| 5.1 | Polityki bezpieczeństwa informacji | Polityka bezpieczeństwa informacji oraz polityki szczegółowe powinny być określone, zatwierdzone przez kierownictwo, opublikowane, komunikowane oraz uznane przez odpowiedni personel i zainteresowane strony. Powinny być przeglądane w zaplanowanych odstępach czasu oraz w przypadku istotnych zmian. |
| 5.2 | Role i odpowiedzialności w zakresie bezpieczeństwa informacji | Role i odpowiedzialności w zakresie bezpieczeństwa informacji powinny być określone i przydzielone zgodnie z potrzebami organizacji. |
| 5.3 | Rozdział obowiązków | Konfliktujące obowiązki i obszary odpowiedzialności powinny być rozdzielone. |
| 5.4 | Odpowiedzialność zarządu | Kierownictwo powinno wymagać od całego personelu stosowania zasad bezpieczeństwa informacji zgodnie z ustanowioną polityką bezpieczeństwa oraz procedurami organizacyjnymi. |
| 5.5 | Kontakt z organami | Organizacja powinna ustanowić i utrzymywać kontakt z odpowiednimi organami. |
| 5.6 | Kontakt z grupami zainteresowań | Organizacja powinna ustanowić i utrzymywać kontakt ze specjalistycznymi grupami zainteresowań, forami ds. bezpieczeństwa oraz organizacjami branżowymi. |
| 5.7 | Analiza zagrożeń | Informacje dotyczące zagrożeń bezpieczeństwa informacji powinny być zbierane i analizowane w celu uzyskania wywiadu o zagrożeniach. |
| 5.8 | Bezpieczeństwo informacji w zarządzaniu projektami | Bezpieczeństwo informacji powinno być zintegrowane z zarządzaniem projektami. |
| 5.9 | Inwentaryzacja informacji i zasobów | Należy opracować i utrzymywać inwentaryzację informacji oraz innych powiązanych zasobów, w tym ich właścicieli. |
| 5.10 | Akceptowalne użycie informacji i zasobów | Zasady akceptowalnego użycia oraz procedury dotyczące obsługi informacji i innych powiązanych zasobów powinny być określone, udokumentowane i wdrożone. |
| 5.11 | Zwrot zasobów | Personel oraz inne odpowiednie zainteresowane strony powinny zwrócić wszystkie zasoby organizacji znajdujące się w ich posiadaniu po zakończeniu zatrudnienia, umowy lub porozumienia. |
| 5.12 | Klasyfikacja informacji | Informacje powinny być klasyfikowane zgodnie z wymaganiami organizacji dotyczącymi bezpieczeństwa informacji, bazując na poufności, integralności, dostępności oraz wymaganiach zainteresowanych stron. |
| 5.13 | Etykietowanie informacji | Odpowiedni zestaw procedur dotyczących etykietowania informacji powinien być opracowany i wdrożony zgodnie z przyjętym przez organizację schematem klasyfikacji informacji. |
| 5.14 | Przekazywanie informacji | Należy określić zasady, procedury i porozumienia dotyczące przekazywania informacji wewnątrz organizacji oraz między organizacją a innymi stronami. |
| 5.15 | Kontrola dostępu | Zasady kontroli dostępu fizycznego i logicznego do informacji oraz innych powiązanych zasobów powinny być ustanowione i wdrożone w oparciu o wymagania biznesowe i bezpieczeństwa informacji. |
| 5.16 | Zarządzanie tożsamością | Pełny cykl życia tożsamości powinien być zarządzany. |
| 5.17 | Informacje uwierzytelniające | Przydzielanie i zarządzanie informacjami uwierzytelniającymi powinno być kontrolowane poprzez proces zarządzania, w tym edukację personelu w zakresie właściwego postępowania z informacjami uwierzytelniającymi. |
| 5.18 | Prawa dostępu | Prawa dostępu do informacji i innych zasobów powinny być przydzielane, przeglądane, modyfikowane i usuwane zgodnie z polityką dostępu organizacji. |
| 5.19 | Bezpieczeństwo informacji w relacjach z dostawcami | Procesy i procedury powinny być określone i wdrożone w celu zarządzania ryzykiem bezpieczeństwa informacji związanym z korzystaniem z produktów lub usług dostawców. |
| 5.20 | Uwzględnienie bezpieczeństwa informacji w umowach z dostawcami | Należy określić i uzgodnić z każdym dostawcą odpowiednie wymagania dotyczące bezpieczeństwa informacji, w zależności od charakteru relacji z dostawcą. |
| 5.21 | Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT | Procesy i procedury powinny być określone i wdrożone w celu zarządzania ryzykiem bezpieczeństwa informacji związanym z produktami i usługami dostarczanymi w ramach łańcucha dostaw ICT. |
| 5.22 | Monitorowanie i zarządzanie zmianami w usługach dostawców | Organizacja powinna regularnie monitorować, przeglądać, oceniać i zarządzać zmianami w praktykach bezpieczeństwa informacji dostawców. |
| 5.23 | Bezpieczeństwo informacji w korzystaniu z usług chmurowych | Procesy dotyczące pozyskiwania, użytkowania, zarządzania oraz rezygnacji z usług chmurowych powinny być określone zgodnie z wymaganiami organizacji dotyczącymi bezpieczeństwa informacji. |
| 5.24 | Planowanie zarządzania incydentami bezpieczeństwa informacji | Organizacja powinna planować i przygotowywać się do zarządzania incydentami bezpieczeństwa informacji, definiując role, procesy i odpowiedzialności. |
| 5.25 | Ocena i decyzja dotycząca incydentów | Organizacja powinna ocenić zdarzenia związane z bezpieczeństwem informacji i zdecydować, czy powinny zostać sklasyfikowane jako incydenty. |
| 5.26 | Reakcja na incydenty bezpieczeństwa | Incydenty bezpieczeństwa powinny być obsługiwane zgodnie z udokumentowanymi procedurami. |
| 5.27 | Nauka na podstawie incydentów | Wiedza zdobyta w wyniku incydentów bezpieczeństwa informacji powinna być wykorzystywana do wzmacniania zabezpieczeń. |
| 5.28 | Gromadzenie dowodów | Organizacja powinna wdrożyć procedury dotyczące identyfikacji, zbierania, nabywania i zabezpieczania dowodów związanych z incydentami. |
| 5.29 | Bezpieczeństwo informacji w trakcie zakłóceń | Organizacja powinna określić, jak utrzymać bezpieczeństwo informacji na odpowiednim poziomie w czasie zakłóceń. |
| 5.30 | Gotowość ICT dla ciągłości działania | Gotowość ICT powinna być planowana, wdrażana, utrzymywana i testowana zgodnie z wymaganiami ciągłości działania. |
| 5.31 | Zgodność z wymaganiami prawnymi | Organizacja powinna identyfikować, dokumentować i aktualizować wymagania prawne oraz kontraktowe dotyczące bezpieczeństwa informacji. |
| 5.32 | Ochrona własności intelektualnej | Organizacja powinna wdrożyć odpowiednie procedury ochrony praw własności intelektualnej. |
| 5.33 | Ochrona rejestrów | Rejestry powinny być zabezpieczone przed utratą, zniszczeniem, fałszerstwem, nieautoryzowanym dostępem i ujawnieniem. |
| 5.34 | Prywatność i ochrona danych osobowych (PII) | Organizacja powinna identyfikować i spełniać wymagania dotyczące ochrony prywatności oraz danych osobowych (PII) zgodnie z obowiązującymi przepisami prawa, regulacjami oraz wymaganiami kontraktowymi. |
| 5.35 | Niezależny przegląd zarządzania bezpieczeństwem informacji | Podejście organizacji do zarządzania bezpieczeństwem informacji oraz jego wdrożenie, obejmujące ludzi, procesy i technologie, powinno być poddawane niezależnemu przeglądowi w zaplanowanych odstępach czasu lub w przypadku istotnych zmian. |
| 5.36 | Zgodność z politykami, zasadami i standardami bezpieczeństwa informacji | Należy regularnie przeglądać zgodność z polityką bezpieczeństwa informacji organizacji, politykami szczegółowymi, zasadami oraz standardami. |
| 5.37 | Udokumentowane procedury operacyjne | Procedury operacyjne dotyczące przetwarzania informacji powinny być udokumentowane i dostępne dla upoważnionego personelu. |