- Se ISO 27002:2022 Kontrol 5.14 for mere information.
- Se ISO 27001:2013 Bilag A 13.2.1 for mere information.
- Se ISO 27001:2013 Bilag A 13.2.2 for mere information.
- Se ISO 27001:2013 Bilag A 13.2.3 for mere information.
Det væsentlige ved sikker informationsoverførsel: ISO 27001 5.14
Formålet med ISO 27001:2022 Annex A 5.14 er at sikre sikkerheden for alle brugerenheder.
Det betyder, at der skal træffes foranstaltninger for at beskytte enhederne mod ondsindet software og andre trusler, samt for at bevare fortroligheden, integriteten og tilgængeligheden af de data, der er lagret på dem.
ISO 27001: 2022 Bilag A Kontrol 5.14 giver organisationer mandat til at installere de nødvendige regler, procedurer eller kontrakter for at opretholde datasikkerheden, når de deles internt eller sendes til eksterne parter.
Ejerskab af ISO 27001:2022 Bilag A Kontrol 5.14
Den øverste ledelses opbakning og accept er afgørende for dannelsen og udførelsen af regler, protokoller og kontrakter.
Det er dog bydende nødvendigt at have samarbejdet og specialistviden fra forskellige aktører i organisationen, såsom det juridiske personale, it-personale og topfolk.
Det juridiske team bør sikre, at organisationen indgår overførselsaftaler, der overholder ISO 27001:2022 Bilag A Kontrol 5.14. Derudover bør it-teamet være aktivt involveret i at specificere og udføre kontroller til sikring af data, som angivet i 5.14.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 5.14
At sikre overholdelse af 5.14 kræver oprettelse af regler, procedurer og aftaler, herunder en dataoverførselspolitik, der er specifik for emnet, og giver data i transit et passende beskyttelsesniveau i henhold til den klassifikation, de er tildelt.
Sikkerhedsniveauet bør være proportionalt med vigtigheden og følsomheden af de data, der sendes. ISO 27001:2022 Annex A 5.14 kræver også, at organisationer indgår overførselsaftaler med modtagende tredjeparter for at sikre sikker transmission af data.
ISO 27001:2022 Bilag A Kontrol 5.14 kategoriserer overførselstyper i tre grupper:
- Elektronisk overførsel.
- Fysisk lagringsmedier overførsel.
- Verbal overførsel.
Før du går videre med at detaljere de specifikke krav til hver type overførsel, ISO 27001: 2022 Bilag A Kontrol 5.14 skitserer de elementer, der skal være til stede i alle regler, procedurer og kontrakter vedrørende alle tre overførsler generelt:
- Organisationer skal fastlægge passende kontroller baseret på klassifikationsniveauet af informationer for at beskytte dem under transit mod uautoriseret adgang, ændring, aflytning, duplikering, ødelæggelse og denial-of-service-angreb.
- Organisationer skal holde styr på kæden af opbevaring under transit og etablere og udføre kontroller for at sikre sporbarheden af data.
- Angiv, hvem der er involveret i dataoverførslen, og giv deres kontaktoplysninger, såsom dataejerne og sikkerhedspersonalet.
- I tilfælde af et brud på datasikkerheden fordeles ansvar.
- Implementer et mærkningssystem for at holde styr på varer.
- Sikring af overførselstjenesten er tilgængelig.
- Retningslinjer vedrørende metoder til informationsoverførsel skal udvikles efter specifikke emner.
- Retningslinjer for opbevaring og kassering af alle forretningsdokumenter, herunder meddelelser, skal følges.
- Undersøg, hvilken indvirkning eventuelle gældende love, regler eller andre forpligtelser kan have på overførslen.
Supplerende vejledning om elektronisk overførsel
ISO 27001:2022 Bilag A Kontrol 5.14 beskriver de specifikke indholdskrav til regler, procedurer og aftaler forbundet med de tre typer overførsler. Minimumskravene til indhold skal overholdes på tværs af alle tre.
Regler, aftaler og procedurer bør tage højde for følgende overvejelser ved elektronisk overførsel af information:
- Identifikation og modvirkning af malware-angreb er altafgørende. Det er vigtigt, at du bruger den nyeste teknologi til at opdage og forhindre angreb fra skadelig software.
- Sikring af sikkerhed for fortrolige oplysninger findes i de tilsendte vedhæftede filer.
- Sørg for, at kommunikation sendes til de relevante modtagere ved at undgå risikoen for at sende til den forkerte e-mailadresse, adresse eller telefonnummer.
- Få tilladelse, før du begynder at bruge offentlige kommunikationstjenester.
- Der bør anvendes strengere autentificeringsmetoder, når der sendes data via offentlige netværk.
- Indførelse af grænser for brugen af e-kommunikationstjenester, f.eks. forbud mod automatisk videresendelse.
- Råd til personalet om at undgå at bruge SMS- eller onlinemeddelelsestjenester til at dele følsomme data, da indholdet kan ses af uautoriserede personer i offentlige områder.
- Rådgive personale og andre interesserede parter om de beskyttelsesrisici, som faxmaskiner kan udgøre, såsom uautoriseret adgang eller vildledende beskeder til bestemte numre.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Supplerende vejledning om fysisk lagringsmedieoverførsel
Når oplysninger deles fysisk, bør regler, procedurer og aftaler omfatte:
- Parterne er ansvarlige for at underrette hinanden om transmission, afsendelse og modtagelse af oplysninger.
- Sikre, at beskeden er adresseret korrekt og sendt korrekt.
- God indpakning eliminerer risikoen for beskadigelse af indholdet under transporten. For eksempel skal emballagen være modstandsdygtig over for varme og fugt.
- En pålidelig, autoriseret kurerliste er blevet aftalt af ledelsen.
- En oversigt over kureridentifikationsstandarder.
- Til følsomme og kritiske oplysninger bør der anvendes manipulationssikre poser.
- Det er vigtigt at bekræfte kurerernes identitet.
- Denne liste over tredjeparter, klassificeret efter deres serviceniveau, leverer transport- eller kurertjenester og er blevet godkendt.
- Notér leveringstidspunktet, autoriseret modtager, trufne sikkerhedsforanstaltninger og bekræftelse af modtagelsen på destinationen i en log.
Supplerende vejledning om verbal overførsel
Personalet skal gøres opmærksom på de risici, der er forbundet med udveksling af information i organisationen eller overførsel af data til eksterne parter, i overensstemmelse med ISO 27001:2022 Bilag A Kontrol 5.14. Disse risici omfatter:
- De bør afholde sig fra at diskutere fortrolige spørgsmål i usikre offentlige kanaler eller i offentlige områder.
- Man bør ikke efterlade voicemails med fortrolig information på grund af faren for genafspilning af personer, der ikke er autoriseret, samt risikoen for omdirigering til tredjepart.
- Enkeltpersoner, både personale og andre relevante tredjeparter, bør screenes, inden de får adgang til samtaler.
- Lokaler, der bruges til fortrolige samtaler, bør være udstyret med den nødvendige lydisolering.
- Inden der indledes en følsom dialog, bør der udstedes en ansvarsfraskrivelse.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27001:2013?
ISO 27001:2022 Bilag A 5.14 erstatter ISO 27001:2013 Bilag A 13.2.1, 13.2.2 og 13.2.3.
De to kontroller har en vis lighed, men to store forskelle gør kravene i 2022 mere byrdefulde.
Specifikke krav til elektriske, fysiske og verbale overførsler
Afsnit 13.2.3 i 2013-versionen dækkede de særlige krav til transmission af data via elektroniske beskeder.
Den omhandlede dog ikke specifikt overførsel af information ad verbale eller fysiske midler.
Til sammenligning er 2022-versionen præcis i sin identifikation af tre typer informationsoverførsel og skitserer det nødvendige indhold for hver af dem individuelt.
ISO 27001:2022 stiller strengere krav til elektronisk overførsel
Afsnit 13.2.3 i 2022-versionen opstiller strengere krav til indholdet af elektroniske meddelelsesaftaler.
Organisationer skal detaljere og udføre nye regler for digitale overførsler i form af regler, procedurer og kontrakter for ISO 27001:2022.
For eksempel bør organisationer advare deres personale mod at bruge SMS-tjenester, når de sender følsomme oplysninger.
Detaljerede krav til fysiske overførsler
2022-versionen pålægger strengere regler for fysisk overførsel af lagermedier. For eksempel er den mere grundig i sin autentificering af kurerer og sikrer mod forskellige former for skader.
Strukturelle ændringer
I 2013-versionen blev der eksplicit henvist til de nødvendige krav i aftaler om informationsoverførsel. Men "Reglerne" og "Procedurerne" blev ikke skitseret i detaljer.
For ISO 27001:2022 er der skitseret specifikke kriterier for hver af de tre tilgange.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online hjælper
Implementering af ISO 27001:2022 kan gøres enklere med vores trin-for-trin tjekliste. Det vil guide dig gennem hele processen fra at definere omfanget af dit ISMS til identificere risici og implementering af kontroller.
Book din demonstration i dag. Der er ledige tider syv dage om ugen, så planlæg din kl en tid der virker for dig.
