- Se ISO 27002:2022 Kontrol 5.15 for mere information.
- Se ISO 27001:2013 Bilag A 9.1.1 for mere information.
- Se ISO 27001:2013 Bilag A 9.1.2 for mere information.
ISO 27001:2022 Bilag A 5.15 – En omfattende vejledning til adgangskontrolpolitikker
Bilag A 5.15 i ISO 27001:2022; Din trin-for-trin guide til at forstå og møde det.
Bilag A 5.15 omhandler adgangskontrolprocedurer. Formålet med bilag A.9 er at sikre adgangen til information og sikre, at medarbejderne kun har adgang til de oplysninger, de har brug for for at udføre deres opgaver.
Det er et af de væsentlige elementer i en informationssikkerhedsstyringssystem (ISMS), især hvis du planlægger at opnå ISO 27001-certificering.
At få denne del rigtigt er en kritisk komponent i ISO 27001 certificering og en, hvor mange virksomheder har brug for assistance. For bedre at forstå disse krav, lad os se nærmere på, hvad de indebærer.
Adgangskontrolpolitik
For at administrere adgang til aktiver inden for rammerne af en organisation skal en adgangskontrolpolitik udvikles, dokumenteres og periodisk revideres.
Adgangskontrol styrer, hvordan menneskelige og ikke-menneskelige enheder på et netværk får adgang til data, it-ressourcer og applikationer.
Informationssikkerhedsrisici forbundet med informationen og organisationens appetit på at administrere dem bør afspejles i de regler, rettigheder og begrænsninger og dybden af de anvendte kontroller. Det er simpelthen et spørgsmål om at beslutte, hvem der har adgang til hvad, hvor meget, og hvem der ikke har.
Det er muligt at opsætte digitale og fysiske adgangskontroller, såsom begrænsning af brugerkontotilladelser eller begrænsning af adgang til specifikke fysiske lokationer (tilpasset bilag A.7 Fysisk og miljømæssig sikkerhed). Politikken bør tage følgende hensyn:
- Det er vigtigt at tilpasse sikkerhedskravene til forretningsapplikationer med informationsklassifikationsskemaet, der er i brug i henhold til bilag A 5.9, 5.10, 5.11, 5.12, 5.13 og 7.10 vedrørende Asset Management.
- Identificer, hvem der kræver adgang til, viden om og brug af information – ledsaget af klart definerede procedurer og ansvar.
- Sørg for, at adgangsrettigheder og privilegier adgangsrettigheder (mere magt – se nedenfor) administreres effektivt, herunder tilføjelse af ændringer i livet (f.eks. kontroller for superbrugere/administratorer) og periodiske gennemgange (f.eks. periodiske interne revisioner pr. krav Bilag A 5.15, 5.16, 5.17, 5.18 og 8.2).
- En formel procedure og definerede ansvarsområder bør understøtte adgangskontrolreglerne.
Det er afgørende at gennemgå adgangskontrol efterhånden som roller ændres, især under udgange, for at overholde bilag A.7 Human Resource Security.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Netværk og netværkstjenester er tilgængelige for brugere
En generel tilgang til beskyttelse er mindst adgang snarere end ubegrænset adgang og superbrugerrettigheder uden nøje overvejelse.
Brugere bør derfor kun have adgang til netværk og netværkstjenester forpligtet til at opfylde deres ansvar. Politikken skal tage fat på; De netværk og netværkstjenester, der er adgang til; Autorisationsprocedurer til at vise hvem (rollebaseret) der har adgang til hvad og hvornår; og ledelseskontroller og -procedurer for at forhindre adgang og overvåge den i tilfælde af en hændelse.
On- og off-boarding bør også tage hensyn til dette spørgsmål, som er tæt forbundet med adgangskontrolpolitikken.
Formål med ISO 27001:2022 bilag A 5.15
Som en forebyggende kontrol forbedrer bilag A 5.15 en organisations underliggende evne til at kontrollere adgangen til data og aktiver.
Et konkret sæt af kommerciel og informationssikkerhed behov skal opfyldes, før der kan gives adgang til ressourcer og ændres i henhold til bilag A Kontrol 5.15.
ISO 27001 Annex A 5.15 giver retningslinjer for at lette sikker adgang til data og minimere risikoen for uautoriseret adgang til fysiske og virtuelle netværk.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ejerskab af bilag A 5.15
Som vist i bilag A 5.15 er ledelsespersonale på tværs af forskellige dele af en organisationen skal bevare en grundig forståelse af hvilke ressourcer der skal tilgås (f.eks. Ud over at HR informerer medarbejderne om deres jobroller, som dikterer deres RBAC-parametre, er adgangsrettigheder i sidste ende en vedligeholdelsesfunktion, der kontrolleres af netværksadministratorer.
En organisations bilag A 5.15 ejerskab bør ligge hos et medlem af den øverste ledelse, som har overordnet teknisk myndighed over virksomhedens domæner, underdomæner, applikationer, ressourcer og aktiver. Dette kunne være IT-chefen.
Generel vejledning om ISO 27001:2022 bilag 5.15
En emnespecifik tilgang til adgangskontrol er påkrævet for at overholde ISO 27001:2022 Bilag A Kontrol 5.15 (mere kendt som en problemspecifik tilgang).
I stedet for at overholde en overordnet adgangskontrolpolitik, der gælder for ressource- og dataadgang på tværs af organisationen, tilskynder emnespecifikke tilgange organisationer til at oprette adgangskontrolpolitikker rettet mod individuelle forretningsfunktioner.
På tværs af alle emnespecifikke områder kræver bilag A Kontrol 5.15, at politikker vedrørende adgangskontrol skal tage højde for de 11 punkter nedenfor. Nogle af disse retningslinjer overlapper med andre politikker.
Som en retningslinje bør organisationer konsultere de medfølgende kontroller for yderligere oplysninger fra sag til sag:
- Identificer, hvilke enheder der kræver adgang til visse aktiver og oplysninger.
- Vedligeholdelse af en registrering af jobroller og krav til dataadgang i overensstemmelse med organisationsstrukturen i din organisation er den nemmeste måde at sikre overholdelse.
- Sikkerhed og integritet af alle relevante applikationer (linket til kontrol 8.2).
- En formel risikovurdering kunne udføres for at vurdere de enkelte applikationers sikkerhedskarakteristika.
- Kontrol af fysisk adgang til et websted (links til kontrol 7.2, 7.3 og 7.4).
- Som en del af dit overholdelsesprogram skal din organisation demonstrere et robust sæt af bygnings- og rumadgangskontroller, herunder administrerede adgangssystemer, sikkerhedsperimetre og besøgsprocedurer, hvor det er relevant.
- Når det kommer til distribution, sikkerhed og kategorisering af information, bør "need to know"-princippet anvendes i hele organisationen (linket til 5.10, 5.12 og 5.13).
- Virksomheder bør overholde strenge politikker for bedste praksis, der ikke giver generel adgang til data på tværs af en organisations hierarki.
- Sørg for, at privilegerede adgangsrettigheder er begrænset (relateret til 8.2).
- Adgangsrettighederne for brugere, der får adgang til data ud over en standardbrugers, skal overvåges og revideres.
- Sikre overholdelse af enhver gældende lovgivning, sektorspecifikke regulatoriske retningslinjer eller kontraktlige forpligtelser i forbindelse med dataadgang (se 5.31, 5.32, 5.33, 5.34 og 8.3).
- En organisations adgangskontrolpolitikker tilpasses i henhold til eksterne forpligtelser vedrørende dataadgang, aktiver og ressourcer.
- Hold øje med potentielle interessekonflikter.
- Politikkerne bør omfatte kontroller for at forhindre en person i at kompromittere en bredere adgangskontrolfunktion baseret på deres adgangsniveauer (dvs. en medarbejder, der kan anmode om, godkende og implementere ændringer til et netværk).
- En adgangskontrolpolitik bør behandle de tre hovedfunktioner – anmodninger, tilladelser og administration – uafhængigt.
- En politik for adgangskontrol skal anerkende, at den på trods af dens selvstændige karakter omfatter flere individuelle trin, der hver indeholder sine krav.
- For at sikre overholdelse af kravene i 5.16 og 5.18 bør adgangsanmodninger udføres på en struktureret, formel måde.
- Organisationer bør implementere formelle autorisationsprocesser, der kræver formel, dokumenteret godkendelse fra det relevante personale.
- Håndtering af adgangsrettigheder løbende (linket til 5.18).
- For at vedligeholde dataintegritet og sikkerhedsperimetre kræves periodiske revisioner, HR-tilsyn (fralader osv.) og jobspecifikke ændringer (f.eks. afdelingsflytninger og ændringer af roller).
- Vedligeholdelse af passende logfiler og kontrol af adgang til dem. omfattende hændelseshåndtering strategi.
Supplerende vejledning om bilag 5.15
I henhold til den supplerende vejledning nævner ISO 27001:2022 Bilag A Kontrol 5.15 (uden at begrænse sig til) fire forskellige typer adgangskontrol, som bredt kan klassificeres som følger:
- Mandatory Access Control (MAC) – Adgang administreres centralt af en enkelt sikkerhedsmyndighed.
- Et alternativ til MAC er diskretionær adgangskontrol (DAC), hvor ejeren af objektet kan give andre privilegier inden for objektet.
- Et adgangskontrolsystem baseret på foruddefinerede jobfunktioner og privilegier kaldes rollebaseret adgangskontrol (RBAC).
- Ved at bruge ABAC (Attribute-Based Access Control) tildeles brugeradgangsrettigheder baseret på politikker, der kombinerer attributter.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Retningslinjer for implementering af adgangskontrolregler
Vi har diskuteret regler for adgangskontrol som værende givet til forskellige enheder (menneskelige og ikke-menneskelige), der opererer inden for et netværk, som tildeles roller, der definerer deres overordnede funktion.
Når du definerer og implementerer din organisations adgangskontrolpolitikker, anmoder bilag A 5.15 dig om at overveje følgende fire faktorer:
- Der skal opretholdes overensstemmelse mellem de data, som adgangsretten gælder for, og typen af adgangsret.
- Det er vigtigt at sikre overensstemmelse mellem din organisations adgangsrettigheder og fysiske sikkerhedskrav (perimeter osv.).
- Adgangsrettigheder i et distribueret computermiljø (såsom et cloudbaseret miljø) tager hensyn til implikationerne af data, der findes på tværs af et bredt spektrum af netværk.
- Overvej implikationerne af dynamisk adgangskontrol (en granulær metode til at få adgang til et detaljeret sæt variabler implementeret af en systemadministrator).
Definition af ansvar og dokumentation af processen
I henhold til ISO 27001:2022 Bilag A Kontrol 5.15 skal organisationer udvikle og vedligeholde en struktureret liste over ansvarsområder og dokumentation. Der er adskillige ligheder mellem hele ISO 27001:2022's liste over kontroller, hvor bilag A 5.15 indeholder de mest relevante krav:
Dokumentation
- ISO 27001:2022 Bilag A 5.16
- ISO 27001:2022 Bilag A 5.17
- ISO 27001:2022 Bilag A 5.18
- ISO 27001:2022 Bilag A 8.2
- ISO 27001:2022 Bilag A 8.3
- ISO 27001:2022 Bilag A 8.4
- ISO 27001:2022 Bilag A 8.5
- ISO 27001:2022 Bilag A 8.18
ansvar
- ISO 27001:2022 Bilag A 5.2
- ISO 27001:2022 Bilag A 5.17
granularitet
Kontrol 5.15 i bilag A giver organisationer betydelig frihed til at specificere detaljeret i deres adgangskontrolpolitikker.
Generelt råder ISO virksomheder til at bruge deres dømmekraft med hensyn til, hvor detaljeret et givet regelsæt skal være på medarbejder-for-medarbejder-basis, og hvor mange variabler der skal anvendes på en given information.
Specifikt anerkender bilag A 5.15, at jo mere detaljerede en virksomheds adgangskontrolpolitikker er, jo større omkostninger og jo mere udfordrende bliver konceptet for adgangskontrol på tværs af flere lokationer, netværkstyper og applikationsvariabler.
Adgangskontrol, medmindre den styres omhyggeligt, kan komme ud af hånden meget hurtigt. Det er klogt at forenkle adgangskontrolreglerne for at sikre, at de er nemmere at administrere og mere omkostningseffektive.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvad er ændringerne fra ISO 27001:2013?
Bilag A 5.15 i 27001:2022 er en sammenlægning af to lignende kontroller i 27001:2013 – Bilag A 9.1.1 (Adgangskontrolpolitik) og bilag A 9.1.2 (Adgang til netværk og netværkstjenester).
De underliggende temaer i A.9.1.1 og A.9.1.2 ligner dem i bilag A 5.15, bortset fra nogle subtile operationelle forskelle.
Som i 2022 vedrører begge kontroller administration af adgang til information, aktiver og ressourcer og fungerer efter princippet om "need to know", hvor virksomhedsdata behandles som en vare, der kræver omhyggelig styring og beskyttelse.
Der er 11 styrende retningslinjer i 27001:2013 Bilag A 9.1.1, som alle følger de samme generelle principper som 27001:2022 Bilag A Kontrol 5.15 med lidt større vægt på perimetersikring og fysisk sikring.
Der er generelt de samme implementeringsretningslinjer for adgangskontrol, men 2022-kontrollen giver meget mere kortfattet og praktisk vejledning på tværs af dens fire implementeringsvejledninger.
Typer af adgangskontrol brugt i ISO 27001:2013 Annex A 9.1.1 Er ændret
Som angivet i ISO 27001 Annex A 5.15 er der opstået forskellige former for adgangskontrol i løbet af de sidste ni år (MAC, DAC, ABAC), hvorimod i 27001:2013 Annex A Control 9.1.1, den primære metode til kommerciel adgangskontrol tid var RBAC.
Granularitetsniveau
2013-kontrollerne skal indeholde meningsfulde retningslinjer for, hvordan en organisation bør gribe detaljerede adgangskontroller an i lyset af teknologiske ændringer, der giver organisationer øget kontrol over deres data.
I modsætning hertil giver bilag A 5.15 til 27001:2022 organisationer en betydelig fleksibilitet.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan kan ISMS.online hjælpe?
Bilag A 5.15 i ISO 27001:2022 er sandsynligvis den mest omtalte klausul i bilag A, og nogle hævder, at den er den mest betydningsfulde.
Dit Information Security Management System (ISMS) har til formål at sikre, at de relevante personer har adgang til de korrekte oplysninger på det rigtige tidspunkt. En af nøglerne til succes er at få det rigtige, men at gøre det forkert kan påvirke din virksomhed negativt.
Overvej scenariet, hvor du ved et uheld afslørede fortrolige medarbejderoplysninger til de forkerte personer, såsom hvad alle i organisationen får betalt.
Hvis du ikke er forsigtig, kan konsekvenserne af at få denne del forkert være alvorlige. Derfor er det bydende nødvendigt at tage sig tid til nøje at overveje alle aspekter, før du fortsætter.
I denne forbindelse vores platform kan være et reelt aktiv. Det er fordi det følger hele strukturen i ISO 27001 og giver dig mulighed for at adoptere, tilpasse og berige det indhold, vi leverer til dig, hvilket giver dig et betydeligt forspring.
