- Se ISO 27002:2022 Kontrol 6.7 for mere information.
- Se ISO 27001:2013 Bilag A 6.2.2 for mere information.
Hvad er ISO 27001:2022 Annex A 6.7?
ISO 27001:2022 Annex A 6.7, Remote Working giver vejledning i, hvordan organisationer bør have en politik på plads for at sikre sikker adgang til informationssystemer og netværk, når de arbejder eksternt. Det anbefaler endvidere implementering af en informationssikkerhedsstyringssystem som omfatter procedurer til beskyttelse af fjernadgang.
Informationssikkerhedsimplikationer af fjernarbejde
Fjernarbejde er blevet en mere udbredt trend, efterhånden som teknologien er avanceret for at gøre det muligt for medarbejderne at arbejde eksternt uden at påvirke produktiviteten og effektiviteten. Ikke desto mindre kommer dette med potentiale for datasikkerhedsproblemer.
Som virksomhedsejer er det nødvendigt at beskytte intellektuel ejendom mod cyberkriminelle og sikre datasikkerheden mod hackere. Ved at handle, kan man beskytte sig mod cyberkriminalitet og garantere informationssikkerheden.
Fjernarbejde kan udgøre en række sikkerhedsrisici, som skal håndteres, såsom:
Adgangskontrol
Fjernarbejde kan være fordelagtigt, hvilket giver større adgang til fortrolige data og systemer. Ikke desto mindre kommer det med flere sikkerhedshensyn.
Fjernarbejde, hvis det ikke overvåges korrekt, kan være sårbart over for sikkerhedsproblemer såsom hacking, malware, uautoriseret adgang og mere. Dette er især tilfældet, hvis medarbejderne ikke er til stede i sikre omgivelser.
Tab af fysisk sikkerhed
Fjernarbejde kan også have en effekt på en virksomheds fysisk sikkerhed. Da personalet ikke længere er til stede på kontoret eller i en bygning, er de muligvis ikke i stand til at opdage mistænkelige aktiviteter.
Fortrolighed
Fjernarbejde kan udgøre en risiko for fortroligheden. For eksempel kan medarbejdere få adgang til fortrolige oplysninger uden tilladelse fra virksomheden.
Medarbejdere kan let få adgang til fortrolige virksomhedsdata fra det offentlige web. Desuden er der endda websteder, hvor personalet kan uploade fortrolige data til offentlig visning.
Privatliv
Fjernarbejde kan have en effekt på privatlivet i en organisation. For eksempel, hvis personale arbejder hjemmefra, kan de være mere tilbøjelige til ikke at lægge deres personlige ejendele væk.
Denne ejendom kan indeholde fortrolige data, der kan bringe en virksomheds privatliv i fare.
Databeskyttelse
Fjernarbejde kan udgøre en fare for en virksomheds data. Medarbejdere kan f.eks. få adgang til virksomhedsoplysninger eksternt, og disse data kan gemmes flere steder.
I tilfælde af, at medarbejdere forlader arbejdspladsen og tager deres enhed med sig, hentning af data gemt på computere, servere og mobilenheder kan vise sig at være mere udfordrende.
Arbejderen kan tage fejl eller handle i ond tro med enheden og risikere datasikkerheden.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad er formålet med ISO 27001:2022 Annex A 6.7?
Formålet med ISO 27001:2022 bilag A 6.7 er at sikre, at fjernpersonale har den nødvendige adgangskontrol på plads for at sikre fortroligheden, integriteten og tilgængeligheden af fortrolige eller proprietære oplysninger, procedurer og systemer mod uautoriseret adgang eller videregivelse af uautoriserede personer.
Organisationer skal sikre informationssikkerheden, når personalet arbejder på afstand. De bør derfor udstede en skræddersyet politik vedrørende fjernarbejde, der fastlægger de gældende betingelser og grænser for datasikkerhed. Denne politik bør formidles til alt personale, herunder instruktion i, hvordan man bruger fjernadgangsteknologier sikkert og sikkert.
Denne politik vil sandsynligvis adressere:
- De forhold, hvorunder fjernarbejde er tilladt.
- Processer til at sikre fjernmedarbejdere har adgang til fortrolige oplysninger.
- At sikre, at oplysninger er sikret, når de overføres mellem forskellige fysiske lokationer, indebærer overholdelse af visse procedurer.
Det er vigtigt at etablere en klar system til rapportering af hændelser, herunder de rigtige kontaktoplysninger. Dette kan hjælpe med at forhindre sikkerhedsbrud eller andre hændelser.
Politikken bør også dække kryptering, firewalls, antivirussoftwareopdateringer og medarbejderinstruktioner om, hvordan man sikkert bruger fjernforbindelser.
Hvad er involveret, og hvordan man opfylder kravene
For at overholde bilag A 6.7 bør organisationer, der tilbyder fjernarbejde, udstede en politik vedrørende fjernarbejde, som specificerer de relaterede regler og begrænsninger.
Politikken bør vurderes med jævne mellemrum, især når teknologien eller lovgivningen ændres.
Alt personale, entreprenører og enheder involveret i fjernarbejde bør informeres om politikken.
Politikken bør dokumenteres, gøres tilgængelig for interessenter, såsom tilsynsmyndigheder og revisorer, og holdes ajour.
Organisationer skal sikre sig, at de har de nødvendige sikkerhedsforanstaltninger for at sikre følsomme eller fortrolige oplysninger, der transmitteres eller opbevares elektronisk under fjernoperationer.
I overensstemmelse med bilag A 6.7 skal følgende tages i betragtning:
- Overvej den fysiske sikkerhed på fjernarbejdspladsen, både eksisterende og foreslået, som omfatter sikkerheden på stedet, det omkringliggende område og retssystemerne i de regioner, hvor personalet er baseret.
- Regler for sikre fysiske omgivelser, såsom aflåselige arkivskabe, sikker transport mellem steder, regler for fjernadgang, clear desk, udskrivning og bortskaffelse af data og relaterede aktiver, samt rapportering om sikkerhedshændelser, skal implementeres.
- De forventede fysiske miljøer for fjernarbejde.
- Sikker kommunikation skal sikres under hensyntagen til organisationens behov for fjernadgang, følsomheden af de overførte data og sårbarheden af systemerne og applikationerne.
- Fjernadgang, såsom virtuel skrivebordsadgang, muliggør behandling og lagring af oplysninger på personlige enheder.
- Faren for uautoriseret adgang til data eller aktiver fra personer uden for det eksterne arbejdsområde – såsom familie og venner – er reel.
- Risikoen for uautoriseret adgang til data eller aktiver for personer i offentlige områder er en bekymring.
- Ansættelse af både hjemmenetværk og offentlige netværk samt regler eller forbud i forbindelse med opsætning af trådløse netværkstjenester er nødvendigt.
- Anvendelse af sikkerhedsforanstaltninger, såsom firewalls og anti-malware-beskyttelse, er afgørende.
- Sørg for, at systemer kan implementeres og initieres eksternt med sikre protokoller.
- Sikker autentificeringsmekanismer skal være aktiveret for at give adgangsprivilegier under hensyntagen til følsomheden af enkeltfaktorautentificeringsmekanismer, når fjernadgang til organisationens netværk er godkendt.
Retningslinjer og foranstaltninger, der skal tages i betragtning, bør omfatte:
- Organisationen skal levere passende udstyr og opbevaringsmøbler til fjernarbejde, og forbyde brug af privatejet udstyr, som ikke er under dens kontrol.
- Dette job involverer følgende: definition af det tilladte arbejde, klassificering af de oplysninger, der kan opbevares, og autorisering af fjernmedarbejdere til at få adgang til interne systemer og tjenester.
- Der bør gives uddannelse til dem, der arbejder fjernt, og dem, der tilbyder støtte. Dette bør dække, hvordan man sikkert kan drive forretning uden for kontoret.
- Det er vigtigt at sikre, at passende kommunikationsudstyr er tilvejebragt, såsom at kræve enhedsskærmlåse og inaktivitetstimere for fjernadgang.
- Det er muligt at aktivere enhedens placeringssporing.
- Installation af fjernsletningsfunktioner er et must.
- Fysisk sikkerhed.
- Retningslinjer og regler vedrørende familie og besøgendes adgang til udstyr og data skal følges.
- Forretningen leverer hardware- og softwaresupport og vedligeholdelse.
- Tilvejebringelse af forsikring.
- Protokollen til sikkerhedskopiering af data og kontinuitet i driften.
- Revision og sikkerhedsovervågning.
- Ved ophør af fjernarbejdsaktiviteter skal autoritet og adgangsrettigheder tilbagekaldes, og alt udstyr skal returneres.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Annex A 6.7 er en tilpasning af Annex A 6.2.2 fra ISO 27001:2013 og ikke et nyt element.
ISO 27001:2022 Bilag A 6.7 og 6.2.2 deler mange ligheder, selvom nomenklaturen og ordlyden er forskellige. I ISO 27001:2013 omtales 6.2.2 som fjernarbejde, mens 6.7 er kendt som fjernarbejde. Denne ændring afspejles i den nye version af standarden, som erstatter fjernarbejde med fjernarbejde.
I bilag A 6.7 til ISO 27001:2022 skitserer standarden, hvad der kvalificeres som fjernarbejde, herunder fjernarbejde – det oprindelige kontrolnavn i ISO 27001:2013-versionen.
Version 2022 af implementeringsvejledningerne er stort set ens, selvom sproget og termerne er forskellige. For at sikre, at brugerne af standarden forstår, anvendes et brugervenligt sprog.
Nogle tilføjelser blev foretaget i bilag A 6.7, og nogle sletninger skete i 6.2.2.
Tilføjet til ISO 27001:2022 Annex A 6.7 Fjernarbejde
- Sørg for fysisk sikkerhed med aflåselige arkivskabe, giv sikker transport og adgangsinstruktioner, beordr klare skrivebordspolitikker, skitser print-/bortskaffelsesprotokoller for info/aktiver og implementer et hændelsesresponssystem.
- Det forventes, at folk vil arbejde på afstand. Der forventes fysiske forhold.
- Risikoen for uautoriseret adgang til information eller ressourcer fra fremmede på offentlige områder.
- Sikre metoder til fjernimplementering og opsætning af systemer.
- Sikre mekanismer er på plads til at autentificere og tillade adgangsrettigheder, under hensyntagen til følsomheden af enkeltfaktor-autentificeringsmekanismer, når fjernadgang til organisationens netværk er aktiveret.
Fjernet fra ISO 27001:2013 Bilag A 6.2.2 Fjernarbejde
- Implementeringen af hjemmenetværk og reglerne eller begrænsningerne for konfiguration af trådløse netværkstjenester er nødvendige.
- Der bør indføres politikker og procedurer til at afbøde tvister vedrørende rettigheder til intellektuel ejendom udviklet på privatejet udstyr.
- At få adgang til privatejede maskiner (for at sikre dets sikkerhed eller til efterforskningsformål) kan være forbudt ved lov.
- Organisationer kan være ansvarlige for softwarelicenser på arbejdsstationer, der er privatejet af enten deres personale eller eksterne brugere.
ISO 27001:2022 giver erklæringer om formål og attributtabeller for hver kontrol, hvilket hjælper brugerne med at forstå og omsætte kontrollerne mere effektivt.
ISO 27001:2013-versionen mangler disse to komponenter.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvem er ansvarlig for denne proces?
Den primære pligt til at udforme en informationssikkerhedspolitik for fjernmedarbejdere ligger hos organisationens informationssikkerhedsansvarlige. Ikke desto mindre bør andre interessenter også inddrages i processen.
IT- og HR-chefer er i fællesskab ansvarlige for at sikre, at politikken implementeres og vedligeholdes, og at medarbejderne forstår og efterlever den.
Hvis du har et leverandørstyringsprogram, er det sandsynligt, at den person, der er ansvarlig for at administrere entreprenører og leverandører, vil være ansvarlig for at danne en sikkerhedspolitik for eksterne medarbejdere i den pågældende afdeling.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvad betyder disse ændringer for dig?
ISO 27001:2022 forbliver stort set uændret; derfor skal du blot sikre, at dine informationssikkerhedsprocesser overholder den nye udgivelse.
Ændring af nogle kontroller og præcisering af visse krav var hovedændringen. Bilag A 6.7 havde den største effekt – outsourcer man driften eller fjernbeskæftiger folk, skal man sikre sig, at de har passende sikkerhedsforanstaltninger.
Hvis din organisation allerede har en ISO 27001 certificering, vil den proces, du anvender til at administrere informationssikkerhed, opfylde de nye regler.
Hvis du søger at forny din ISO 27001 certificering, behøver du ikke foretage dig noget. Sørg kun for, at dine procedurer stadig stemmer overens med den nye standard.
Hvis du starter fra begyndelsen, er det nødvendigt at overveje, hvordan du sikrer din virksomheds data og information mod cyberangreb og andre risici.
Det er vigtigt at tage cyberrisici seriøst og håndtere dem som en del af den overordnede forretningsplan, frem for kun at betragte dem som et problem for it- eller sikkerhedsafdelinger.
Hvordan ISMS.online Hjælp
ISMS.online platform hjælper med alle aspekter af ISO 27001:2022-implementeringen, fra udførelse af risikovurderingsaktiviteter til udformning af politikker, procedurer og direktiver for at opfylde standardens specifikationer.
ISMS.online giver en platform til at dokumentere og dele resultater med kolleger. Desuden giver det dig mulighed for at generere og gemme tjeklister over alle nødvendige opgaver til ISO 27001 implementering, så du nemt kan overvåge din organisations sikkerhedsforanstaltninger.
Vi forsyner organisationer med et sæt automatiserede værktøjer, der gør det nemt at demonstrere overholdelse af ISO 27001.
Kontakt os nu for at book en demonstration.