ISO/IEC 27001

ISO 27001:2022 Bilag A Forklaret

Se det i aktion
Af Max Edwards | Opdateret 12. marts 2024

I oktober 2022 blev ISO 27001-standarden opdateret for at afspejle det stadigt skiftende landskab inden for teknologi og informationssikkerhed. Ændringerne var for det meste kosmetiske og omfatter omstrukturering og forfining af eksisterende krav. Den største ændring er bilag A, som har specifikke kontroller afledt af ISO 27002:2022. I denne guide vil vi se på, hvad der har ændret sig, og hvad det betyder for dig.

Gå til emnet

Hvad er bilag A, og hvad er ændret?

Bilag A i ISO 27001 er en del af standarden, der angiver et sæt klassificerede sikkerhedskontroller, som organisationer bruger til at demonstrere overholdelse af ISO 27001 6.1.3 (Behandling af informationssikkerhedsrisiko) og den tilhørende erklæring om anvendelighed (se nedenfor).

Den indeholdt tidligere 114 kontroller opdelt i 14 kategorier, som dækkede en bred vifte af emner såsom adgangskontrol, kryptografi, fysisk sikkerhed og hændelseshåndtering.

Efter udgivelsen af ​​ISO 27002:2022 (Kontrol af informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse) den 15. februar 2022, har ISO 27001:2022 tilpasset sine bilag A-kontroller.

Den nye version af standarden trækker på et komprimeret sæt af 93 Annex A-kontroller, herunder 11 nye kontroller.

I alt 24 kontroller blev slået sammen fra to, tre eller flere sikkerhedskontroller fra 2013-versionen, og 58 kontroller fra ISO 27002:2013 blev revideret for at tilpasse sig det nuværende cybersikkerheds- og informationssikkerhedsmiljø.

Hvad er en erklæring om anvendelighed?

Før du fortsætter, er det værd at indføre en erklæring om anvendelighed (SoA), da denne skitserer en organisations tilgang til implementering af specificerede bilag A-kontroller.

En erklæring om anvendelighed (SoA) i ISO 27001 2022 er et dokument, der angiver de kontroller i bilag A, som en organisation vil implementere for at opfylde kravene i standarden. Det er et obligatorisk trin for alle, der planlægger at forfølge ISO 27001-certificering.

Din SoA bør indeholde fire hovedelementer:

  • En liste over alle kontroller, der er nødvendige for at opfylde mulighederne for behandling af informationssikkerhedsrisici, herunder dem, der er indeholdt i bilag A.
  • En erklæring, der skitserer, hvorfor alle ovenstående kontroller er blevet inkluderet.
  • Bekræftelse af implementering.
  • Organisationens begrundelse for at udelade nogen af ​​bilag A-kontrollerne.
Gratis download

Få din guide til
ISO 27001 succes

Alt hvad du behøver at vide om at opnå ISO 27001 første gang

Få din gratis guide

De nye ISO 27001:2022 kontrolkategorier forklaret

Bilag A-kontrollerne i ISO 27001:2013 var tidligere opdelt i 14 kategorier. ISO 27001 2022 anvender en lignende kategorisk tilgang til informationssikkerhed, der fordeler processer mellem fire kategorier på øverste niveau.

Bilag a kontroller er nu blevet grupperet i fire kategorier

ISO 27001:2022 bilagets kontroller er blevet omstruktureret og konsolideret for at afspejle aktuelle sikkerhedsudfordringer. De centrale ISMS-styringsprocesser forbliver uændrede, men bilag A-kontrolsættet er blevet opdateret for at afspejle mere moderne risici og de tilhørende kontroller.

  • Organisatorisk
  • Mennesker
  • Fysisk
  • Teknologisk

Hver kontrol har desuden tildelt en tilskrivningstaksonomi. Hver kontrol har nu en tabel med et sæt foreslåede attributter, og bilag A til ISO 27002:2022 giver et sæt anbefalede tilknytninger.

Disse giver dig mulighed for hurtigt at tilpasse dit kontrolvalg til fælles branchesprog og internationale standarder. Brugen af ​​attributter understøtter det arbejde, som mange virksomheder allerede udfører inden for deres risikovurdering og Statement of Applicability (SoA).

For eksempel kan der skelnes mellem cybersikkerhedskoncepter, der ligner NIST- og CIS-kontroller, og de operationelle kapaciteter relateret til andre standarder kan genkendes.

Bilag A Kontrolkategorier

Organisatoriske kontroller

  • Antal kontroller: 37
  • Kontrolnumre: ISO 27001 Annex A 5.1 til 5.37

Organisatoriske kontroller omfatter regler og foranstaltninger, som dikterer en organisations omfattende holdning til databeskyttelse over en bred vifte af forhold. Disse kontroller omfatter politikker, regler, processer, procedurer, organisatoriske strukturer og mere.

People Controls

  • Antal kontroller: 8
  • Kontrolnumre: ISO 27001 Annex A 6.1 til 6.8

Personkontrol gør det muligt for virksomheder at regulere den menneskelige komponent af deres informationssikkerhedsprogram ved at definere den måde, hvorpå personale interagerer med data og hinanden. Disse kontroller dækker sikker personalestyring, personalesikkerhed og opmærksomhed og træning.

Fysiske kontroller

  • Antal kontroller: 14
  • Kontrolnumre: ISO 27001 Annex A 7.1 til 7.13

Fysiske sikkerhedsforanstaltninger er foranstaltninger, der anvendes til at sikre sikkerheden for materielle aktiver. Disse kan omfatte adgangssystemer, gæsteadgangsprotokoller, processer for bortskaffelse af aktiver, lagermedieprotokoller og klare skrivebordspolitikker. Sådanne sikkerhedsforanstaltninger er afgørende for at bevare fortrolige oplysninger.

Teknologisk kontrol

  • Antal kontroller: 34
  • Kontrolnumre: ISO 27001 Annex A 8.1 til 8.34

Teknologiske begrænsninger dikterer de cybernetiske/digitale regler og procedurer, som virksomheder bør vedtage for at udføre en beskyttet, kompatibel it-infrastruktur, fra autentificeringsteknikker til indstillinger, BUDR-strategier og informationslogning.

Trin-for-trin vejledning

ISMS.online-platformen, kombineret med vores indbyggede vejledning og præ-konfigurerede ISMS, gør det muligt for organisationer at demonstrere overholdelse af hver bilag A-kontrol uden besvær.

Book en platformdemo i dag for at se, hvordan vi kan hjælpe din virksomhed

Book en platformsdemo

Tabel over alle kontroller i bilag A

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2
Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1
Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2
Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3
Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3
Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2
Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3
Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6
Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2
Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3
Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5
Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3
Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer


ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3
Informationssikkerhed begivenhedsrapportering


ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6
Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
Bilag A 11.2.5
Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr


ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8
Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3
Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3
Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2
Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2
Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3
Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9
Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6
Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4
Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest



Hvorfor er bilag A vigtigt for min organisation?

ISO 27001-standarden er formuleret på en sådan måde, at organisationer af alle former og størrelser kan opfylde kravene i standarden, samtidig med at de overholder den grundlæggende forudsætning om at implementere og opretholde omfattende informationssikkerhedspraksis.

Organisationer har forskellige muligheder for at opnå og bevare overholdelse af ISO 27001, afhængig af arten af ​​deres virksomhed og omfanget af deres databehandlingsaktiviteter.

Bilag A giver organisationer et enkelt sæt vejledninger, hvorfra de kan udarbejde en velstruktureret informationssikkerhedsplan, der passer til deres eksklusive kommercielle og operationelle behov.

Bilag A fungerer som et tids- og ressourcebesparende værktøj til den indledende certificering og efterfølgende overholdelsesprocesser og danner grundlag for revisioner, procesgennemgange og strategisk planlægning. Det kan bruges som et internt styringsdokument (dvs. en risikobehandlingsplan), der fastlægger en formel tilgang til informationssikkerhed.

Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Forståelse af risikobehandling i ISO 27001 6.1.3

ISO 27001-krav 6.1.3 handler om at etablere og vedligeholde en informationssikkerhedsrisikovurderingsproces, der omfatter risikoaccept og vurderingskriterier.

ISO 27001 6.1.3 fungerer som en kanal for organisationer til at garantere, at deres procedurer for informationssikkerhedsrisiko, inklusive deres risikostyringsalternativer, er i overensstemmelse med ISO's anbefalede standarder i jagten på certificering.

Risikobehandling som koncept

Certificerede og kompatible organisationer håndterer risici på flere måder. Risikostyring er ikke begrænset til de helbredende handlinger, der er nødvendige for at reducere risikoen. Ved at identificere en risiko forventes organisationer at:

  • Accepter risikoen.
  • Behandl risikoen.
  • Reducer risikoen.
  • Overfør risikoen.
  • Undgå risikoen.

ISO 27001 6.1.3 beder organisationer om at formulere en risikobehandlingsplan, herunder sign-off fra risikoejere og bred accept af, hvad ISO anser for "restrisici".

Denne proces begynder med identifikation af risici forbundet med tab af fortrolighed, integritet og tilgængelighed af information. Organisationen skal derefter vælge passende behandlingsmuligheder for informationssikkerhedsrisiko baseret på risikovurderingsresultaterne.

Andre faktorer

Som et styrende krav er ISO 27001 6.1.3 ikke den ultimative autoritet for risikostyring. Store organisationer integrerer ofte sikkerhedsprotokoller fra andre akkrediteringsenheder (NIST, SOC2's Trust Service Criteria).

Organisationer skal dog prioritere bilag A-kontroller gennem hele certificerings- og overholdelsesprocessen – ISO-revisorer instrueres i at identificere ægtheden og relevansen af ​​ISO-regler som sædvanligt, som sådan bør dette være en organisations førstevalg, når de opretter en ISO 27001- kompatibelt informationssikkerhedsstyringssystem.

Særlige tredjeparts datastandarder i den offentlige og private sektor – såsom National Health Service's Data Security and Protection Toolkit (DSPT) – nødvendiggør en tilpasning af informationssikkerhedsstandarder mellem organisationer og de offentlige enheder, de har forbindelse med.

ISO 27001 6.1.3 tillader organisationer at koordinere deres risikobehandling med adskillige eksterne kriterier, hvilket giver mulighed for omfattende overholdelse af de datasikkerhedsforanstaltninger, som de sandsynligvis vil konfrontere.


Hvilke bilag A-kontroller skal jeg medtage?

Det er vigtigt at vurdere din virksomheds eksklusive informationssikkerhedsrisici, før der etableres en beslutning om, hvilke kontroller, der skal indføres, og vælge kontroller, der vil hjælpe med at dæmpe identificerbare risici.

Ud over risikobehandling kan kontroller også vælges på grund af en virksomheds- eller forretningshensigt eller et mål, et lovligt krav eller i opfyldelsen af ​​kontraktlige og/eller regulatoriske forpligtelser.

Desuden er organisationer forpligtet til at illustrere, hvorfor de ikke har integreret visse kontroller i deres SOA – f.eks. er det ikke nødvendigt at inkorporere kontroller, der adresserer fjern- eller hybridarbejde, hvis det ikke er en politik, din institution praktiserer, men en revisor stadig vil kræve at være præsenteret med disse data, når du evaluerer dine certificerings-/overholdelsesopgaver.


Hvordan ISMS.online kan hjælpe

ISMS.online-platformen, kombineret med vores indbyggede vejledning og præ-konfigurerede ISMS, gør det muligt for organisationer at demonstrere overholdelse af hver bilag A-kontrol uden besvær. Vi er her for at hjælpe, uanset om du er ny i ISO 27001 eller er forpligtet til at overføre dit eksisterende ISMS til at tilpasse sig 2022-versionen af ​​standarden.

Vores trin-for-trin tjekliste guider dig gennem hele processen og giver et klart overblik over fremskridt og udestående krav. Vores software gør det lettere at kortlægge din organisations informationssikkerhedskontrol mod hvert aspekt af dit ISMS.

Book en platformdemo i dag og oplev fordelene ved vores løsning selv.

Book en demo
komplet compliance-løsning

Vil du udforske?
Start din gratis prøveperiode.

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Find ud af mere

ISO 27001:2022 krav


ISO 27001:2022 Bilag A Kontrolelementer

Organisatoriske kontroller


People Controls


Fysiske kontroller


Teknologisk kontrol


Om ISO 27001


Status for informationssikkerhedsrapport 2024 nu live - læs nu