- Se ISO 27002:2022 Kontrol 8.32 for mere information.
- Se ISO 27001:2013 Bilag A 12.1.2 for mere information.
- Se ISO 27001:2013 Bilag A 14.2.2 for mere information.
- Se ISO 27001:2013 Bilag A 14.2.3 for mere information.
- Se ISO 27001:2013 Bilag A 14.2.4 for mere information.
ISO 27001 Bilag A 8.32: Styring af ændringer til informationssikkerhed
Ændringer i informationssystemer, såsom udskiftning af en netværksenhed, oprettelse af en ny databaseinstans eller opgradering af software, er ofte nødvendige for at forbedre ydeevnen, reducere omkostningerne og øge effektiviteten.
Hvis det ikke udføres korrekt, kan ændringer af informationsbehandlingsfaciliteter og -systemer kompromittere de data, der er lagret eller behandlet i dem.
ISO 27001: 2022 Bilag A 8.32 undersøger, hvordan organisationer kan opsætte og udføre ændringsstyringsprocedurer for at overvåge, undersøge og administrere ændringer i informationsbehandlingsfaciliteterne og -systemerne.
Formål med ISO 27001:2022 bilag A 8.32
ISO 27001:2022 Bilag A Kontrol 8.32 giver organisationer mulighed for at beskytte informationsaktiver, mens de foretager ændringer i informationsbehandlingssystemer og faciliteter. Det gør den ved at opsætte, udføre og administrere regler og procedurer for forandringsledelse.
Ejerskab af bilag A 8.32
Chief Information Security Officers, med ekspertise fra domæneeksperter, bør være ansvarlige for at designe og håndhæve ændringskontrolprocedurer, der gælder for alle stadier af informationssystemets livscyklus, i overensstemmelse med ISO 27001:2022 Bilag A Kontrol 8.32.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 8.32 Overholdelse
Alle ændringer af informationssystemer såvel som implementering af nye systemer bør overholde et etableret sæt af regler og procedurer. Detaljerne i disse ændringer skal udtrykkeligt angives og dokumenteres. Derudover skal de gennemgå vurderings- og kvalitetssikringsprocesser.
Organisationer bør tildele ledelsesopgaver til den bedst egnede ledelse og fastlægge de nødvendige procedurer for at sikre, at alle ændringer er i overensstemmelse med ændringskontrolforskrifter og -standarder.
ISO 27001:2022 Bilag A Kontrol 8.32 opregner ni komponenter, der skal indgå i ændringsstyringsproceduren:
- Organisationer bør kortlægge og vurdere den potentielle effekt af foreslåede ændringer under hensyntagen til alle afhængigheder.
- Implementer autorisationskontroller for ændringer. Sørg for, at alle ændringer er godkendt af det relevante personale. Sørg for, at kun autoriseret personale har adgang til systemet, og at alle ændringer er korrekt dokumenteret.
- Meddel gældende inden for og uden for grupper om de foreslåede ændringer.
- Sikre overholdelse af ISO 27001:2022 bilag A 8.29 ved at udvikle og udføre test- og accepttests for modifikationer.
- Implementeringen af ændringerne og deres praktiske implementering vil blive varetaget.
- Etablere nød- og beredskabsplaner og -procedurer, herunder en tilbagefaldsprocedure.
- Vedligeholdelse af registre over alle ændringer og tilknyttede aktiviteter, omfattende 1-6 nævnt ovenfor.
- For at sikre overensstemmelse med bilag A 5.37 i ISO 27001:2022, bliver driftsdokumentation og brugerprocedurer regelmæssigt gennemgået og ændret efter behov.
- IKT-kontinuitetsplaner og genopretnings- og reaktionsprocedurer skal evalueres og opdateres for at imødekomme ændringerne.
Organisationer bør stræbe efter at inkorporere ændringskontrolprocedurer for software og ikt-infrastruktur så meget som muligt.
Supplerende vejledning om bilag A 8.32
Ændringer i produktionsmiljøet, f.eks. operativsystemer og databaser, kan bringe applikationsintegritet og tilgængelighed i fare, specielt overførsel af software fra udvikling til produktion.
Organisationer bør være på vagt over for de potentielle resultater af at ændre software i deres produktionsmiljø. Der kan opstå uforudsete konsekvenser, så der skal udvises forsigtighed.
Organisationer bør køre test på IKT-komponenter i et sikkert, adskilt miljø, væk fra udvikling og produktion.
Organisationer kan få mere kontrol over ny software og beskytte de virkelige data, der bruges til test med patches og service packs, hvilket giver et ekstra lag af beskyttelse.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.32 erstatter de fire afsnit i ISO 27001:2013 Bilag A 12.1.2, 14.2.2, 14.2.3 og 14.2.4.
I ISO 27001:2013 var ændringskontrolprocedurerne mere specificerede, end de vil være i 2022.
Der kan identificeres tre nøgleforskelle mellem de to versioner.
ISO 27001:2013-versionen var mere detaljeret med hensyn til, hvad 'ændringsprocedure' skulle indebære
ISO 27001:2022 og ISO 27001:2013 versionerne angiver begge på en ikke-udtømmende måde, hvad der skal inkluderes i en ændringsprocedure.
2013-udgaven indeholdt komponenter, der ikke er nævnt i 2022-varianten:
- Identificer og gennemgå sikkerhedskritisk kode for at afhjælpe eventuelle svagheder.
- Organisationer bør opretholde versionskontrol for alle softwareændringer.
- Organisationer bør oprette og registrere en liste over hardware- og softwarekomponenter, der kræver ændring og opdatering.
ISO 27001:2013-versionen omhandlet 'Ændringer til driftsplatforme'
Bilag A 14.2.3 i ISO 27001:2013 skitserer måder, hvorpå organisationer kan reducere de negative påvirkninger og forstyrrelser på forretningsdrift, som kan komme fra ændringer af operativsystemer.
Til sammenligning indeholder ISO 27001:2022 ingen krav til ændringer.
ISO 27001:2013 rettet 'Ændringer til softwarepakker'
Bilag A 14.2.4, adresseret til 'Ændringer til softwarepakker' i ISO 27001:2013, dette er ikke inkluderet i ISO 27001:2022-versionen.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
Vores cloud-platform tilbyder en stærk struktur af informationssikkerhedsforanstaltninger, der gør det muligt for dig at afkrydse din ISMS-proces, efterhånden som du gør fremskridt, hvilket garanterer, at den opfylder ISO 27000k-kriterierne.
ISMS.online kan hjælpe dig med at opnå certificering effektivt og med minimale ressourcer. Når det anvendes korrekt, kan det være et stort aktiv for at nå dette mål.
Kontakt os nu for at planlægge en demonstration.