Formål med ISO 27001:2022 bilag A 5.23
ISO 27001: 2022 Bilag A 5.23 er en ny kontrol, der skitserer de processer, der kræves for anskaffelse, brug, styring af og exit fra cloud-tjenester, i forhold til organisationens unikke krav til informationssikkerhed.
Bilag A Kontrol 5.23 giver organisationer mulighed for først at specificere og derefter administrere og administrere informationssikkerhedskoncepter som relateret til cloud-tjenester, i deres egenskab af "cloud services-kunde".
Bilag A 5.23 er en forebyggende kontrol at fastholder risiko ved at specificere politikker og procedurer, der styrer informationssikkerhed, inden for kommercielle cloud-tjenester.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A 5.23
Sådan er udbredelsen af cloud-tjenester i løbet af det sidste årti, ISO 27001 2022 Bilag A Kontrol 5.23 indeholder et væld af procedurer, der omfatter mange forskellige elementer i en organisations drift.
I betragtning af at ikke alle cloudtjenester er IKT-specifikke – selvom det med rimelighed kunne hævdes, at de fleste er det – bør ejerskabet af bilag A Kontrol 5.23 fordeles mellem en organisations CTO or COOafhængigt af de gældende driftsforhold.
Vejledning om ISO 27001:2022 Bilag A Kontrol 5.23 – Organisatoriske forpligtelser
Overholdelse af kontrol 5.23 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til cloud-tjenester og informationssikkerhed.
I betragtning af de mange forskellige cloud-tjenester, der tilbydes, tilskynder emnespecifikke tilgange organisationer til at skabe cloud-tjenester-politikker, der er skræddersyet til individuelle forretningsfunktioner, i stedet for at overholde en generel politik, der gælder for informationssikkerhed og cloud-tjenester over hele linjen.
Det skal bemærkes, at ISO betragter overholdelse af bilag A Kontrol 5.23 som en samarbejdsindsats mellem organisationen og deres cloud-servicepartner. Bilag A Kontrol 5.23 bør også være nøje tilpasset kontrol 5.21 og 5.22, som omhandler henholdsvis informationsstyring i forsyningskæden og styring af leverandørtjenester.
Uanset hvor en organisation vælger at operere, bør bilag A kontrol 5.23 ikke tages isoleret og bør supplere eksisterende bestræbelser på at styre leverandørforhold.
Med informationssikkerhed i højsædet bør organisationen definere:
- Eventuelle relevante sikkerhedskrav eller bekymringer involveret i brugen af en cloud-platform.
- Kriterierne involveret i at vælge en cloud-tjenesteudbyder, og hvordan deres tjenester skal bruges.
- Granulær beskrivelse af roller og relevante ansvarsområder, der styrer, hvordan cloud-tjenester skal bruges på tværs af organisationen.
- Præcis hvilke informationssikkerhedsområder, der er kontrolleret af cloud-tjenesteudbyderen, og dem, der hører under organisationen selv.
- De bedste måder, hvorpå man først kan samle og derefter bruge eventuelle informationssikkerhedsrelaterede servicekomponenter leveret af cloudserviceplatformen.
- Hvordan man opnår kategoriske forsikringer om eventuelle informationssikkerhedsrelaterede kontroller, der er vedtaget af cloud-tjenesteudbyderen.
- De skridt, der skal tages for at styre ændringer, kommunikation og kontroller på tværs af flere forskellige cloud-platforme, og ikke altid fra den samme leverandør.
- Incident Management procedurer, der udelukkende vedrører levering af cloud-tjenester.
- Hvordan organisationen forventer at styre sin løbende brug og/eller engrosadoption af cloud-platforme i overensstemmelse med deres bredere informationssikkerhedsforpligtelser.
- En strategi for ophør eller ændring af cloud-tjenester, enten på leverandør-for-leverandør-basis eller gennem processen fra cloud til on-premise migrering.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning om bilag A Kontrol 5.23 – Cloud Services Agreements
Bilag A Kontrol 5.23 anerkender, at i modsætning til andre leverandørforhold er cloud-serviceaftaler stive dokumenter, som ikke kan ændres i langt de fleste tilfælde.
Med det i tankerne bør organisationer granske cloud-serviceaftaler og sikre, at fire primære driftskrav er opfyldt:
- Fortrolighed.
- Sikkerhed/dataintegritet.
- Service tilgængelighed.
- Informationshåndtering.
Som med andre leverandørkontrakter bør cloud-serviceaftaler forud for accept gennemgå en grundig risikovurdering, der fremhæver potentielle problemer ved kilden.
Organisationen bør som et minimum kun indgå en cloud-serviceaftale, når de er overbevist om, at følgende 10 bestemmelser er opfyldt:
- Cloud-tjenester leveres og implementeres baseret på organisationens unikke krav i forhold til deres driftsområde, herunder industriaccepterede standarder og praksis for cloud-baseret arkitektur og hostet infrastruktur.
- Adgang til enhver cloudplatform opfylder organisationens krav til grænseinformationssikkerhed.
- Der tages tilstrækkeligt hensyn til antimalware- og antivirustjenester, herunder proaktiv overvågning og trusselsbeskyttelse.
- Cloud-udbyderen overholder et foruddefineret sæt af datalagrings- og behandlingsbestemmelser, der relaterer til en eller flere forskellige globale regioner og regulatoriske miljøer.
- Proaktiv support ydes til organisationen, hvis cloud-platformen skulle lide en katastrofal fejl eller informationssikkerhedsrelateret hændelse.
- Hvis der opstår behov for at udlicitere eller på anden måde outsource noget element af cloud-platformen, er leverandørens krav til informationssikkerhed en konstant overvejelse.
- Hvis organisationen har brug for hjælp til at samle digitale oplysninger til ethvert relevant formål (lovhåndhævelse, lovgivningsmæssig tilpasning, kommercielle formål), vil udbyderen af cloudtjenester støtte organisationen så vidt det er muligt.
- Ved afslutningen af forholdet bør cloud-tjenesteudbyderen yde rimelig support og passende tilgængelighed under overgangs- eller nedlukningsperioden.
- Cloud-tjenesteudbyderen bør operere med en robust BUDR-plan, der er fokuseret på at udføre tilstrækkelige backups af organisationens data.
- Overførsel af alle relevante supplerende data fra cloud-tjenesteudbyderen til organisationen, herunder konfigurationsoplysninger og kode, som organisationen har krav på.
Supplerende oplysninger om bilag A Kontrol 5.23
Ud over ovenstående vejledning foreslår bilag A Kontrol 5.23, at organisationer danner et tæt samarbejde med udbydere af cloud-tjenester, i overensstemmelse med den vigtige service, de leverer ikke kun i informationssikkerhedsmæssig henseende, men på tværs af en organisations hele kommercielle drift.
Organisationer bør, hvor det er muligt, søge følgende krav fra cloud-tjenesteudbydere for at forbedre den operationelle modstandsdygtighed og nyde forbedrede niveauer af informationssikkerhed:
- Alle ændringer i infrastrukturen bør kommunikeres på forhånd for at informere organisationens eget sæt af informationssikkerhedsstandarder.
- Organisationen skal holdes orienteret om eventuelle ændringer i datalagringsprocedurer, der involverer migrering af data til en anden jurisdiktion eller global region.
- Enhver intention fra cloud-tjenesteudbyderens side om at bruge "peer cloud"-udbydere eller outsource områder af deres drift til underleverandører, der kan have informationssikkerhedsmæssige konsekvenser for organisationen.
Understøttende kontrol i bilag A
- ISO 27001:2022 Bilag A 5.21
- ISO 27001:2022 Bilag A 5.22
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad er ændringerne og forskellene fra ISO 27001:2013?
Bilag A Kontrol 5.23 er en ny kontrol der ikke er med i ISO 27001:2013 på nogen måde.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online hjælper
ISMS.online strømliner ISO 27001-implementeringsprocessen ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.
Når du bruger ISMS.online, vil du være i stand til at:
- Opret et ISMS, der er kompatibelt med ISO 27001-standarder.
- Udfør opgaver og indsend bevis for, at de har opfyldt kravene i standarden.
- Tildel opgaver og spor fremskridt hen imod overholdelse af loven.
- Få adgang til et specialiseret team af rådgivere, der vil hjælpe dig hele vejen mod overholdelse.
Tag kontakt og book en demo.
