन्हें हटाया या बदला न जा सके। पैटर्न या घटनाओं का पता लगाने के लिए लॉग की निगरानी और विश्लेषण किया जाना चाहिए जो सूचना सुरक्षा घटनाएँ हो सकती हैं।

8.16 गतिविधियों की निगरानी

नियंत्रण
नेटवर्क, प्रणालियों और अनुप्रयोगों की असामान्य व्यवहार के लिए निगरानी की जानी चाहिए और संभावित सूचना सुरक्षा घटनाओं का मूल्यांकन करने के लिए उचित कार्रवाई की जानी चाहिए।

इस नियंत्रण का उद्देश्य असामान्य व्यवहार और संभावित सूचना सुरक्षा घटनाओं का पता लगाना है। निगरानी का उद्देश्य असामान्य व्यवहार का पता लगाना और संभावित सूचना सुरक्षा घटनाओं की पहचान करना है। निगरानी प्रणाली नेटवर्क ट्रैफ़िक, सिस्टम एक्सेस, लॉग और संसाधनों के उपयोग को कवर कर सकती है। निगरानी सिस्टम विफलताओं या बाधाओं, मैलवेयर से जुड़ी गतिविधि, अनधिकृत पहुँच, असामान्य व्यवहार और सेवा से इनकार करने जैसे हमलों की पहचान करने में मदद कर सकती है।

8.17 घड़ी सिंक्रनाइज़ेशन

 नियंत्रण
संगठन द्वारा प्रयुक्त सूचना प्रसंस्करण प्रणालियों की घड़ियों को अनुमोदित समय स्रोतों के साथ समन्वयित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सुरक्षा-संबंधित घटनाओं और अन्य रिकॉर्ड किए गए डेटा के सहसंबंध और विश्लेषण को सक्षम करना और सूचना सुरक्षा घटनाओं की जांच का समर्थन करना है। यह सुनिश्चित करने के लिए कि सूचना सुरक्षा घटना का समय विश्वसनीय रूप से रिकॉर्ड किया गया है, घड़ी का सिंक्रनाइज़ेशन महत्वपूर्ण है। ऑन-प्रिमाइसेस सिस्टम को सिंक्रनाइज़ेशन सुनिश्चित करने के लिए नेटवर्क टाइम प्रोटोकॉल (NTP) का उपयोग करना चाहिए। क्लाउड सेवा प्रदाता आम तौर पर लॉगिंग के लिए समय संभालते हैं। हालाँकि, ऑन-प्रिमाइसेस घड़ियाँ क्लाउड प्रदाता की घड़ी के साथ पूरी तरह से सिंक्रनाइज़ नहीं हो सकती हैं। इस मामले में, अंतर को रिकॉर्ड किया जाना चाहिए और उसकी निगरानी की जानी चाहिए।

8.18 विशेषाधिकार प्राप्त उपयोगिता कार्यक्रमों का उपयोग

नियंत्रण
उपयोगिता कार्यक्रमों का उपयोग जो सिस्टम और अनुप्रयोग नियंत्रणों को ओवरराइड करने में सक्षम हो सकते हैं, उन्हें प्रतिबंधित और कड़ाई से नियंत्रित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि उपयोगिता कार्यक्रमों का उपयोग सूचना सुरक्षा के लिए सिस्टम और अनुप्रयोग नियंत्रणों को नुकसान न पहुंचाए। एक उपयोगिता कार्यक्रम सिस्टम और अनुप्रयोग नियंत्रणों को ओवरराइड करने में सक्षम हो सकता है। इसलिए उपयोगिता कार्यक्रमों के उपयोग और उन तक पहुंच को सख्ती से प्रतिबंधित किया जाना चाहिए, जिसमें अद्वितीय उपयोगकर्ता पहचान और उपयोग की लॉगिंग शामिल होनी चाहिए।

8.19 परिचालन प्रणालियों पर सॉफ्टवेयर की स्थापना

नियंत्रण
परिचालन प्रणालियों पर सॉफ्टवेयर स्थापना को सुरक्षित रूप से प्रबंधित करने के लिए नियंत्रण प्रक्रियाओं और उपायों को क्रियान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य परिचालन प्रणालियों की अखंडता सुनिश्चित करना और तकनीकी कमजोरियों के दोहन को रोकना है। सॉफ़्टवेयर इंस्टॉलेशन ऑपरेटिंग सिस्टम में कमजोरियाँ ला सकता है। इस जोखिम को कम करने के लिए, सॉफ़्टवेयर को केवल अधिकृत व्यक्तियों द्वारा ही इंस्टॉल किया जाना चाहिए। सॉफ़्टवेयर विश्वसनीय और अनुरक्षित स्रोतों से होना चाहिए या आंतरिक रूप से विकसित होने पर पूरी तरह से परीक्षण किया हुआ होना चाहिए। पिछले संस्करणों को रखा जाना चाहिए और सभी परिवर्तनों को लॉग किया जाना चाहिए ताकि आवश्यकता पड़ने पर रोल-बैक संभव हो सके।

8.20 नेटवर्क सुरक्षा

नियंत्रण
नेटवर्क और नेटवर्क उपकरणों को प्रणालियों और अनुप्रयोगों में सूचना की सुरक्षा के लिए सुरक्षित, प्रबंधित और नियंत्रित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य नेटवर्क में मौजूद सूचना और इसकी सहायक सूचना प्रसंस्करण सुविधाओं को नेटवर्क के माध्यम से समझौता होने से बचाना है। नेटवर्क को अपने ऊपर से गुजरने वाली सूचना की सुरक्षा के लिए पर्याप्त सुरक्षित होना चाहिए। उन्हें सुरक्षित रखने के लिए, उन्हें अद्यतित और निगरानी में रखा जाना चाहिए, जिसमें प्रमाणित डिवाइसों के कनेक्शन और नेटवर्क पर कौन सा ट्रैफ़िक गुजर सकता है, दोनों को सीमित करने का विकल्प हो। नेटवर्क पर हमला होने पर नेटवर्क को अलग करने का एक तरीका उपयोगी हो सकता है।

8.21 नेटवर्क सेवाओं की सुरक्षा

 नियंत्रण

नेटवर्क सेवाओं के सुरक्षा तंत्र, सेवा स्तर और सेवा आवश्यकताओं की पहचान, कार्यान्वयन और निगरानी की जानी चाहिए।

इस नियंत्रण का उद्देश्य नेटवर्क सेवाओं के उपयोग में सुरक्षा सुनिश्चित करना है। नेटवर्क सुरक्षा सेवाएँ एक सरल कनेक्शन और बैंडविड्थ के प्रावधान से लेकर फ़ायरवॉल और घुसपैठ का पता लगाने वाली प्रणालियों जैसी जटिल सेवाओं तक सब कुछ कवर करती हैं। आवश्यक सुरक्षा का स्तर व्यवसाय की ज़रूरत पर निर्भर करेगा। जब आवश्यक सुरक्षा की पहचान हो जाती है तो इसे लागू करने और निगरानी करने की आवश्यकता होती है। यह अक्सर तीसरे पक्ष के नेटवर्क सेवा प्रदाताओं द्वारा किया जाता है। नेटवर्क सुरक्षा सेवाओं को स्थापित करते समय एक्सेस प्राधिकरण प्रक्रियाओं और VPN जैसे एक्सेस साधनों पर विचार किया जाना चाहिए।

8.22 नेटवर्क में पृथक्करण

 नियंत्रण

संगठन के नेटवर्क में सूचना सेवाओं, उपयोगकर्ताओं और सूचना प्रणालियों के समूहों को अलग किया जाना चाहिए।

इस नियंत्रण का उद्देश्य नेटवर्क को सुरक्षा सीमाओं में विभाजित करना और व्यावसायिक आवश्यकताओं के आधार पर उनके बीच ट्रैफ़िक को नियंत्रित करना है। बड़े नेटवर्क को कई डोमेन में विभाजित किया जा सकता है। इसका मतलब है कि प्रत्येक डोमेन पर अलग-अलग सुरक्षा स्तर लागू किए जा सकते हैं, जिसमें व्यावसायिक नेटवर्क के विभिन्न हिस्सों तक सीमित पहुँच होती है। नेटवर्क को लॉजिक नेटवर्क का उपयोग करके पूरी तरह से भौतिक रूप से अलग या डिजिटल रूप से अलग किया जा सकता है। वायरलेस नेटवर्क में भौतिक सीमाएँ नहीं होती हैं और इसलिए उन्हें बाहरी कनेक्शन के रूप में माना जाना चाहिए जब तक कि संवेदनशील डेटा तक पहुँचने के लिए VPN जैसे गेटवे को पास नहीं किया जाता है।

8.23 वेब फ़िल्टरिंग

 नियंत्रण

दुर्भावनापूर्ण सामग्री के जोखिम को कम करने के लिए बाहरी वेबसाइटों तक पहुंच को प्रबंधित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सिस्टम को मैलवेयर से समझौता होने से बचाना और अनधिकृत वेब संसाधनों तक पहुँच को रोकना है। इंटरनेट पर हर वेबसाइट निर्दोष नहीं होती। कुछ में अवैध जानकारी होती है और अन्य मैलवेयर वितरित करती हैं। संदिग्ध वेबसाइटों के आईपी पते को ब्लॉक करने से जोखिम कम हो सकता है। हालाँकि, हर दुर्भावनापूर्ण वेबसाइट को ब्लॉक नहीं किया जा सकता है, इसलिए फ़िल्टरिंग के साथ उचित और जिम्मेदार इंटरनेट उपयोग पर नियम और जागरूकता प्रशिक्षण होना चाहिए।

8.24 क्रिप्टोग्राफी का उपयोग

नियंत्रण
क्रिप्टोग्राफ़िक कुंजी प्रबंधन सहित क्रिप्टोग्राफी के प्रभावी उपयोग के लिए  नियमों को परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य व्यापार और सूचना सुरक्षा आवश्यकताओं के अनुसार सूचना की गोपनीयता, प्रामाणिकता या अखंडता की रक्षा करने के लिए क्रिप्टोग्राफी के उचित और प्रभावी उपयोग को सुनिश्चित करना है, और क्रिप्टोग्राफी से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं को ध्यान में रखना है। क्रिप्टोग्राफी के उपयोग को सावधानीपूर्वक प्रबंधित करने की आवश्यकता है, जिसमें सुरक्षा के आवश्यक स्तर, कुंजी प्रबंधन, एंडपॉइंट डिवाइस के एन्क्रिप्शन और क्रिप्टोग्राफी सामग्री निरीक्षण (उदाहरण के लिए मैलवेयर स्कैनिंग) को कैसे प्रभावित कर सकती है, इस पर विचार किया जाना चाहिए। कुंजी प्रबंधन के लिए क्रिप्टोग्राफ़िक कुंजियों को उत्पन्न करने, संग्रहीत करने, संग्रहीत करने, पुनर्प्राप्त करने, वितरित करने, सेवानिवृत्त करने और नष्ट करने की प्रक्रिया की आवश्यकता होती है।

8.25 सुरक्षित विकास जीवन चक्र

नियंत्रण

सॉफ्टवेयर और प्रणालियों के सुरक्षित विकास के लिए  नियम स्थापित और लागू किए जाने चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना सुरक्षा को सॉफ्टवेयर और सिस्टम के सुरक्षित विकास जीवन चक्र के भीतर डिज़ाइन और कार्यान्वित किया जाए। सुरक्षित विकास में सेवाओं, वास्तुकला, सॉफ्टवेयर और सिस्टम का निर्माण शामिल है। एक महत्वपूर्ण पहलू स्रोत कोड के लिए सुरक्षित रिपॉजिटरी के साथ विकास, परीक्षण (अनुमोदन) और उत्पादन वातावरण को अलग करना है। सुरक्षा को विनिर्देश और डिजाइन चरण से ही ध्यान में रखना चाहिए, जिसमें परियोजना योजना और नियोजित परीक्षण में निर्मित चेकपॉइंट शामिल होने चाहिए। डेवलपर्स को सुरक्षित कोडिंग दिशा-निर्देशों के बारे में भी पता होना चाहिए और कमजोरियों को रोकने, खोजने और ठीक करने में सक्षम होना चाहिए।

8.26 अनुप्रयोग सुरक्षा आवश्यकताएँ

नियंत्रण

अनुप्रयोगों को विकसित या प्राप्त करते समय सूचना सुरक्षा आवश्यकताओं की पहचान, निर्दिष्ट और अनुमोदन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि एप्लिकेशन विकसित करते या प्राप्त करते समय सभी सूचना सुरक्षा आवश्यकताओं की पहचान की जाए और उन्हें संबोधित किया जाए। संगठनों को एप्लिकेशन के लिए सुरक्षा आवश्यकताओं की पहचान करने और उन्हें निर्दिष्ट करने की आवश्यकता है, फिर जोखिम मूल्यांकन का उपयोग करके उन्हें निर्धारित करें। आवश्यकताओं को एप्लिकेशन से गुजरने वाली जानकारी के सुरक्षा वर्गीकरण स्तर द्वारा निर्धारित किया जाता है। आवश्यकताओं में एक्सेस नियंत्रण, सुरक्षा स्तर, एन्क्रिप्शन, इनपुट और आउटपुट नियंत्रण, लॉगिंग, त्रुटि संदेश हैंडलिंग, हमले के खिलाफ लचीलापन और कानूनी आवश्यकताएं शामिल हो सकती हैं। यदि एप्लिकेशन सूचना या ऑर्डर और भुगतान का लेनदेन करता है तो सुरक्षा पर विशेष ध्यान देने की आवश्यकता है।

8.27 सुरक्षित प्रणाली वास्तुकला और इंजीनियरिंग सिद्धांत

नियंत्रण
सुरक्षित प्रणालियों के इंजीनियरिंग के लिए सिद्धांतों को स्थापित, दस्तावेजित, अनुरक्षित किया जाना चाहिए तथा किसी भी सूचना प्रणाली विकास गतिविधियों पर लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना प्रणाली विकास जीवन चक्र के भीतर सुरक्षित रूप से डिज़ाइन, कार्यान्वित और संचालित की जाए। वास्तुकला और इंजीनियरिंग सिद्धांत यह सुनिश्चित करते हैं कि सिस्टम अपने विकास जीवन चक्र के दौरान सुरक्षित रूप से डिज़ाइन, कार्यान्वित और संचालित किए जाएँ। सुरक्षित सिस्टम सिद्धांत विश्लेषण करते हैं कि किन सुरक्षा नियंत्रणों की आवश्यकता है और उन्हें कैसे लागू किया जाना चाहिए। अच्छे अभ्यास, लागत और जटिलता के बारे में व्यावहारिक विचार और मौजूदा सिस्टम में नई सुविधाओं को कैसे एकीकृत किया जा सकता है, इस पर भी ध्यान दिया जाना चाहिए।

8.28 सुरक्षित कोडिंग

सुरक्षित
कोडिंग सिद्धांतों को सॉफ्टवेयर विकास में लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सॉफ़्टवेयर सुरक्षित रूप से लिखा गया है, जिससे सॉफ़्टवेयर में संभावित सूचना सुरक्षा कमज़ोरियों की संख्या कम हो जाती है। सुरक्षित कोडिंग का अभ्यास यह सुनिश्चित करने में मदद करता है कि कोड कमज़ोरियों को कम करने के लिए लिखा गया है। संगठन में सर्वोत्तम अभ्यास को बढ़ावा देने और न्यूनतम मानक निर्धारित करने के लिए सुरक्षित कोडिंग सिद्धांतों का उपयोग किया जा सकता है। इनमें मौजूदा वास्तविक दुनिया के खतरों, विकास के लिए नियंत्रित वातावरण के उपयोग और डेवलपर्स की क्षमता सुनिश्चित करने को ध्यान में रखना चाहिए। सुरक्षित कोडिंग में अपडेट और रखरखाव का प्रबंधन भी शामिल होना चाहिए, विशेष रूप से यह जाँचना कि बाहरी स्रोतों से कोड बनाए रखने के लिए कौन जिम्मेदार है।

8.29 विकास और स्वीकृति में सुरक्षा परीक्षण

नियंत्रण
सुरक्षा परीक्षण प्रक्रियाओं को विकास जीवन चक्र में परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सत्यापित करना है कि उत्पादन वातावरण में अनुप्रयोग या कोड तैनात किए जाने पर सूचना सुरक्षा आवश्यकताएँ पूरी होती हैं या नहीं। सुरक्षा परीक्षण विकास परीक्षण का एक अभिन्न अंग होना चाहिए। इसमें ऑपरेटिंग सिस्टम (जैसे फ़ायरवॉल), सुरक्षित कोडिंग और सुरक्षा फ़ंक्शन (जैसे एक्सेस) के सुरक्षित कॉन्फ़िगरेशन का परीक्षण शामिल है। परीक्षणों को शेड्यूल किया जाना चाहिए, उनका दस्तावेज़ीकरण किया जाना चाहिए और स्वीकार्य परिणाम निर्धारित करने के लिए मानदंड होने चाहिए।

8.30 आउटसोर्स विकास

नियंत्रण
संगठन को आउटसोर्स प्रणाली विकास से संबंधित गतिविधियों का निर्देशन, निगरानी और समीक्षा करनी चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि संगठन द्वारा आवश्यक सूचना सुरक्षा उपायों को आउटसोर्स सिस्टम विकास में लागू किया जाए। जब ​​विकास को आउटसोर्स किया जाता है, तो सूचना सुरक्षा आवश्यकताओं को आउटसोर्स डेवलपर को सूचित किया जाना चाहिए और उस पर सहमति होनी चाहिए तथा आउटसोर्सिंग संगठन द्वारा निगरानी की जानी चाहिए। लाइसेंसिंग और बौद्धिक संपदा स्वामित्व, परीक्षण और परीक्षण के साक्ष्य, तथा विकास प्रक्रिया का ऑडिट करने के लिए संविदात्मक अधिकार सुरक्षा संबंधी विचारों के उदाहरण हैं जिन पर पक्षों के बीच सहमति होनी चाहिए।

8.31 विकास, परीक्षण और उत्पादन वातावरण का पृथक्करण

नियंत्रण
विकास, परीक्षण और उत्पादन वातावरण को अलग और सुरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य विकास और परीक्षण गतिविधियों द्वारा उत्पादन परिवेश और डेटा को जोखिम में पड़ने से बचाना है। परीक्षण और विकास गतिविधियाँ अवांछित परिवर्तन या सिस्टम विफलता का कारण बन सकती हैं, जो उत्पादन परिवेश को जोखिम में डाल सकती हैं यदि इसे पर्याप्त रूप से संरक्षित नहीं किया जाता है। परीक्षण और उत्पादन के बीच अलगाव की डिग्री संगठन पर निर्भर करेगी, लेकिन परिवेशों को अलग-अलग और स्पष्ट रूप से लेबल किए जाने की आवश्यकता है, ताकि परीक्षण या संकलन जैसी क्रियाएँ उत्पादन परिवेश में न हो सकें। परिवर्तनों की निगरानी की जानी चाहिए, इस बात पर सावधानीपूर्वक नियंत्रण होना चाहिए कि प्रत्येक परिवेश तक किसकी पहुँच है। किसी को भी पूर्व समीक्षा और अनुमोदन के बिना परीक्षण और उत्पादन परिवेश दोनों में परिवर्तन करने की क्षमता नहीं होनी चाहिए।

8.32 परिवर्तन प्रबंधन

नियंत्रण
सूचना प्रसंस्करण सुविधाओं और सूचना प्रणालियों में परिवर्तन परिवर्तन प्रबंधन प्रक्रियाओं के अधीन होना चाहिए।

इस नियंत्रण का उद्देश्य परिवर्तनों को क्रियान्वित करते समय सूचना सुरक्षा को बनाए रखना है। बुनियादी ढांचे या सॉफ़्टवेयर को पेश करते समय या मौजूदा सॉफ़्टवेयर में बड़े बदलाव करते समय सूचना की गोपनीयता, उपलब्धता और अखंडता सभी से समझौता किया जा सकता है। दस्तावेज़ीकरण, परीक्षण, गुणवत्ता नियंत्रण और कार्यान्वयन की एक औपचारिक प्रक्रिया जोखिमों को कम कर सकती है। कार्यान्वयन की तैयारी में परीक्षण और आकस्मिक योजना का दस्तावेज़ीकरण महत्वपूर्ण है, विशेष रूप से यह सुनिश्चित करने के लिए कि नया सॉफ़्टवेयर उत्पादन वातावरण पर नकारात्मक प्रभाव न डाले। परिवर्तन किए जाने के बाद संचालन मार्गदर्शिकाओं और प्रक्रियाओं को बदलने की आवश्यकता हो सकती है।

8.33 परीक्षण जानकारी

नियंत्रण
परीक्षण जानकारी का उचित रूप से चयन, संरक्षण और प्रबंधन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य परीक्षण की प्रासंगिकता सुनिश्चित करना और परीक्षण के लिए उपयोग की जाने वाली परिचालन जानकारी की सुरक्षा सुनिश्चित करना है। परीक्षण जानकारी के लिए दो मुख्य विचार हैं: यह परिचालन जानकारी के काफी करीब होनी चाहिए ताकि यह सुनिश्चित हो सके कि परीक्षण के परिणाम विश्वसनीय हैं, लेकिन इसमें कोई गोपनीय परिचालन जानकारी नहीं होनी चाहिए। यदि परीक्षण के लिए संवेदनशील जानकारी का उपयोग किया जाना आवश्यक है, तो इसका उपयोग करने से पहले इसे संरक्षित, संशोधित या अनाम किया जाना चाहिए, और परीक्षण के तुरंत बाद इसे हटा दिया जाना चाहिए।

8.34 लेखापरीक्षा और परीक्षण के दौरान सूचना प्रणालियों की सुरक्षा

नियंत्रण
परिचालन प्रणालियों के मूल्यांकन से संबंधित लेखापरीक्षा परीक्षण और अन्य आश्वासन गतिविधियों की योजना बनाई जानी चाहिए और परीक्षक और उपयुक्त प्रबंधन के बीच सहमति होनी चाहिए।

इस नियंत्रण का उद्देश्य परिचालन प्रणालियों और व्यावसायिक प्रक्रियाओं पर लेखापरीक्षा और अन्य आश्वासन गतिविधियों के प्रभाव को कम करना है। परिचालन प्रणालियों को लेखापरीक्षा या तकनीकी समीक्षाओं से अनुचित रूप से प्रभावित नहीं होना चाहिए। अत्यधिक व्यवधान को रोकने के लिए, लेखापरीक्षा को सहमत समय और दायरे के साथ योजनाबद्ध किया जाना चाहिए। केवल पढ़ने की पहुँच लेखापरीक्षा के दौरान सिस्टम में आकस्मिक परिवर्तनों को रोक देगी, और सभी पहुँच की निगरानी की जानी चाहिए।