- Se ISO 27002:2022 Kontrol 5.10 for mere information.
- Se ISO 27001:2013 Bilag A 8.1.3 for mere information.
- Se ISO 27001:2013 Bilag A 8.2.3 for mere information.
Bilag A 5.10 ISO 27001: Sikring af korrekt brug af oplysninger og aktiver
ISO 27001:2022 Annex A 5.10 skitserer reglerne for acceptabel brug og procedurer for håndtering af information og andre aktiver.
Disse bør identificeres, dokumenteres og implementeres.
Formålet med disse politikker er at etablere klare instruktioner om, hvordan personalet skal agere i håndteringen af informationsaktiver, hvilket garanterer fortrolighed, pålidelighed og tilgængelighed af organisationens datasikkerhedsaktiver.
Hvad er ISO 27001:2022 Bilag A 5.10, Acceptabel brug af oplysninger og andre tilknyttede aktiver?
Den acceptable brug af Informationsaktiver Politik (AUA) gælder for alle medlemmer af organisationen og alle aktiver, der ejes eller drives af dem. Denne politik gælder for enhver brug, herunder kommercielle formål, af informationsaktiver.
Eksempler på informationsaktiver omfatter:
- Hardware omfatter computere, mobilenheder, telefoner og faxmaskiner.
- Software inkluderer operativsystemer, applikationer (inklusive webbaserede), hjælpeprogrammer, firmware og programmeringssprog.
- Dette afsnit omhandler strukturerede data i relationsdatabaser, flade filer, NoSQL-data samt ustrukturerede data, for eksempel tekstdokumenter, regneark, billeder, video- og lydfiler.
- Netværk omfatter både kablede og trådløse systemer, telekommunikation og VoIP-tjenester (Voice over Internet Protocol).
- Cloud-tjenester, e-mail-konti og andre hostede tjenester.
Brug af information og andre relaterede aktiver kræver, at de anvendes på måder, der ikke bringer tilgængeligheden, pålideligheden eller pålideligheden af data, tjenester eller ressourcer i fare. Det involverer også at bruge dem på måder, der ikke strider mod love eller virksomhedens politikker.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.10?
Hovedformålet med denne kontrol er at sikre, at oplysninger og relaterede aktiver beskyttes, bruges og administreres korrekt.
ISO 27001:2022 Bilag A Kontrol 5.10 sikrer, at politikker, procedurer og tekniske kontroller er på plads for at forhindre brugere i at mishandle informationsaktiver.
Denne kontrol søger at etablere en struktur for organisationer for at garantere, at information og andre ressourcer er passende beskyttet, ansat og administreret. Det indebærer at sikre, at passende politikker og procedurer findes på alle niveauer i organisationen, samt at implementere dem regelmæssigt.
Implementering af kontrol 5.10 er en del af dit ISMS og sikrer, at din virksomhed har de nødvendige krav på plads for at beskytte sine it-aktiver, såsom:
- Det er altafgørende at sikre datasikkerheden ved lagring, behandling og transit.
- Sikring og korrekt anvendelse af IT-udstyr er afgørende. Det er afgørende at sikre dens sikkerhed og bruge den korrekt.
- Passende autentificeringstjenester er afgørende for reguleringen af adgang til informationssystemer.
- Behandling af oplysninger inden for en organisation er begrænset til kun dem med den relevante autorisation.
- Tildeling af datarelaterede opgaver til bestemte personer eller roller.
- Det er vigtigt at uddanne og træne brugerne i deres sikkerhedsforpligtelser. At sikre, at de forstår deres roller og ansvar, hjælper med at sikre systemets sikkerhed.
Hvad er involveret, og hvordan man opfylder kravene
For at opfylde ISO 27001:2022's Control 5.10-behov er det bydende nødvendigt, at personale, både internt og eksternt, som bruger eller har adgang til organisationens data og yderligere ressourcer, er opmærksomme på virksomhedens forudsætninger for informationssikkerhed.
De ansvarlige bør holdes ansvarlige for de databehandlingsressourcer, de bruger.
Alt personale, der er forbundet med forvaltningen af information og andre relaterede aktiver, bør være opmærksomme på organisationens politik for passende brug. Det er vigtigt, at alle involverede er informeret om retningslinjerne.
Alt personale, der arbejder med information og relaterede aktiver, bør gøres opmærksomme på virksomhedens politik for acceptabel brug. Som en del af den specifikke brugspolitik bør personalet forstå præcist, hvad der forventes af dem med hensyn til disse ressourcer.
Politik skal gøre det klart, at:
- Alle medarbejdere skal overholde virksomhedens politikker og procedurer.
- Ingen medarbejder må påtage sig nogen aktivitet, der er i modstrid med virksomhedens interesser.
- Enhver medarbejder, der ikke overholder virksomhedens politikker og procedurer, vil blive underlagt disciplinære foranstaltninger.
Særlig politik vedrørende emnet bør angive, at alt personale skal overholde virksomhedens direktiver og protokoller:
- Forventninger og uacceptable handlinger vedrørende informationssikkerhed bør afklares for enkeltpersoner.
- Tilladt og forbudt brug af information og andre aktiver.
- Holder øje med organisationens drift.
Udarbejde acceptable brugsprocedurer gennem hele informationens livscyklus i overensstemmelse med dens kategorisering og identificerede risici. Tænk over følgende:
- Adgangsbegrænsninger for at understøtte beskyttelsen af hvert sikkerhedsniveau skal indføres.
- Vedligeholdelse af et register over autoriserede brugere af oplysninger og andre tilhørende aktiver.
- Sørg for, at sikkerheden af midlertidige eller permanente kopier af oplysninger er i overensstemmelse med kravene i konteksten.
- Det er yderst vigtigt at sikre bevarelsen af de oprindelige data.
- Opbevaring af aktiver relateret til information i henhold til fabrikantens standarder er afgørende.
- Marker alle kopier af elektronisk eller fysisk lagringsmedier klart til modtagerens opmærksomhed.
- Virksomheden giver tilladelse til bortskaffelse af oplysninger og andre aktiver, samt de(n) slettemetode(r), der understøttes.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Forskelle mellem ISO 27001:2013 og ISO 27001:2022
2022-versionen af ISO 27001 blev udgivet i oktober 2022; det er en forbedret version af ISO 27001:2013.
Bilag A 5.10 i ISO 27001:2022 er ikke nyt; det er en blanding af kontroller 8.1.3 og 8.2.3 fra ISO 27001:2013.
Essensen og implementeringsretningslinjerne i bilag A 5.10 ligner dem i kontrol 8.1.3 og 8.2.3, men bilag A 5.10 kombinerer både acceptabel brug af og håndtering af aktiver i én kontrol for brugervenlighed.
Bilag A 5.10 tilføjede yderligere et punkt til 8.2.3, som vedrører godkendelse af bortskaffelse af oplysninger og eventuelle relaterede aktiver samt den eller de anbefalede slettemetoder.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvem er ansvarlig for denne proces?
Denne politik opstiller reglerne for korrekt brug af virksomhedens oplysninger og tilhørende aktiver, såsom computere, netværk og systemer, e-mail, filer og lagermedier. Alle medarbejdere og entreprenører skal overholde den.
Denne politik tjener til:
- Giv til enhver tid retningslinjer for passende adfærd.
- Skitsér konsekvenserne af ethvert adfærdsbrud.
- Sikre et sikkert og respektfuldt miljø for alle.
Formålet med denne politik er at opstille direktiver for passende adfærd og detaljere konsekvenserne af at overtræde dem, for at skabe en sikker, respektfuld atmosfære for alle.
Sikring af, at virksomhedens data og andre relaterede aktiver udelukkende anvendes af gyldige forretningsmæssige årsager. Sikre, at medarbejdere overholder alle love og regler vedrørende informationssikkerhed og forsvare virksomhedens informationer og andre relaterede aktiver mod risici, der stammer fra inden for eller uden for virksomheden.
Information Security Officer (ISO) har til opgave at designe, eksekvere og opretholde den acceptable brug af informationsressourcer.
ISO vil være ansvarlig for at føre tilsyn med brugen af informationsressourcer på tværs af organisationen for at sikre, at data anvendes på en måde, der sikrer sikkerhed og datanøjagtighed, bevarer fortroligheden af private eller sarte oplysninger, afværger misbrug og uautoriseret adgang til computerressourcer, og eliminerer enhver unødvendig eksponering eller ansvar for organisationen.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvad betyder disse ændringer for dig?
Den nye ISO 27001:2022-standard er en revision, så du behøver ikke foretage mange ændringer for at overholde den.
Se vores vejledning om ISO 27001:2022 for at lære mere om konsekvenserne af bilag A 5.10 for din virksomhed, og hvordan du viser overholdelse.
Hvordan ISMS.online hjælper
ISMS.online gør ISO 27001 implementering ligetil med en omfattende trin-for-trin tjekliste. Denne vejledning fører dig gennem hele processen, fra at definere dit ISMS-omfang til at identificere risici og implementere kontrolelementer.
Denne model skaber en ramme for opsætning, udnyttelse, drift, observation, evaluering, opretholdelse og udvikling af et Information Security Management System (ISMS).
Gennemførelse af ISO 27001-standard kan være en omfattende bestræbelse, men ISMS.online giver en omfattende, one-stop-løsning for at gøre processen meget lettere.
Vores førsteklasses software til styring af informationssikkerhed tilbyder en ukompliceret måde at forstå, hvad der skal opnås, og hvordan man kommer videre.
Vi gør det nemt at administrere dine compliance-behov. Vi fjerner besværet og stresset ved at opfylde dine krav.
Tag fat i dag for at reservere en demonstration.
