Indførelse af bilag A-kontrol
Der er 114 bilag A kontroller, opdelt i 14 kategorier. Hvordan du reagerer på kravene i forhold til dem, mens du opbygger dit ISMS, afhænger af din organisations særlige forhold.
En nyttig måde at forstå bilag A på er at tænke på det som et katalog over sikkerhedskontroller. Baseret på dine risikovurderinger vil du vælge dem, der er relevante for din organisation, baseret på dine særlige risici.
Hjælp er lige ved hånden med ISMS.online
114 Annex A-kontrollerne kan lyde overvældende, men hjælpen er lige ved hånden. ISMS.online platformen er bygget på nøjagtig samme måde som ISO 27001-standarden, hvilket gør det nemt for dig at følge og forstå, hvad du skal gøre. Derudover giver vi dig trin-for-trin vejledning til at blive ISO 27001 certificeret første gang, med en succesrate på 100 %.
Vi guider dig hvert trin på vejen
Vores indbyggede værktøj tager dig fra opsætning til certificering med en succesrate på 100 %.
Book en demoBilag A Kontrol
Bilag A.5 – Informationssikkerhedspolitikker
Bilag A.5.1 handler om ledelsesretning for informationssikkerhed. Formålet med dette bilag er at styre retning og støtte til informationssikkerhed i overensstemmelse med organisationens krav.
Læs mere om A.5Bilag A.6 – Organisation af informationssikkerhed
Bilag A.6.1 handler om intern organisering. Målet i dette bilag A-område er at etablere en ledelsesramme til at igangsætte og kontrollere implementeringen og driften af informationssikkerhed i organisationen.
Bilag A.6.2 handler om mobile enheder og fjernarbejde. Målet i dette bilag A-område er at etablere en ledelsesramme for at sikre sikkerheden ved fjernarbejde og brug af mobile enheder.
Læs mere om A.6Bilag A.7 – Sikkerhed for menneskelige ressourcer
Bilag A.7.1 handler om forud for ansættelsen. Formålet med dette bilag er at sikre, at medarbejdere og entreprenører forstår deres ansvar og er egnede til de roller, som de overvejes til.
Bilag A.7.2 – formålet med dette bilag er at sikre, at ansatte og kontrahenter er opmærksomme på og opfylder deres ansvar for informationssikkerhed under ansættelsen.
Bilag A.7.3 handler om opsigelse og ændring af ansættelse. Formålet i dette bilag er at beskytte organisationens interesser som led i processen med at ændre og afslutte ansættelsen.
Læs mere om A.7Bilag A.8 – Asset Management
Bilag A.8.1 handler om ansvar for aktiver. Målet i bilaget er identitet informationsaktiver inden for rammerne af ledelsessystemet og definere passende beskyttelsesansvar.
Bilag A.8.2 handler om informationsklassificering. Formålet med dette bilag er at sikre, at oplysninger modtager et passende beskyttelsesniveau i overensstemmelse med deres betydning for organisationen (og interesserede parter såsom kunder).
Bilag A.8.3 handler om mediehåndtering. Formålet med dette bilag er at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller ødelæggelse af oplysninger, der er lagret på medier.
Læs mere om A.8Bilag A.9 – Adgangskontrol
Bilag A.9.1 handler om de forretningsmæssige krav til adgangskontrol. Formålet med dette bilag er at begrænse adgangen til informations- og informationsbehandlingsfaciliteter.
Bilag A.9.2 handler om brugeradgangsstyring. Formålet med dette bilag A-kontrol er at sikre, at brugere har tilladelse til at få adgang til systemer og tjenester samt forhindre uautoriseret adgang.
Bilag A.9.3 handler om brugeransvar. Formålet med denne bilag A-kontrol er at gøre brugerne ansvarlige for at beskytte deres autentificeringsoplysninger.
Bilag A.9.4 handler om system- og applikationsadgangskontrol. Formålet med dette bilag er at forhindre uautoriseret adgang til systemer og applikationer.
Læs mere om A.9Bilag A.10 – Kryptografi
Bilag A.10.1 handler om kryptografiske kontroller. Formålet med dette bilag er at sikre korrekt og effektiv brug af kryptografi for at beskytte oplysningernes fortrolighed, ægthed og/eller integritet.
Læs mere om A.10Bilag A.11 – Fysisk og miljømæssig sikkerhed
Bilag A.11.1 handler om at sikre sikre fysiske og miljømæssige arealer. Formålet med dette bilag er at forhindre uautoriseret fysisk adgang, beskadigelse og indgreb i organisationens informations- og informationsbehandlingsfaciliteter.
Bilag A.11.2 handler om udstyr. Formålet med dette bilags kontrol er at forhindre tab, beskadigelse og tyveri eller kompromittering af aktiver og afbrydelse af organisationens drift.
Læs mere om A.11Bilag A.12 – Operationssikkerhed
Bilag A.12.1 handler om operationelle procedurer og ansvar. Formålet med dette bilag A-område er at sikre korrekt og sikker drift af informationsbehandlingsfaciliteter.
Bilag A.12.2 handler om beskyttelse mod malware. Målet her er at sikre, at informations- og informationsbehandlingsfaciliteter er beskyttet mod malware.
Bilag A.12.3 handler om backup. Formålet her er at beskytte mod tab af data.
Bilag A.12.4 handler om logning og overvågning. Formålet med dette bilag A-område er at registrere hændelser og frembringe beviser.
Bilag A.12.5 handler om styring af driftssoftware. Målet i dette bilag A-område er at sikre integriteten af operationelle systemer.
Bilag A.12.6 handler om teknisk sårbarhedshåndtering. Formålet med denne kontrol i bilag A er at forhindre udnyttelse af tekniske sårbarheder.
Bilag A.12.7 handler om informationssystemer og revisionsovervejelser. Målet i dette bilag A-område er at minimere revisionsaktiviteternes indvirkning på operationelle systemer.
Læs mere om A.12Bilag A.13 – Kommunikationssikkerhed
Bilag A.13.1 handler om netværkssikkerhedsstyring. Formålet med dette bilag er at sikre beskyttelsen af information i netværk og dets understøttende informationsbehandlingsfaciliteter.
Bilag A.13.2 handler om informationsoverførsel. Formålet med dette bilag er at opretholde sikkerheden for oplysninger, der overføres inden for organisationen og med enhver ekstern enhed, f.eks. en kunde, leverandør eller anden interesseret part.
Læs mere om A.13Bilag A.14 – Systemanskaffelse, udvikling og vedligeholdelse
Bilag A.14.1 handler om sikkerhedskrav til informationssystemer. Målet i dette bilagsområde er at sikre, at informationssikkerhed er en integreret del af informationssystemer på tværs af hele livscyklussen. Dette omfatter også kravene til informationssystemer, der leverer tjenester over offentlige netværk.
Læs mere om A.14Bilag A.15 – Leverandørforhold
Bilag A.15.1 handler om informationssikkerhed i leverandørforhold. Målet her er beskyttelse af organisationens værdifulde aktiver, som er tilgængelige for eller påvirkes af leverandører.
Bilag A.15.2 handler om leverandørserviceudviklingsstyring. Målet i denne bilag A kontrol er at sikre, at et aftalt niveau for informationssikkerhed og levering af tjenester opretholdes i overensstemmelse med leverandøraftaler.
Læs mere om A.15Bilag A.16 – Håndtering af hændelser vedrørende informationssikkerhed
Bilag A.16.1 handler om håndtering af informationssikkerhedshændelser, hændelser og svagheder. Målet i dette bilagsområde er at sikre en konsekvent og effektiv tilgang til livscyklussen af hændelser, hændelser og svagheder.
Læs mere om A.16Bilag A.17 – Informationssikkerhedsaspekter af Business Continuity Management
Bilag A.17.1 handler om informationssikkerhedskontinuitet. Målet i denne bilag A-kontrol er, at informationssikkerhedskontinuitet skal være indlejret i organisationens styringssystemer for forretningskontinuitet.
Bilag A.17.2 handler om afskedigelser. Formålet med dette bilag A kontrol er at sikre tilgængeligheden af informationsbehandlingsfaciliteter.
Læs mere om A.17Bilag A.18 – Overholdelse
Bilag A.18.1 handler om overholdelse af lovmæssige og kontraktmæssige krav. Målet er at undgå brud på juridiske, lovbestemte, regulatoriske eller kontraktlige forpligtelser i forbindelse med informationssikkerhed og eventuelle sikkerhedskrav.
Læs mere om A.18