- Se ISO 27002:2022 Kontrol 5.4 for mere information.
- Se ISO 27001:2013 Bilag A 7.2.1 for mere information.
Sikring af overholdelse: Ledelsens vejledning til ISO 27001-kontrol 5.4
ISO 27001:2022, bilag A kontrol 5.4, ledelsesansvar dækker ledelsens behov for at sikre, at alt personale holder sig til alle de emnespecifikke politikker for informationssikkerhed og procedurer som defineret i organisationens etablerede informationssikkerhedspolitik.
Hvad er ISO 27001:2022 Bilag A 5.4 Ledelsesansvar?
Medarbejdere og entreprenører bør være opmærksomme på og opfylde deres informationssikkerhedsansvar som beskrevet i dette bilag.
Bilag A Kontrol 5.4 beskriver, hvordan medarbejdere og kontrahenter anvender informationssikkerhed i henhold til organisationens politikker og procedurer.
Det ansvar, der pålægges ledere, bør omfatte krav til:
- De skal forstå de informationssikkerhedstrusler, sårbarheder og kontroller, der er relevante for deres jobroller og modtage regelmæssig træning (som beskrevet i bilag A 7.2.2).
- Styrk kravene i ansættelsesvilkårene ved at sikre buy-in til proaktiv og tilstrækkelig støtte til gældende informationssikkerhedspolitikker og kontroller i bilag A.
Det er ledernes ansvar at sikre, at sikkerhedsbevidsthed og samvittighedsfuldhed gennemsyrer hele organisationen og at etablere en passende "sikkerhedskultur".
Informationssikkerhedspolitikker – hvad er de?
An informationssikkerhedspolitik er et formelt dokument der giver ledelsens retning, mål og principper for beskyttelse af en organisations information. For at sikre en passende allokering af ressourcer skal en effektiv informationssikkerhedspolitik skræddersyes til en organisations specifikke behov og understøttes af den øverste ledelse.
Det specificerer, hvordan virksomheden vil beskytte sin informationsaktiver og hvordan medarbejderne skal håndtere følsomme data.
bro informationssikkerhedspolitikker udvikles af den øverste ledelse i samarbejde med it-sikkerhedspersonale og er afledt af love, regler og bedste praksis.
En ramme for definition af roller og ansvar og en revisionsperiode bør også inkluderes i politikkerne.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvorfor er ISO 27001:2022 bilag A 5.4 betydningsfuldt?
Bilag A Kontrol 5.4 har til formål at sikre, at ledelsen er bevidst om deres ansvar for informationssikkerhed.
Det tager skridt til at sikre, at alle medarbejdere er bevidste om dette ansvar.
Sådan fungerer bilag A 5.4
Information er et værdifuldt aktiv, der skal beskyttes mod tab, skade eller misbrug. Ledelsen skal sikre, at der træffes tilstrækkelige foranstaltninger for at beskytte dette aktiv. For at opnå dette skal ledelsen sikre, at alt personale overholder organisationens informationssikkerhedspolitikker, emnepolitikker og procedurer.
Kontrol 5.4 i bilag A definerer ledelsesansvar vedrørende informationssikkerhed i en organisation baseret på ISO 27001's rammer.
Ledelsen skal være med på informationssikkerhedsprogrammet, og alle medarbejdere og entreprenører skal være opmærksomme på informationssikkerhedspolitikken og følge den. Sikkerhedspolitikker, emnespecifikke politikker og procedurer bør aldrig være undtaget fra obligatorisk overholdelse af nogen medarbejder eller entreprenør.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Processen i bilag A 5.4 og hvad man kan forvente
En organisations informationssikkerhedspolitikker, standarder og procedurer skal håndhæves af ledelsen for at overholde denne bilag A-kontrol.
At få ledelsens støtte og buy-in er det første skridt.
For at vise engagement skal ledelsen følge alle dens politikker og procedurer. For eksempel hvis træning i sikkerhedskendskab er påkrævet årligt, bør ledere selv gennemføre disse kurser.
Uanset deres stilling skal alle i virksomheden være opmærksomme på vigtigheden af informationssikkerhed. Som det fremgår af virksomhedens ISMS-program, skal alle forstå deres rolle i at opretholde sikkerheden for følsomme data. Dette omfatter bestyrelsen, direktører og ledere og medarbejdere.
Hvad er ændringerne og forskellene fra ISO 27001:2013?
ISO 27001:2022 Bilag A 5.4 Ledelsesansvar var tidligere kendt som Kontrol 7.2.1 Ledelsesansvar. Det er ikke en nyligt tilføjet kontrol, men en mere robust fortolkning af den tilsvarende kontrol i ISO 27001: 2013.
Der er nogle få forskelle mellem bilag A, kontrol 5.4 og kontrol 7.2.1. Disse forskelle er dokumenteret i implementeringsvejledningen for begge.
ISO 27001 Implementeringsvejledning Sammenligning for bilag A 5.4
Det er ledelsens ansvar at sikre, at medarbejdere og entreprenører følger følgende standarder:
- Før de får adgang til fortrolig information eller informationssystemer, er medarbejderne tilstrækkeligt uddannet i informationssikkerhedsroller og -ansvar.
- Giv retningslinjer for at angive forventningerne til informationssikkerheden til deres rolle i organisationen.
En organisation skal:
- Vær motiveret til at sikre, at organisationens informationssikkerhedspolitikker følges.
- Være bekendt med deres roller og ansvar i forhold til informationssikkerhed.
- Overholde organisationens informationssikkerhedspolitik og passende arbejdsmetoder.
- Sikre, at medarbejderne har de rette færdigheder og kvalifikationer og modtager regelmæssig træning.
- Indberetning af brud på informationssikkerhed politikker eller procedurer kan udføres anonymt ("whistleblowing").
Ledelsen bør understøtte informationssikkerhedspolitikker, -procedurer og bilag A-kontroller.
Kontrol 5.4 i bilag A er mere brugervenlig og kræver, at ledelsen sikrer, at medarbejdere og entreprenører følger følgende retningslinjer:
A) Er informeret om deres ansvar og roller inden for informationssikkerhed, inden der gives adgang til organisationens informationer.
B) Modtag retningslinjer, der specificerer det forventede niveau af informationssikkerhed i deres specifikke roller.
C) Opfylde organisationens informationssikkerhedspolitik og emnespecifikke politikker.
D) Bliv bevidst om deres rolle og ansvar vedrørende informationssikkerhed.
E) Overholdelse af arbejdspladsens regler, herunder organisationens datasikkerhedspolitik og arbejdsmetoder.
F) Uddanne dig selv løbende i informationssikkerhedsfærdigheder og -kvalifikationer.
G) I tilfælde af overtrædelse af informationssikkerhedspolitikker, emnespecifikke politikker eller procedurer ("whistleblowing") bør medarbejdere have en fortrolig kommunikationskanal. En anonym indberetningsmulighed eller bestemmelser, der sikrer, at indberetterens identitet kun er kendt af dem, der har brug for at håndtere disse indberetninger, er mulige.
H) Sikre tilstrækkelige ressourcer og projektplanlægningstid til at implementere sikkerhedsrelaterede processer og bilag A-kontroller.
ISO 27001:2022-standarden kræver eksplicit at arbejdere og entreprenører har adgang til de nødvendige ressourcer og projektplanlægningstid til at implementere sikkerhedsrelaterede procedurer og kontroller.
ISO 27001:2013 og ISO 27001:2022 bruger forskellige formuleringer til nogle implementeringsretningslinjer. F.eks. siger retningslinje C i 2013, at medarbejdere og kontrahenter skal være 'motiverede' til at vedtage ISMS-politikker; dog i 2022 bruges ordet 'mandat'.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan styres denne proces?
Enkelt sagt sikrer en virksomheds ledelse, at en ISMS (Informationssikkerhedsstyringssystem) er på plads.
Der bør udpeges en informationssikkerhedschef, som er kvalificeret, erfaren og ansvarlig for at udvikle, implementere, administrere og løbende forbedre ISMS.
ISMS.online: Sådan kan vi hjælpe
Ved implementering af en ISO 27001-justeret ISMS, er en vigtig udfordring at holde styr på dine informationssikkerhedskontroller. Vores system gør denne proces enkel.
Vores team forstår vigtigheden af at beskytte din organisations data og omdømme. Derfor forenkler vores cloud-baserede platform implementering af ISO 27001, giver dig mulighed for at etablere en robust ramme for informationssikkerhedskontrol og hjælper dig med at opnå certificering hurtigt og nemt.
Ved brug af ISMS.online, kan du hurtigt opnå ISO 27001-certificering og administrere den efterfølgende. Vores platform har forskellige brugervenlige funktioner og værktøjssæt, der sparer dig tid og sikrer, at du opretter et robust ISMS.
Kontakt os i dag for planlæg en demo.
