- Se ISO 27002:2022 Kontrol 8.22 for mere information.
- Se ISO 27001:2013 Bilag A 13.1.3 for mere information.
ISO 27001 Annex A 8.22: Styrkelse af sikkerhed gennem netværksadskillelse
Når cyberkriminelle infiltrerer computersystemer, tjenester eller enheder, begrænser de sig ikke til disse aktiver alene.
De gør brug af den første infiltration til at trænge ind i en virksomheds hele netværk, få adgang til følsomme data eller udføre ransomware-angreb.
Cyberskurke kunne stjæle loginoplysningerne for HR-medarbejdere på et hospital efter et vellykket phishing-angreb og give dem adgang til HR-systemer.
Ved at bruge deres adgangspunkt kan angriberne krydse netværket og afsløre netværk, der indeholder fortrolige patientdata. Denne indtrængen kan føre til tab af data, forårsage afbrydelse af driften eller endda åbne døren til et ransomware-angreb.
Hospitalet kunne forhindre uautoriseret adgang til fortrolige data og reducere konsekvenserne af et brud ved at bruge netværkssegmenteringsteknikker såsom firewalls, virtuelle netværk eller serverisolering.
ISO 27001:2022 Annex A 8.22 skitserer, hvordan virksomheder kan anvende og bevare passende netværksadskillelsesmetoder for at afværge risici for tilgængeligheden, integriteten og fortroligheden af informationsaktiver.
Formål med ISO 27001:2022 bilag A 8.22
ISO 27001:2022 Annex A 8.22 giver organisationer mulighed for at opdele deres it-netværk i undernetværk afhængigt af graden af følsomhed og vigtighed og begrænse transmissionen af information mellem disse forskellige undernetværk.
Organisationer kan bruge dette til at forhindre malware og vira i at rejse fra inficerede netværk til dem, der indeholder følsomme data.
Dette garanterer det organisationer sikre fortroligheden, integriteten og tilgængeligheden af dataaktiver, der er lagret på væsentlige undernetværk.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A 8.22
Informationssikkerhedsansvarlig skal holdes ansvarlig for at overholde ISO 27001:2022 bilag A 8.22, som kræver segmentering af netværk, enheder og systemer i henhold til risici og anvendelse af netværksadskillelsesteknikker og -procedurer.
Generel vejledning om ISO 27001:2022 Bilag A 8.22 Overholdelse
Organisationer bør stræbe efter at opnå ligevægt mellem operationelle behov og sikkerhedsproblemer, når de indfører regler for netværksadskillelse.
ISO 27001: 2022 Bilag A Kontrol 8.22 giver tre anbefalinger, der skal tages i betragtning ved opsætning af netværksadskillelse.
Sådan adskilles netværket i mindre undernetværk
Når netværket opdeles i mindre underdomæner, bør organisationer overveje følsomheden og vigtigheden af hvert netværksdomæne. Afhængigt af denne vurdering kan netværksunderdomæner mærkes som 'offentlige domæner', 'desktopdomæner', 'serverdomæner' eller 'højrisikosystemer'.
Organisationer bør tage hensyn til forretningsafdelinger som HR, marketing og økonomi i processen med at segmentere deres netværk.
Organisationer kan også slå disse to kriterier sammen ved at tildele netværksunderdomæner i kategorier såsom "serverdomæne, der linker til salgsafdelingen".
Sikkerhedsperimetre og adgangskontrol
Organisationer skal afgrænse grænserne for hvert netværksunderdomæne eksplicit. Hvis der skal være adgang mellem to forskellige netværksdomæner, bør denne forbindelse begrænses på perimetrisk niveau gennem brug af gateways som firewalls eller filtrerende routere.
Organisationer bør evaluere sikkerhedsbehovene for hvert domæne, når de etablerer netværksadskillelse, og når de giver adgang gennem gateways.
Denne vurdering skal udføres i overensstemmelse med adgangskontrolpolitikken påbudt af ISO 27001:2022 Annex A 5.15, under hensyntagen til følgende:
- Klassificeringen tildelt infoaktiver er på hvilket niveau.
- Vigtigheden af informationen er altafgørende.
- Omkostninger og funktionalitet er vigtige faktorer, når man beslutter, hvilken gateway-teknologi, der skal bruges.
Trådløse netværk
ISO 27001: 2022 Bilag A 8.22 anbefaler, at organisationer overholder følgende praksis, når de opretter netværkssikkerhedsparametre for trådløse netværk:
- Evaluer brugen af metoder til justering af radiodækning til at opdele trådløse netværk.
- For sarte netværk kan organisationer tage alle forsøg på trådløs adgang som eksterne forbindelser og forbyde adgang til interne netværk, indtil gateway-kontrollen giver godkendelse.
- Personale bør kun bruge deres egne enheder i overensstemmelse med organisationens politik; netværksadgangen til personale og gæster skal holdes adskilt.
- Besøgende bør være underlagt de samme regler vedrørende Wi-Fi-brug som teammedlemmer.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Supplerende vejledning om ISO 27001:2022 Bilag A 8.22
Organisationer bør sikre, at alle forretningspartnerskaber er underlagt passende sikkerhedsforanstaltninger. Bilag A 8.22 råder organisationer til at implementere foranstaltninger til at beskytte deres netværk, it-enheder og andre informationsfaciliteter, når de samarbejder med forretningspartnere.
Netværk, der er følsomme, kan blive udsat for en øget risiko for uautoriseret adgang. For at beskytte mod dette bør organisationer tage passende skridt.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.22 erstatter ISO 27001:2013 Bilag A 13.1.3 i den seneste ISO-revision.
I sammenligning med ISO 27001:2013 kræver ISO 27001:2022-revisionen følgende af trådløse netværk:
- Hvis personalet overholder organisationens politik og kun bruger deres egne enheder, skal den trådløse netværksadgang, der er tilvejebragt for personale og besøgende, holdes adskilt.
- Gæster bør være underlagt de samme restriktioner og kontroller vedrørende Wi-Fi som personale.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISMS.Online gør det lettere for dig at:
- Dokumentprocesser nemt med denne brugervenlige grænseflade. Der kræves ingen softwareinstallation på din computer eller netværk.
- Strømlin din risikoevalueringsprocedure ved at automatisere den.
- Opnå let overholdelse ved at bruge online rapporter og tjeklister.
- Oprethold en registrering af din progression, mens du arbejder hen imod certificering.
ISMS.online leverer et omfattende sæt funktionaliteter til at hjælpe organisationer og virksomheder med at møde industrien ISO 27002 og/eller ISO 27001:2022 ISMS-standard.
Kontakt os for at arrangere en demonstration.