- Se ISO 27002:2022 Kontrol 7.13 for mere information.
- Se ISO 27001:2013 Bilag A 11.2.4 for mere information.
ISO 27001:2022 Bilag A 7.13 – Sikkert udstyrsvedligeholdelse forklaret
ISO 27001:2022 Bilag A 7.13 handler om at etablere og implementere passende procedurer og foranstaltninger til korrekt vedligeholdelse af udstyr for at sikre, at de informationsaktiver, der er lagret på dette udstyr, ikke bliver kompromitteret.
Til opbevaring, brug og overførsel af informationsaktiver, IT-udstyr såsom servere, bærbare computere, netværksenheder og printere er afgørende. Manglende vedligeholdelse af dette udstyr i overensstemmelse med dets specifikationer og miljømæssige risici kan resultere i dårlig kvalitet og forringelse af ydeevnen. På grund af denne mangel på vedligeholdelse kan integriteten, fortroligheden og tilgængeligheden af informationsaktiver blive kompromitteret.
For eksempel kan en organisation ikke indse, at dens diskplads er fuld, hvis den undlader at udføre regelmæssig vedligeholdelse på sin serverhardware. Serveren kan miste data, der er transmitteret til eller fra den som følge heraf.
Hvad er formålet med ISO 27001:2022 Annex A 7.13?
ISO 27001:2022 Annex A 7.13 beskriver, hvordan man udfører korrekt vedligeholdelse af udstyr, der bruges til at opbevare informationsaktiver baseret på tekniske foranstaltninger og procedurer.
Foranstaltninger og procedurer er indført for at sikre, at informationsaktiver er beskyttet mod tab, beskadigelse og uautoriseret adgang, blandt andre bekymringer.
ISO 27001: 2022 Bilag A 7.13 beskriver en forebyggende form for kontrol, hvorunder organisationer skal tage en aktiv tilgang til vedligeholdelsen af deres udstyr.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvem har ejerskab til bilag A 7.13?
Overholdelse af bilag A 7.13 angiver, at der skal udarbejdes en udstyrsliste, der skal udføres en risikovurdering baseret på miljøfaktorer og produktets specifikationer, samt etablere og implementere passende procedurer og foranstaltninger for at sikre korrekt vedligeholdelse af udstyret.
Informationssikkerhedschef bør være ansvarlig for at sikre overholdelse af ISO 27001:2022 Annex A 7.13 på trods af vigtigheden af, at enkeltpersoner håndterer dette udstyr på daglig basis.
Generel vejledning om ISO 27001:2022 bilag A 7.13 for overholdelse
Bilag A 7.13 giver organisationer 11 specifikke anbefalinger:
- Det anbefales at følge udstyrsproducentens specifikationer vedrørende vedligeholdelsesprocedurer, såsom anbefalede serviceintervaller.
- For alt udstyr bør organisationer etablere og implementere et vedligeholdelsesprogram.
- Vedligeholdelse eller reparation af udstyr bør kun udføres af autoriseret personale eller autoriseret tredjepart.
- Alle udstyrsfejl og fejl skal registreres af organisationer. Desuden skal alle vedligeholdelsesaktiviteter på nævnte udstyr også registreres.
- Det er vigtigt for organisationer at anvende passende vedligeholdelsesprocedurer, uanset om vedligeholdelsen udføres af deres ansatte eller af tredjeparter. Desuden, fortrolighedsaftaler skal underskrives af det relevante personale.
- Alt vedligeholdelsespersonale skal altid være under opsyn.
- Adgangs- og godkendelsesprocedurer bør håndhæves strengt for fjernvedligeholdelsesarbejde.
- Organisationer bør anvende passende sikkerhedsforanstaltninger i overensstemmelse med bilag A 7.9, når udstyr fjernes fra lokaler til vedligeholdelse.
- Vedligeholdelseskrav pålagt af forsikringsudbydere bør overholdes af organisationer.
- For at sikre, at udstyret ikke er blevet manipuleret og fungerer korrekt, bør virksomheder inspicere det efter vedligeholdelse.
- Organisationer bør etablere og implementere passende foranstaltninger og procedurer for bortskaffelse eller genbrug af udstyr i henhold til bilag A 7.14.
Supplerende vejledning om bilag A 7.13
ISO 27001:2022 bilag A 7.13 angiver, at følgende betragtes som udstyr og falder ind under anvendelsesområdet for bilag A 7.13:
- Strømomformere.
- Klimaanlæg.
- Lignende aktiver.
- Tekniske komponenter af informationsbehandlingsfaciliteter.
- Batterier.
- Ildslukkere.
- Elevatorer.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad er ændringerne og forskellene fra ISO 27001:2013?
ISO 27001:2022 Bilag A 7.13 erstatter ISO 27001:2013 Bilag A 11.2.4 ('Vedligeholdelse af udstyr').
ISO 27001:2022-versionen indeholder mere omfattende krav
Sammenlignet med ISO 27001:2013-versionen opstiller bilag A 7.13 i 2022-versionen mere omfattende krav.
Mens ISO 27001:2013-versionen kun anførte seks specifikke krav, indeholder ISO 27001:2022 Annex A 7.13 11 krav.
Bilag A 7.13 introducerer de fem følgende krav, som ikke blev behandlet i ISO 27001:2013-versionen:
- For alt udstyr bør organisationer etablere og implementere et vedligeholdelsesprogram.
- Alt vedligeholdelsespersonale skal altid være under opsyn.
- Vedligeholdelsesarbejde, der udføres eksternt, bør være underlagt streng adgangs- og autorisationskontrol.
- I henhold til bilag A 7.14 bør organisationer etablere og implementere passende foranstaltninger og procedurer for bortskaffelse eller genbrug af udstyr.
- Organisationer bør anvende passende sikkerhedsforanstaltninger i overensstemmelse med bilag A 7.9, når udstyr fjernes fra lokaler til vedligeholdelse.
ISO 27001:2022-revisionen definerer "udstyr"
Den supplerende vejledning definerer "udstyr" i bilag A 7.13. I modsætning hertil henviste ISO 27001:2013-versionen ikke til betydningen af "Udstyr".
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
Du kan gøre følgende med ISMS.online:
- Sørg for, at dine processer er dokumenterede. Ved at bruge denne intuitive grænseflade kan du dokumentere dine processer uden at skulle installere software.
- Vurder risici mere effektivt ved at automatisere processen.
- Med online rapporter og tjeklister kan du nemt demonstrere overholdelse.
- Mens du arbejder hen imod certificering, skal du holde et register over dine fremskridt.
ISMS.online tilbyder et komplet udvalg af funktioner til at hjælpe organisationer og virksomheder med at opnå overholdelse af standarden ISO 27001:2022.
Kontakt os i dag for at planlæg en demo.