- Se ISO 27002:2022 Kontrol 8.8 for mere information.
- Se ISO 27001:2013 Bilag A 12.6.1 for mere information.
- Se ISO 27001:2013 Bilag A 18.2.3 for mere information.
Formål med ISO 27001:2022 bilag A 8.8
Intet computernetværk, system, software eller enhed er helt sikkert. At køre et moderne LAN eller WAN medfører sårbarheder som en del af processen, så det er vigtigt for organisationer at acceptere deres tilstedeværelse og stræbe efter at reducere de potentielle risici.
ISO 27001:2022 Annex A 8.8 giver et væld af råd til at hjælpe organisationer med at beskytte deres netværk mod intern og ekstern udnyttelse af sårbarheder. Det gør brug af procedurer og retningslinjer fra flere andre ISO 27001: 2022 Bilag A Kontrol, især dem til Change Management (se bilag A 8.32) og Adgangskontrol .
Ejerskab af bilag A 8.8
ISO 27001:2022 Bilag A 8.8 omhandler teknisk og administrativ styring af software, systemer og ikt-aktiver. Den foreskriver en omfattende tilgang til softwarestyring, formueforvaltning, og netværkssikkerhedsrevision.
Den person, der har det endelige ansvar for vedligeholdelsen af organisationens IKT-infrastruktur, såsom IT-chefen eller tilsvarende, bør være ejeren af ISO 27001:2022 Bilag A 8.8.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Vejledning om identifikation af sårbarheder
Inden der udføres sårbarhedskontrol, er det vigtigt at anskaffe sig en omfattende og aktuel liste over fysiske og digitale aktiver (se bilag A 5.9 og 5.14), der ejes og drives af organisationen.
Softwareaktivdata bør omfatte:
- Versionsnumre i drift.
- Hvor softwaren er implementeret på tværs af godset.
- Leverandørnavn.
- Applikationsnavn.
Organisationer bør stræbe efter at identificere tekniske sårbarheder ved at:
- Det er vigtigt klart at definere, hvem i organisationen er ansvarlig for sårbarhedshåndtering fra en teknisk synspunkt, der opfylder sine forskellige funktioner, som omfatter (men er ikke begrænset til):
- Overvågning.
- Opdatering.
- Aktivforvaltning.
- Risikovurdering.
- I organisationen, hvem er ansvarlig for softwaren.
- Hold et register over applikationer og værktøjer til at identificere tekniske svagheder.
- Anmod leverandører og leverandører om at afsløre eventuelle modtageligheder med nye systemer og hardware, når de leverer dem (i henhold til bilag A 5.20 i ISO 27001:2022), og specificer det tydeligt i alle gældende kontrakter og serviceaftaler.
- Brug sårbarhedsscanningsværktøjer og patchingfaciliteter.
- Udfør periodiske, dokumenterede penetrationstest, enten af internt personale eller af en godkendt tredjepart.
- Vær opmærksom på potentialet for underliggende programmatiske sårbarheder, når du bruger tredjeparts kodebiblioteker eller kildekode (se ISO 27001:2022 Annex A 8.28).
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning om offentlige aktiviteter
Organisationer bør skabe politikker og procedurer, der opdager sårbarheder i alle deres produkter og tjenester og få vurderinger af disse sårbarheder relateret til deres forsyning.
ISO råder organisationer til at tage skridt til at identificere eventuelle sårbarheder og motivere tredjeparter til at deltage i sårbarhedshåndteringsaktiviteter ved at tilbyde dusørprogrammer (hvor potentielle udnyttelser søges og rapporteres til organisationen i bytte for en belønning).
Organisationer bør gøre sig tilgængelige for offentligheden gennem fora, offentlige e-mail-adresser og forskning, så de kan udnytte offentlighedens kollektive viden til at beskytte deres produkter og tjenester.
Organisationer bør gennemgå enhver afhjælpende handling, der er truffet, og overveje at frigive relevant information til berørte personer eller organisationer. Desuden bør de engagere sig med specialiserede sikkerhedsorganisationer for at sprede viden om sårbarheder og angrebsvektorer.
Organisationer bør overveje at levere et valgfrit automatisk opdateringssystem, som kunderne kan vælge at bruge eller ej i henhold til deres forretningskrav.
Vejledning om evaluering af sårbarheder
Nøjagtig rapportering er afgørende for at sikre hurtig og effektiv korrigerende handling, når sikkerhedsrisici opdages.
Organisationer bør vurdere sårbarheder ved at:
- Undersøg rapporterne grundigt og afgør, hvilken handling der er nødvendig, såsom ændring, opdatering eller eliminering af påvirkede systemer og/eller udstyr.
- Opnå en løsning, der tager hensyn til andre ISO-kontroller (især dem, der er relateret til ISO 27001:2022) og anerkender risikoniveauet.
Vejledning i modvirkning af softwaresårbarheder
Softwaresårbarheder kan effektivt tackles ved hjælp af en proaktiv tilgang til softwareopdateringer og patch-håndtering. At sikre regelmæssige opdateringer og patches kan hjælpe med at beskytte dit system mod potentielle trusler.
Organisationer bør sørge for at bibeholde eksisterende softwareversioner, før de foretager ændringer, udføre grundige test af alle ændringer og anvende disse på en udpeget kopi af softwaren.
Når sårbarheder er identificeret, bør organisationer tage skridt til at løse dem:
- Sigt efter hurtigt og effektivt at rette alle sikkerhedssvagheder.
- Hvor det er muligt, skal du overholde de organisatoriske protokoller om Change Management (se ISO 27001:2022 Annex A 8.32) og Incident Handling (se ISO 27001:2022 Annex A 5.26).
- Anvend kun patches og opdateringer fra pålidelige, certificerede kilder, især for tredjepartsleverandørs software og udstyr:
- Organisationer bør evaluere de foreliggende data for at beslutte, om det er vigtigt at anvende automatiske opdateringer (eller komponenter af dem) til købt software og hardware.
- Før du installerer, skal du teste eventuelle opdateringer for at forhindre uventede problemer i et live-miljø.
- Giv topprioritet til at tackle højrisiko og vitale forretningssystemer.
- Sørg for, at afhjælpende handlinger er vellykkede og ægte.
I tilfælde af, at der ikke er nogen opdatering tilgængelig, eller der er hindringer for at installere en (f.eks. omkostningsrelateret), bør organisationer overveje andre metoder, såsom:
- Anmoder om vejledning fra leverandøren om en midlertidig løsning, mens afhjælpningsindsatsen intensiveres.
- Sluk alle netværkstjenester, der er påvirket af sårbarheden.
- Implementering af sikkerhedskontrol ved vigtige gateways, såsom trafikregler og filtre, for at beskytte netværket.
- Øg overvågningen i forhold til den tilknyttede risiko.
- Sørg for, at alle berørte parter er opmærksomme på fejlen, herunder leverandører og købere.
- Udskyd opdateringen og evaluer risiciene, og notér især eventuelle potentielle driftsomkostninger.
Medfølgende bilag A kontrol
- ISO 27001:2022 Bilag A 5.14
- ISO 27001:2022 Bilag A 5.20
- ISO 27001:2022 Bilag A 5.9
- ISO 27001:2022 Bilag A 8.20
- ISO 27001:2022 Bilag A 8.22
- ISO 27001:2022 Bilag A 8.28
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Supplerende vejledning om bilag A 8.8
Organisationer bør opretholde en revisionsspor af alle relevante sårbarhedshåndteringsaktiviteter for at hjælpe med korrigerende handlinger og fremme protokoller i tilfælde af et sikkerhedsbrud.
Periodisk vurdering og gennemgang af hele sårbarhedshåndteringsprocessen er en fantastisk måde at forbedre ydeevnen og proaktivt identificere eventuelle sårbarheder.
Hvis organisationen ansætter en cloud-tjenesteudbyder, bør de sikre, at udbyderens tilgang til sårbarhedshåndtering er kompatibel med deres egen og bør inkluderes i den bindende serviceaftale mellem begge parter, herunder eventuelle rapporteringsprocedurer (se ISO 27001:2022 bilag A 5.32) .
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.8 erstatter to Annex A-kontroller fra ISO 27001:2013, disse er:
- 12.6.1 – Håndtering af tekniske sårbarheder
- 18.2.3 – Teknisk overensstemmelsesgennemgang
ISO 27001:2022 Bilag A 8.8 introducerer en ny, særskilt tilgang til sårbarhedshåndtering end den, der findes i ISO 27001:2013. Det er en bemærkelsesværdig afvigelse fra den tidligere standard.
ISO 27001:2013 Annex A 12.6.1 fokuserede hovedsageligt på at indføre korrigerende foranstaltninger, når en sårbarhed er opdaget, hvorimod Annex A 18.2.3 kun gælder for tekniske midler (hovedsagelig penetrationstest).
ISO 27001:2022 Annex A 8.8 introducerer nye afsnit, der omhandler en organisations offentlige ansvar, metoder til genkendelse af sårbarheder og den rolle, cloud-udbydere spiller for at holde sårbarheder på et minimum.
ISO 27001:2022 lægger stor vægt på sårbarhedshåndteringens rolle på andre områder (såsom forandringsledelse) og opfordrer til at tage en holistisk tilgang, der inkorporerer flere andre kontroller og informationssikkerhedsprocesser.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
Vores platformen er brugervenlig og ligetil. Det er beregnet til alle i organisationen, ikke kun teknologikyndige mennesker. Vi anbefaler at inddrage personale fra alle niveauer af virksomheden i opbygning af dit ISMS da dette hjælper med at skabe et system, der holder.
Tag kontakt nu for at arrangere en demonstration.