- Se ISO 27002:2022 Kontrol 8.27 for mere information.
- Se ISO 27001:2013 Bilag A 14.2.5 for mere information.
ISO 27001:2022 Kontrol 8.27 – Styrkelse af systemsikkerhed fra bunden
ISO 27001: 2022 Bilag A 8.27 specificerer, at organisationer skal implementere sikker systemarkitektur og tekniske principper for at sikre, at design, implementering og styring af informationssystemet er passende i forhold til organisationens sikkerhedskrav. Dette omfatter etablering af sikre systemarkitekturer, tekniske principper og sikker designpraksis.
De indviklede strukturer af moderne informationssystemer, kombineret med det uophørligt skiftende cybersikkerhedsrisikomiljø, gør informationssystemer mere tilbøjelige til eksisterende og potentielle sikkerhedstrusler.
Bilag A 8.27 beskriver hvordan organisationer kan beskytte deres informationssystemer fra sikkerhedstrusler gennem implementering af sikre systemkonstruktionsprincipper i alle faser af informationssystemets livscyklus.
Formål med ISO 27001:2022 bilag A 8.27
Bilag A 8.27 letter organisationer med at sikre informationssystemer i faserne af design, implementering og drift via etablering og implementering af sikre systemingeniørprincipper, som systemingeniører skal overholde.
Ejerskab af bilag A 8.27
Chief Information Security Officer skal holdes ansvarlig for opførelse, opretholdelse og gennemførelse af reglerne, der styrer sikker konstruktion af informationssystemer.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 8.27 Overholdelse
ISO 27001:2022 Annex A 8.27 understreger nødvendigheden af, at organisationer indlejrer sikkerhed i hele deres informationssystemer, herunder forretningsprocesser, applikationer og dataarkitektur.
Sikker ingeniørpraksis bør implementeres for alle opgaver forbundet med informationssystemer, regelmæssigt revideret og opdateret for at tage højde for nye trusler og angrebsmønstre.
Bilag A 8.27 gælder også for systemer, der er oprettet af eksterne udbydere, ud over dem, der er udviklet og kørt internt.
Organisationer bør garantere, at tjenesteudbydernes praksis og standarder er i overensstemmelse med deres sikre tekniske protokoller.
ISO 27001:2022 Bilag A 8.27 nødvendiggør sikre systemkonstruktionsprincipper for at behandle følgende otte emner:
- Metoder til brugergodkendelse.
- Sikker sessionskontrolvejledning.
- Procedurer for desinficering og validering af data.
- Sikkerhedsforanstaltninger til beskyttelse af informationsaktiver og -systemer mod kendte trusler analyseres omfattende.
- Sikkerhedsforanstaltninger analyseret for deres evne til at identificere, eliminere og reagere på sikkerhedstrusler.
- Analyse af de sikkerhedsforanstaltninger, der anvendes på specifikke forretningsaktiviteter, såsom informationskryptering.
- Hvor og hvordan sikkerhedsforanstaltninger vil blive implementeret. En specifik sikkerhedskontrol i bilag A kan integreres i den tekniske infrastruktur som en del af denne proces.
- Den måde, hvorpå forskellige sikkerhedsforanstaltninger arbejder sammen og fungerer som et kombineret system.
Vejledning om Zero Trust-princippet
Organisationer bør huske disse nul-tillid principper:
- Baseret på antagelsen om, at organisationens systemer allerede er kompromitteret, og at den definerede perimetersikkerhed af dens netværk ikke kan give tilstrækkelig beskyttelse.
- En politik med "verifikation før tillid" bør vedtages, når det kommer til at give adgang til informationssystemer. Dette sikrer, at der kun gives adgang efter undersøgelse, og det sikres, at de rigtige personer har den.
- At sikre, at anmodninger til informationssystemer er sikret med end-to-end-kryptering, giver sikkerhed.
- Verifikationsmekanismer implementeres under forudsætning af adgangsanmodninger fra eksterne, åbne netværk til informationssystemer.
- Implementer mindste privilegier og dynamisk adgangskontrol i overensstemmelse med ISO 27001:2022 Annex A 5.15, 5.18 og 8.2. Dette skal omfatte autentificering og godkendelse af følsomme informations- og infosystemer under hensyntagen til kontekstuelle aspekter såsom brugeridentiteter (ISO 27001:2022 Bilag A 5.16) og informationsklassificering (ISO 27001:2022 Bilag A 5.12).
- Autentificer anmoderens identitet og verificer autorisationsanmodninger til at få adgang til informationssystemer i henhold til godkendelsesoplysningerne i ISO 27001:2022 Annex A 5.17, 5.16 og 8.5.
Hvad skal sikre systemtekniske teknikker dække?
Din organisation skal huske følgende:
- Inkorporerer sikre arkitekturprincipper såsom "sikkerhed ved design", "forsvar i dybden", "sikkert fejl", "mistro input fra eksterne applikationer", "antage brud", "mindste privilegium", "brugervenlighed og håndterbarhed" og "mindst funktionalitet". ” er altafgørende.
- Udførelse af en sikkerhedsorienteret designgennemgang for at opdage eventuelle informationssikkerhedsproblemer og sikre, at sikkerhedsforanstaltninger er etableret og opfylder sikkerhedsbehovene.
- Det er vigtigt at dokumentere og anerkende sikkerhedsforanstaltninger, der ikke opfylder kravene.
- Systemhærdning er afgørende for sikkerheden i ethvert system.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilke kriterier skal man overveje, når man designer sikre tekniske principper?
Organisationer bør tage følgende punkter i betragtning, når de opsætter principper for sikker systemudvikling:
- Kravet om at koordinere bilag A-kontroller med særlig sikkerhedsarkitektur er uundværligt.
- En organisations eksisterende tekniske sikkerhedsinfrastruktur, herunder offentlige nøgleinfrastruktur, identitetsstyring og forebyggelse af datalækage.
- Kan organisationen konstruere og opretholde den valgte teknologi.
- Omkostningerne og den tid, der er nødvendig for at opfylde sikkerhedskravene, skal tages i betragtning under hensyntagen til deres kompleksitet.
- Det er vigtigt at overholde nuværende bedste praksis.
Vejledning om anvendelse af sikre systemkonstruktionsprincipper
ISO 27001:2022 Annex A 8.27 angiver, at organisationer kan anvende sikre tekniske principper, når de opsætter følgende:
- Fejltolerance og andre modstandsdygtighedsstrategier er afgørende. De hjælper med at sikre, at systemerne forbliver operationelle på trods af, at der opstår uventede hændelser.
- Segregation gennem virtualisering er en teknik, der kan bruges.
- Indgrebssikker, sørg for, at systemerne forbliver sikre og uigennemtrængelige for ondsindet interferens.
Sikker virtualiseringsteknologi kan reducere risikoen for aflytning mellem applikationer, der kører på den samme enhed.
Det understreges, at manipulationsmodstandssystemer kan detektere både logisk og fysisk manipulation af informationssystemer, hvilket forhindrer uautoriseret adgang til data.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.27 erstatter ISO 27001:2013 Annex A 14.2.5 i den reviderede 2022-standard.
2022-versionen indeholder mere omfattende krav end 2013-versionen, såsom:
- I forhold til 2013 giver 2022-versionen vejledning om, hvad sikre ingeniørprincipper bør omfatte.
- I modsætning til 2013-iterationen tager 2022-versionen hensyn til de kriterier, som organisationer bør tage i betragtning, når de konstruerer sikre systemtekniske principper.
- 2022-versionen giver vejledning om nul-tillidsprincippet, som ikke var inkluderet i 2013-versionen.
- 2022-udgaven af dokumentet indeholder anbefalinger til sikre ingeniørteknikker, såsom "security by design", som ikke var til stede i 2013-versionen.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
Vores trinvise tjekliste gør implementeringen af ISO 27001 til en leg. Vores komplet compliance-løsning for ISO/IEC 27001:2022 vil guide dig gennem processen fra start til slut.
Når du logger ind, kan du forvente op til 81 % fremgang.
Denne løsning er fuldstændig omfattende og ligetil.
Tag fat nu til book en demonstration.