- Se ISO 27002:2022 Kontrol 5.1 for mere information.
- Se ISO 27001:2013 Bilag A 5.1.1 for mere information.
- Se ISO 27001:2013 Bilag A 5.1.2 for mere information.
Det væsentlige i bilag A 5.1: En vejledning til informationssikkerhedspolitikker
Som en del af ISO 27001:2022 specificerer bilag A 5.1, at organisationer skal have en informationssikkerhed politisk dokument på plads. Dette er til beskytte sig mod informationssikkerhedstrusler.
Forretningsbehov såvel som gældende regler og lovgivning skal tages i betragtning, når politikker udvikles.
Et informationssikkerhedspolitisk dokument er i det væsentlige et kompendium af bilag A kontroller, der styrker organisationens centrale udsagn om sikkerhed og gør dem tilgængelige for interessenter.
I 2022-versionen af standarden bør politikker også inkluderes i uddannelses-, trænings- og oplysningsprogrammet, som beskrevet i People Controls A.6.3.
Organisationspolitikker specificerer de principper, som medlemmer og nøgleparter som leverandører skal overholde. Disse politikker bør revideres regelmæssigt og opdateres efter behov.
Hvad er informationssikkerhedspolitikker?
An informationssikkerhedspolitik har til formål at give medarbejdere, ledelse og eksterne parter (f.eks. kunder og leverandører) rammer for håndtering af elektronisk information, herunder computernetværk.
En sikkerhedspolitik skal defineres, godkendes af ledelsen, offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter.
Ud over at reducere risikoen for tab af data på grund af interne og eksterne trusler, informationssikkerhedspolitikker sikrer at alle medarbejdere forstår deres rolle i at beskytte organisationens data.
Udover at opfylde standarder som f.eks ISO 27001, kan en informationssikkerhedspolitik også demonstrere overholdelse af love og regler.
Informationssikkerhedstrusler og cybersikkerhed forklaret
Cyber sikkerhed trusler omfatter virksomhedsspioner og hacktivister, terrorgrupper, fjendtlige nationalstater og kriminelle organisationer. Disse trusler søger at få ulovlig adgang til data, forstyrre digitale operationer eller beskadige information.
Trusler mod cybersikkerhed og informationssikkerhed omfatter:
- Virus, spyware og andre ondsindede programmer betragtes som malware.
- En e-mail, der ser ud til at være fra en pålidelig kilde, men som indeholder links og vedhæftede filer, der installerer malware på din computer.
- Virus forhindrer brugere i at få adgang til deres data, indtil de betaler en løsesum.
- Processen med at manipulere folk til at videregive følsomme oplysninger er kendt som social engineering.
- Phishing-e-mails, der ser ud til at komme fra højtprofilerede personer i en organisation, er kendt som hvalangreb.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvordan fungerer ISO 27001:2022 Annex A 5.1?
Informationssikkerhedspolitikker er designet til at beskytte din virksomheds følsomme oplysninger mod tyveri og uautoriseret adgang.
In i overensstemmelse med ISO 27001, Bilagskontrol A 5.1 vejleder formålet og implementeringen af etableringen af en informationssikkerhedspolitik i en organisation.
En overordnet informationssikkerhedspolitik kræves af Bilag A Kontrol 5.1 for organisationer til at administrere deres informationssikkerhed. Den øverste ledelse skal godkende retningslinjerne, som skal revideres løbende, hvis der sker ændringer i informationssikkerhedsmiljøet.
Den passende tilgang er at mødes regelmæssigt, mindst en gang om måneden, med yderligere møder efter behov. Ud over at dele politikker med interne og eksterne interessenter, skal ledelsen godkende eventuelle ændringer, før de implementeres.
Sådan kommer du i gang og opfylder kravene i bilag A 5.1
A detaljeret driftsprocedure der beskriver, hvordan informationssikkerhedspolitikken vil blive implementeret, bør være baseret på og understøttet af en informationssikkerhedspolitik.
Politikken skal godkendes af top ledelse og kommunikeret til personale og interesserede.
Ud over at give retning for organisationens tilgang til at styre informationssikkerheden, kan politikken bruges til at udvikle mere detaljerede driftsprocedurer.
Som krævet af ISO/IEC 27000 standarder, er en politik afgørende for at etablere og vedligeholde et informationssikkerhedsstyringssystem (ISMS). En veldefineret politik forbliver kritisk, selvom organisationen ikke har til hensigt at gøre det implementere ISO 27001 eller enhver anden formel certificering.
Informationssikkerhedspolitikker bør revideres regelmæssigt for at sikre deres fortsatte egnethed, tilstrækkelighed og effektivitet.
Når der foretages ændringer i virksomheden, dens risici, teknologi, lovgivning eller regulativer, eller hvis sikkerhedssvagheder, hændelser eller hændelser indikerer, at der er behov for politikændringer.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad er ændringerne og forskellene fra ISO 27001:2013?
Som en del af ISO 27001 revision 2013 fusionerer denne kontrol bilag A kontroller 5.1.1 Politikker for informationssikkerhed og 5.1.2 Gennemgang af politikker for informationssikkerhed.
Bilag A kontrol 5.1 tommer ISO 27001:2022 er blevet opdateret med en beskrivelse af dets formål og udvidet implementeringsvejledning samt en attributtabel, der giver brugerne mulighed for at forene bilag A-kontroller med brancheterminologi.
I henhold til bilag A 5.1 skal informationssikkerhed og emnespecifikke politikker defineres, godkendes af ledelsen, offentliggøres, kommunikeres til og anerkendes af det relevante personale.
En organisations informationssikkerhedspolitik bør tage højde for størrelsen, typen og følsomheden af informationsaktiver, industristandarder og gældende regeringskrav.
I henhold til punkt 5.1.2 i ISO 27001:2013 er formålet med bilag A at sikre, at informationssikkerhedspolitikker løbende evalueres, hvis der opstår ændringer i informationssikkerhedsmiljøet.
Ifølge ISO 27001: 2013 og ISO 27001: 2022 bør topledelsen udvikle en sikkerhedspolitik, der er godkendt af topledelsen og beskriver, hvordan organisationen vil beskytte sine data. Ikke desto mindre dækker begge versioner af policerne forskellige krav.
Sammenlignende analyse af bilag A 5.1 Retningslinjer for implementering
I henhold til ISO 27001:2013 skal informationssikkerhedspolitikker imødekomme følgende krav:
- Forretningsstrategien.
- Kontrakter, regler og lovgivning.
- En beskrivelse af det aktuelle og forventede trusselsmiljø for informationssikkerhed.
Informationssikkerhedspolitikker bør omfatte følgende udsagn:
- Alle aktiviteter vedr informationssikkerhed bør vejledes ved en definition af informationssikkerhed, mål og principper.
- Informationssikkerhedsstyringsansvar er tildelt definerede roller på en generel og specifik måde.
- Processen for håndtering af afvigelser og undtagelser.
I modsætning hertil har ISO 27001:2022 mere omfattende krav.
Som en del af informationssikkerhedspolitikken bør følgende krav tages i betragtning:
- Virksomhedens strategi og krav.
- Lovgivning, regler og kontrakter.
- Informationssikkerhedsrisici og trusler, der eksisterer i dag og i fremtiden.
Udtalelser vedrørende følgende bør indgå i informationssikkerhedspolitikken:
- Definition af informationssikkerhed.
- En ramme for etablering af informationssikkerhedsmål.
- Informationssikkerhedsprincipper bør styre alle aktiviteter.
- En forpligtelse til at overholde alle gældende informationssikkerhedskrav.
- En løbende forpligtelse til at forbedre informationssikkerhedsstyringssystem.
- Rollebaseret tildeling af ansvar for informationssikkerhedsstyring.
- Undtagelser og dispensationer håndteres i overensstemmelse med disse procedurer.
Derudover blev ISO 27001:2022 revideret til at inkludere emnespecifikke politikker for informationssikkerhedshændelsesstyring, asset management, netværkssikkerhed, hændelsesstyring og sikker udvikling som emnespecifikke politikker. Med det formål at skabe en mere holistisk ramme blev nogle af kravene i ISO 27001:2013 fjernet eller sammenlagt.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.Online hjælper
Med ISMS.online, vil du have adgang til et komplet sæt værktøjer og ressourcer til at hjælpe med at administrere dit eget ISO 27001 Information Security Management System (ISMS), uanset om du er nybegynder eller allerede er certificeret.
Ydermere tilbyder ISMS.online automatiserede processer for at hjælpe med at forenkle hele gennemgangsprocessen. Disse processer sparer betydelige mængder admin tid sammenlignet med andre arbejdsmetoder.
Du får et forspring med ISO 27001-politikker og kontroller fra ISMS.online.
Intuitive arbejdsgange, værktøjer, rammer, politikker og kontroller, brugbar dokumentation og vejledning samt handlingsorienteret vejledning gør det nemt at implementere ISO 27001 ved at definere omfanget, identificere risici og implementere kontroller baseret på vores algoritmer – uanset om de er skabt fra bunden eller baseret på branchens bedste praksisskabeloner.
Kontakt os i dag for planlæg en demo.
