- Se ISO 27002:2022 Kontrol 5.9 for mere information.
- Se ISO 27001:2013 Bilag A 8.1.1 for mere information.
- Se ISO 27001:2013 Bilag A 8.1.2 for mere information.
ISO 27001 Bilag A 5.9: En vejledning til håndtering af opgørelser over informationsaktiver
ISO 27001: 2022 Bilag A Kontrol 5.9 er navngivet Fortegnelse over oplysninger og andre tilknyttede aktiver.
Det kræver, at organisationer identificerer og dokumenterer de aktiver, der er vigtige for deres drift og de tilhørende risici, og tager skridt til at beskytte dem. Dette sikrer, at aktiver administreres og overvåges korrekt, hvilket hjælper med at sikre, at de er sikre.
Bilag A til ISO 27001:2022 skitserer kontrol 5.9, som forklarer, hvordan en liste over oplysninger og relaterede aktiver sammen med deres respektive ejere skal oprettes og holdes ajour.
Opgørelse over informationsaktiver forklaret
Organisationen skal anerkende, hvad den har adgang til for at kunne udføre sine aktiviteter. Den skal være opmærksom på sine informationsaktiver.
En omfattende IA er en afgørende del af enhver organisations datasikkerhedspolitik. Det er en opgørelse over alle dataelementer, der lagres, behandles eller transmitteres, såvel som placeringer og sikkerhedskontroller for hver. Det er i det væsentlige det økonomiske regnskab, der svarer til databeskyttelse, hvilket gør det muligt for organisationer at identificere hvert stykke data.
En IA kan bruges til at identificere svagheder i dit sikkerhedsprogram og give oplysninger til vurdering cyberrisici, der kan føre til et brud. Det kan også være bevis for, at du har taget skridt til at identificere følsomme data under compliance audits, som hjælper dig med at undgå bøder og straffe.
opgørelse af informationsaktiver bør specificere, hvem der ejer og er ansvarlig for hvert aktiv, samt værdien og betydningen af hvert enkelt element for organisationens drift.
Det er afgørende at holde opgørelserne aktuelle for at sikre, at de nøjagtigt afspejler ændringer i organisationen.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvorfor har jeg brug for en fortegnelse over informationsaktiver?
Informationsaktiver har en lang tradition inden for forretningskontinuitetsplanlægning (BCP), disaster recovery (DR) og forberedelse af hændelser.
Identifikation af kritiske systemer, netværk, databaser, applikationer, datastrømme og andre komponenter, der kræver sikkerhed, er det første trin i enhver af disse processer. Uden viden om, hvad der skal beskyttes, og hvor det er placeret, kan du ikke planlægge, hvordan det skal beskyttes.
Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.9?
Styringen har til formål at anerkende organisationens information og tilhørende aktiver for at sikre informationssikkerhed og udpege det rette ejerskab.
Bilag A til ISO 27001:2022 skitserer Kontrol 5.9, som skitserer formålet og implementeringsvejledningen til at oprette en opgørelse over information og andre aktiver i forhold til ISMS-rammen.
Tag en opgørelse over al information og tilhørende aktiver, klassificer i kategorier, identificer ejere og dokumenter eksisterende/påkrævede kontroller.
Dette er et vigtigt skridt for at sikre, at alle dataejendele er tilstrækkeligt beskyttet.
Hvad er involveret, og hvordan man opfylder kravene
For at opfylde kriterierne for ISO 27001:2022 skal du identificere oplysningerne og andre tilknyttede aktiver i din organisation. Derefter bør du vurdere betydningen af disse punkter med hensyn til informationssikkerhed. Hvis det er nødvendigt, skal du føre optegnelser i dedikerede eller eksisterende fortegnelser.
Størrelsen og kompleksiteten af en organisation, eksisterende kontroller og politikker og de typer af information og aktiver, den bruger, vil alle have en effekt på udviklingen af en opgørelse.
Det er nøglen i kontrol 5.9 at sikre, at opgørelsen af information og andre tilknyttede aktiver er nøjagtig, opdateret, konsistent og på linje med andre opgørelser. For at garantere nøjagtigheden kan man overveje følgende:
- Udfør systematiske vurderinger af børsnoterede oplysninger og relaterede aktiver i overensstemmelse med aktivkataloget.
- Under processen med at installere, ændre eller fjerne et aktiv vil en lageropdatering automatisk blive håndhævet.
- Inkluder et aktivs opholdssted i opgørelsen, hvis det er nødvendigt.
Nogle organisationer skal muligvis føre flere varebeholdninger til forskellige formål. For eksempel kan de have specialiserede beholdninger for softwarelicenser eller fysiske enheder såsom bærbare computere og tablets.
Det er vigtigt med jævne mellemrum at inspicere alt fysisk inventar, som inkluderer netværksenheder såsom routere og switches for at opretholde nøjagtigheden af inventaret for risikostyringsformål.
For mere information om opfyldelse af kontrol 5.9, bør ISO 27001:2022-dokumentet konsulteres.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Forskelle mellem ISO 27001:2013 og ISO 27001:2022
I ISO 27001:2022 er 58 kontroller fra ISO 27001:2013 blevet revideret, og yderligere 24 kontroller er blevet sammenlagt. Der er tilføjet 11 nye kontroller, mens nogle er slettet.
Derfor finder du ikke Bilag A Kontrol 5.9 – Fortegnelse over oplysninger og andre tilknyttede aktiver – i 2013-versionen, som det nu er en kombination af ISO 27001:2013 Bilag A 8.1.1 – Opgørelse over aktiver - og ISO 27001:2013 Bilag A 8.1.2 – Ejerskab af aktiver – i 2022-versionen.
Bilag A til ISO 27001:2022 skitserer kontrol 8.1.2, Ejerskab af aktiver. Dette sikrer, at alle informationsaktiver er klart identificeret og ejet. At vide, hvem der ejer hvad hjælper med at fastslå, hvilke aktiver der skal beskyttes, og hvem der kræver ansvarlighed.
ISO 27001:2013 og ISO 27001:2022 har begge lignende kontroller, dog er bilag A kontrol 5.9 i sidstnævnte blevet udvidet for at give en mere ligetil fortolkning. For eksempel dikterer implementeringsvejledningen om aktivejerskab i kontrol 8.1.2, at aktivejeren skal:
- Sørg for, at alle aktiver er nøjagtigt registreret i opgørelsen.
- Sikre, at aktiver er klassificeret og sikret passende.
- Periodisk gennemgang og definere adgangsbegrænsninger og klassifikationer for nøgleaktiver under hensyntagen til gældende adgangskontrolpolitikker.
- Sørg for, at der træffes passende foranstaltninger, når aktivet bortskaffes eller destrueres.
Ejerskabsafsnittet i kontrol 5.9 er blevet udvidet til at omfatte ni punkter i stedet for de oprindelige fire. Der er foretaget rettelser til stavning og grammatik, og tonen er ændret til en professionel, venlig stil. Redundans og gentagelse er blevet elimineret, og skrivningen er nu i en aktiv stil.
Aktivejeren bør påtage sig ansvarlighed for det passende tilsyn med et aktiv i hele dets livscyklus og sikre, at:
- Alle data og relaterede ressourcer er listet og dokumenteret.
- Sørg for, at alle data, relaterede aktiver og andre relaterede ressourcer er nøjagtigt klassificeret og beskyttet.
- Klassifikationen gennemgås regelmæssigt for at sikre dens nøjagtighed.
- Komponenter, der opretholder teknologiaktiver, er registreret og indbyrdes forbundne, herunder databaser, lagring, softwarekomponenter og underkomponenter.
- Krav til acceptabel brug af information og andre tilknyttede aktiver er fastsat i 5.10.
- Adgangsbegrænsninger svarer til klassificeringen og viser sig at være effektive, revideres med jævne mellemrum for at sikre kontinuerlig beskyttelse.
- Oplysninger og andre tilknyttede aktiver håndteres sikkert, når de slettes eller bortskaffes og fjernes fra beholdningen.
- De er ansvarlige for at identificere og håndtere de risici, der er forbundet med deres aktiv(er).
- De yder støtte til personale, der administrerer deres oplysninger, og påtager sig de roller og det ansvar, der er forbundet med det.
Sammenlægning af disse to kontroller til én letter brugerforståelsen.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvad betyder disse ændringer for dig?
De seneste ISO 27001 ændringer påvirker ikke din nuværende certificering i forhold til ISO 27001 standarder. Kun opgraderinger til ISO 27001 kan have en effekt på eksisterende certificeringer. Akkrediteringsorganer vil samarbejde med de attesterende organer om at udarbejde en overgangsperiode, der giver organisationer med ISO 27001-certifikater nok tid til at flytte fra en version til den næste.
Disse trin skal tages for at opfylde den reviderede version:
- Sørg for, at din virksomhed overholder den seneste lovgivning ved at undersøge risikoregistret og risikostyringsprocedurerne.
- Bilag A bør ændres for at afspejle eventuelle ændringer i erklæringen om anvendelighed.
- Sørg for, at dine politikker og procedurer er opdaterede for at overholde de nye regler.
Under overgangen til den nye standard vil vi have adgang til nye bedste praksisser og kvaliteter til kontroludvælgelse, hvilket muliggør en mere effektiv og effektiv udvælgelsesproces.
Du bør fortsætte med en risikobaseret metode for at sikre, at kun de mest relevante og effektive kontroller vælges til din virksomhed.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online hjælper
ISMS.online er ideel til implementering af dit ISO 27001 Information Security Management System. Den er specielt designet til at hjælpe virksomheder med at opfylde kravene i standarden.
platform anvender en risikoorienteret metode sammen med førende bedste praksisser og skabeloner i branchen for at hjælpe dig med at fastslå de risici, din organisation står over for, og de nødvendige kontroller for at styre dem. Dette giver dig mulighed for systematisk at reducere både din risikoeksponering og complianceomkostninger.
ISMS.online giver dig mulighed for at:
- Udvikle en Information Security Management System (ISMS).
- Konstruer et skræddersyet sæt af politikker og procedurer.
- Implementer et ISMS for at opfylde ISO 27001-standarderne.
- Få hjælp fra erfarne konsulenter.
Du kan drage fordel af ISMS.online til at bygge et ISMS, oprette et tilpasset sæt politikker og processer, overholde ISO 27001-kriterierne og få hjælp fra erfarne rådgivere.
ISMS.online platformen er baseret på Plan-Do-Check-Act (PDCA), en iterativ fire-trins procedure til kontinuerlig forbedring, som opfylder alle kravene i ISO 27001:2022. Det er ligetil. Kontakt os nu for at arrangere din demonstration.
