ISO 27001:2022 Bilag A Forklaret

Hvad er bilag A, og hvad er ændret?

Bilag A i ISO 27001 er en del af standarden, der angiver et sæt klassificerede sikkerhedskontroller, som organisationer bruger til at demonstrere overholdelse af ISO 27001 6.1.3 (Behandling af informationssikkerhedsrisiko) og den tilhørende erklæring om anvendelighed (se nedenfor).

Den indeholdt tidligere 114 kontroller opdelt i 14 kategorier, som dækkede en bred vifte af emner såsom adgangskontrol, kryptografi, fysisk sikkerhed og hændelseshåndtering.

Efter udgivelsen af ​​ISO 27002:2022 (Kontrol af informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse) den 15. februar 2022, har ISO 27001:2022 tilpasset sine bilag A-kontroller.

Den nye version af standarden trækker på et komprimeret sæt af 93 Annex A-kontroller, herunder 11 nye kontroller.

I alt 24 kontroller blev slået sammen fra to, tre eller flere sikkerhedskontroller fra 2013-versionen, og 58 kontroller fra ISO 27002:2013 blev revideret for at tilpasse sig det nuværende cybersikkerheds- og informationssikkerhedsmiljø.

Hvad er en erklæring om anvendelighed?

Før du fortsætter, er det værd at indføre en erklæring om anvendelighed (SoA), da denne skitserer en organisations tilgang til implementering af specificerede bilag A-kontroller.

En erklæring om anvendelighed (SoA) i ISO 27001 2022 er et dokument, der angiver de kontroller i bilag A, som en organisation vil implementere for at opfylde kravene i standarden. Det er et obligatorisk trin for alle, der planlægger at forfølge ISO 27001-certificering.

Din SoA bør indeholde fire hovedelementer:

• En liste over alle kontroller, der er nødvendige for at opfylde mulighederne for behandling af informationssikkerhedsrisici, herunder dem, der er indeholdt i bilag A.
• En erklæring, der skitserer, hvorfor alle ovenstående kontroller er blevet inkluderet.
• Bekræftelse af implementering.
• Organisationens begrundelse for at udelade nogen af ​​bilag A-kontrollerne.

De nye ISO 27001:2022 kontrolkategorier forklaret

Bilag A-kontrollerne i ISO 27001:2013 var tidligere opdelt i 14 kategorier. ISO 27001 2022 anvender en lignende kategorisk tilgang til informationssikkerhed, der fordeler processer mellem fire kategorier på øverste niveau.

Bilag a kontroller er nu blevet grupperet i fire kategorier

ISO 27001:2022 bilagets kontroller er blevet omstruktureret og konsolideret for at afspejle aktuelle sikkerhedsudfordringer. De centrale ISMS-styringsprocesser forbliver uændrede, men bilag A-kontrolsættet er blevet opdateret for at afspejle mere moderne risici og de tilhørende kontroller.

• Organisatorisk
• Mennesker
• Fysisk
• Teknologisk

Hver kontrol har desuden tildelt en tilskrivningstaksonomi. Hver kontrol har nu en tabel med et sæt foreslåede attributter, og bilag A til ISO 27002:2022 giver et sæt anbefalede tilknytninger.

Disse giver dig mulighed for hurtigt at tilpasse dit kontrolvalg til fælles branchesprog og internationale standarder. Brugen af ​​attributter understøtter det arbejde, som mange virksomheder allerede udfører inden for deres risikovurdering og Statement of Applicability (SoA).

For eksempel kan der skelnes mellem cybersikkerhedskoncepter, der ligner NIST- og CIS-kontroller, og de operationelle kapaciteter relateret til andre standarder kan genkendes.

Organisatoriske kontroller

• Antal kontroller: 37
• Kontrolnumre: ISO 27001 Annex A 5.1 til 5.37

Organisatoriske kontroller omfatter regler og foranstaltninger, som dikterer en organisations omfattende holdning til databeskyttelse over en bred vifte af forhold. Disse kontroller omfatter politikker, regler, processer, procedurer, organisatoriske strukturer og mere.

People Controls

• Antal kontroller: 8
• Kontrolnumre: ISO 27001 Annex A 6.1 til 6.8

Personkontrol gør det muligt for virksomheder at regulere den menneskelige komponent af deres informationssikkerhedsprogram ved at definere den måde, hvorpå personale interagerer med data og hinanden. Disse kontroller dækker sikker personalestyring, personalesikkerhed og opmærksomhed og træning.

Fysiske kontroller

• Antal kontroller: 14
• Kontrolnumre: ISO 27001 Annex A 7.1 til 7.13

Fysiske sikkerhedsforanstaltninger er foranstaltninger, der anvendes til at sikre sikkerheden for materielle aktiver. Disse kan omfatte adgangssystemer, gæsteadgangsprotokoller, processer for bortskaffelse af aktiver, lagermedieprotokoller og klare skrivebordspolitikker. Sådanne sikkerhedsforanstaltninger er afgørende for at bevare fortrolige oplysninger.

Teknologisk kontrol

• Antal kontroller: 34
• Kontrolnumre: ISO 27001 Annex A 8.1 til 8.34

Teknologiske begrænsninger dikterer de cybernetiske/digitale regler og procedurer, som virksomheder bør vedtage for at udføre en beskyttet, kompatibel it-infrastruktur, fra autentificeringsteknikker til indstillinger, BUDR-strategier og informationslogning.

Hvorfor er bilag A vigtigt for min organisation?

ISO 27001-standarden er formuleret på en sådan måde, at organisationer af alle former og størrelser kan opfylde kravene i standarden, samtidig med at de overholder den grundlæggende forudsætning om at implementere og opretholde omfattende informationssikkerhedspraksis.

Organisationer har forskellige muligheder for at opnå og bevare overholdelse af ISO 27001, afhængig af arten af ​​deres virksomhed og omfanget af deres databehandlingsaktiviteter.

Bilag A giver organisationer et enkelt sæt vejledninger, hvorfra de kan udarbejde en velstruktureret informationssikkerhedsplan, der passer til deres eksklusive kommercielle og operationelle behov.

Bilag A fungerer som et tids- og ressourcebesparende værktøj til den indledende certificering og efterfølgende overholdelsesprocesser og danner grundlag for revisioner, procesgennemgange og strategisk planlægning. Det kan bruges som et internt styringsdokument (dvs. en risikobehandlingsplan), der fastlægger en formel tilgang til informationssikkerhed.

Forståelse af risikobehandling i ISO 27001 6.1.3

ISO 27001-krav 6.1.3 handler om at etablere og vedligeholde en informationssikkerhedsrisikovurderingsproces, der omfatter risikoaccept og vurderingskriterier.

ISO 27001 6.1.3 fungerer som en kanal for organisationer til at garantere, at deres procedurer for informationssikkerhedsrisiko, inklusive deres risikostyringsalternativer, er i overensstemmelse med ISO's anbefalede standarder i jagten på certificering.

Risikobehandling som koncept

Certificerede og kompatible organisationer håndterer risici på flere måder. Risikostyring er ikke begrænset til de helbredende handlinger, der er nødvendige for at reducere risikoen. Ved at identificere en risiko forventes organisationer at:

• Accepter risikoen.
• Behandl risikoen.
• Reducer risikoen.
• Overfør risikoen.
• Undgå risikoen.

ISO 27001 6.1.3 beder organisationer om at formulere en risikobehandlingsplan, herunder sign-off fra risikoejere og bred accept af, hvad ISO anser for "restrisici".

Denne proces begynder med identifikation af risici forbundet med tab af fortrolighed, integritet og tilgængelighed af information. Organisationen skal derefter vælge passende behandlingsmuligheder for informationssikkerhedsrisiko baseret på risikovurderingsresultaterne.

Andre faktorer

Som et styrende krav er ISO 27001 6.1.3 ikke den ultimative autoritet for risikostyring. Store organisationer integrerer ofte sikkerhedsprotokoller fra andre akkrediteringsenheder (NIST, SOC2's Trust Service Criteria).

Organisationer skal dog prioritere bilag A-kontroller gennem hele certificerings- og overholdelsesprocessen – ISO-revisorer instrueres i at identificere ægtheden og relevansen af ​​ISO-regler som sædvanligt, som sådan bør dette være en organisations førstevalg, når de opretter en ISO 27001- kompatibelt informationssikkerhedsstyringssystem.

Særlige tredjeparts datastandarder i den offentlige og private sektor – såsom National Health Service's Data Security and Protection Toolkit (DSPT) – nødvendiggør en tilpasning af informationssikkerhedsstandarder mellem organisationer og de offentlige enheder, de har forbindelse med.

ISO 27001 6.1.3 tillader organisationer at koordinere deres risikobehandling med adskillige eksterne kriterier, hvilket giver mulighed for omfattende overholdelse af de datasikkerhedsforanstaltninger, som de sandsynligvis vil konfrontere.

Hvilke bilag A-kontroller skal jeg medtage?

Det er vigtigt at vurdere din virksomheds eksklusive informationssikkerhedsrisici, før der etableres en beslutning om, hvilke kontroller, der skal indføres, og vælge kontroller, der vil hjælpe med at dæmpe identificerbare risici.

Ud over risikobehandling kan kontroller også vælges på grund af en virksomheds- eller forretningshensigt eller et mål, et lovligt krav eller i opfyldelsen af ​​kontraktlige og/eller regulatoriske forpligtelser.

Desuden er organisationer forpligtet til at illustrere, hvorfor de ikke har integreret visse kontroller i deres SOA – f.eks. er det ikke nødvendigt at inkorporere kontroller, der adresserer fjern- eller hybridarbejde, hvis det ikke er en politik, din institution praktiserer, men en revisor stadig vil kræve at være præsenteret med disse data, når du evaluerer dine certificerings-/overholdelsesopgaver.

Hvordan ISMS.online kan hjælpe

ISMS.online-platformen, kombineret med vores indbyggede vejledning og præ-konfigurerede ISMS, gør det muligt for organisationer at demonstrere overholdelse af hver bilag A-kontrol uden besvær. Vi er her for at hjælpe, uanset om du er ny i ISO 27001 eller er forpligtet til at overføre dit eksisterende ISMS til at tilpasse sig 2022-versionen af ​​standarden.

Vores trin-for-trin tjekliste guider dig gennem hele processen og giver et klart overblik over fremskridt og udestående krav. Vores software gør det lettere at kortlægge din organisations informationssikkerhedskontrol mod hvert aspekt af dit ISMS.

Book en platformdemo i dag og oplev fordelene ved vores løsning selv.