ISO 27001:2022 Bilag A Kontrol 5.1

Informationssikkerhedspolitikker

Book en demo

forretning,mand,bruger,mobil,smart,telefon,,travlt,arbejder,på,laptop

Som en del af ISO 27001:2022 specificerer bilag A 5.1, at organisationer skal have en informationssikkerhed politisk dokument på plads. Dette er til beskytte sig mod informationssikkerhedstrusler.

Forretningsbehov såvel som gældende regler og lovgivning skal tages i betragtning, når politikker udvikles.

Et informationssikkerhedspolitisk dokument er i det væsentlige et kompendium af bilag A kontroller, der styrker organisationens centrale udsagn om sikkerhed og gør dem tilgængelige for interessenter.

I 2022-versionen af ​​standarden bør politikker også inkluderes i uddannelses-, trænings- og oplysningsprogrammet, som beskrevet i People Controls A.6.3.

Organisationspolitikker specificerer de principper, som medlemmer og nøgleparter som leverandører skal overholde. Disse politikker bør revideres regelmæssigt og opdateres efter behov.

Hvad er informationssikkerhedspolitikker?

An informationssikkerhedspolitik har til formål at give medarbejdere, ledelse og eksterne parter (f.eks. kunder og leverandører) rammer for håndtering af elektronisk information, herunder computernetværk.

En sikkerhedspolitik skal defineres, godkendes af ledelsen, offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter.

Ud over at reducere risikoen for tab af data på grund af interne og eksterne trusler, informationssikkerhedspolitikker sikrer at alle medarbejdere forstår deres rolle i at beskytte organisationens data.

Udover at opfylde standarder som f.eks ISO 27001, kan en informationssikkerhedspolitik også demonstrere overholdelse af love og regler.

Informationssikkerhedstrusler og cybersikkerhed forklaret

Cyber ​​sikkerhed trusler omfatter virksomhedsspioner og hacktivister, terrorgrupper, fjendtlige nationalstater og kriminelle organisationer. Disse trusler søger at få ulovlig adgang til data, forstyrre digitale operationer eller beskadige information.

Trusler mod cybersikkerhed og informationssikkerhed omfatter:

  • Virus, spyware og andre ondsindede programmer betragtes som malware.

  • En e-mail, der ser ud til at være fra en pålidelig kilde, men som indeholder links og vedhæftede filer, der installerer malware på din computer.

  • Virus forhindrer brugere i at få adgang til deres data, indtil de betaler en løsesum.

  • Processen med at manipulere folk til at videregive følsomme oplysninger er kendt som social engineering.

  • Phishing-e-mails, der ser ud til at komme fra højtprofilerede personer i en organisation, er kendt som hvalangreb.
Gå til emne
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Hvordan fungerer ISO 27001:2022 Annex A 5.1?

Informationssikkerhedspolitikker er designet til at beskytte din virksomheds følsomme oplysninger mod tyveri og uautoriseret adgang.

In i overensstemmelse med ISO 27001, Bilagskontrol A 5.1 vejleder formålet og implementeringen af ​​etableringen af ​​en informationssikkerhedspolitik i en organisation.

En overordnet informationssikkerhedspolitik kræves af Bilag A Kontrol 5.1 for organisationer til at administrere deres informationssikkerhed. Den øverste ledelse skal godkende retningslinjerne, som skal revideres løbende, hvis der sker ændringer i informationssikkerhedsmiljøet.

Den passende tilgang er at mødes regelmæssigt, mindst en gang om måneden, med yderligere møder efter behov. Ud over at dele politikker med interne og eksterne interessenter, skal ledelsen godkende eventuelle ændringer, før de implementeres.

Sådan kommer du i gang og opfylder kravene i bilag A 5.1

A detaljeret driftsprocedure der beskriver, hvordan informationssikkerhedspolitikken vil blive implementeret, bør være baseret på og understøttet af en informationssikkerhedspolitik.

Politikken skal godkendes af top ledelse og kommunikeret til personale og interesserede.

Ud over at give retning for organisationens tilgang til at styre informationssikkerheden, kan politikken bruges til at udvikle mere detaljerede driftsprocedurer.

Som krævet af ISO/IEC 27000 standarder, er en politik afgørende for at etablere og vedligeholde et informationssikkerhedsstyringssystem (ISMS). En veldefineret politik forbliver kritisk, selvom organisationen ikke har til hensigt at gøre det implementere ISO 27001 eller enhver anden formel certificering.

Informationssikkerhedspolitikker bør revideres regelmæssigt for at sikre deres fortsatte egnethed, tilstrækkelighed og effektivitet.

Når der foretages ændringer i virksomheden, dens risici, teknologi, lovgivning eller regulativer, eller hvis sikkerhedssvagheder, hændelser eller hændelser indikerer, at der er behov for politikændringer.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

Som en del af ISO 27001 revision 2013 fusionerer denne kontrol bilag A kontroller 5.1.1 Politikker for informationssikkerhed og 5.1.2 Gennemgang af politikker for informationssikkerhed.

Bilag A kontrol 5.1 tommer ISO 27001:2022 er blevet opdateret med en beskrivelse af dets formål og udvidet implementeringsvejledning samt en attributtabel, der giver brugerne mulighed for at forene bilag A-kontroller med brancheterminologi.

I henhold til bilag A 5.1 skal informationssikkerhed og emnespecifikke politikker defineres, godkendes af ledelsen, offentliggøres, kommunikeres til og anerkendes af det relevante personale.

En organisations informationssikkerhedspolitik bør tage højde for størrelsen, typen og følsomheden af ​​informationsaktiver, industristandarder og gældende regeringskrav.

I henhold til punkt 5.1.2 i ISO 27001:2013 er formålet med bilag A at sikre, at informationssikkerhedspolitikker løbende evalueres, hvis der opstår ændringer i informationssikkerhedsmiljøet.

Ifølge ISO 27001: 2013 og ISO 27001: 2022 bør topledelsen udvikle en sikkerhedspolitik, der er godkendt af topledelsen og beskriver, hvordan organisationen vil beskytte sine data. Ikke desto mindre dækker begge versioner af policerne forskellige krav.

Sammenlignende analyse af bilag A 5.1 Retningslinjer for implementering

I henhold til ISO 27001:2013 skal informationssikkerhedspolitikker imødekomme følgende krav:

  • Forretningsstrategien.

  • Kontrakter, regler og lovgivning.

  • En beskrivelse af det aktuelle og forventede trusselsmiljø for informationssikkerhed.

Informationssikkerhedspolitikker bør omfatte følgende udsagn:

  • Alle aktiviteter vedr informationssikkerhed bør vejledes ved en definition af informationssikkerhed, mål og principper.

  • Informationssikkerhedsstyringsansvar er tildelt definerede roller på en generel og specifik måde.

  • Processen for håndtering af afvigelser og undtagelser.

I modsætning hertil har ISO 27001:2022 mere omfattende krav.

Som en del af informationssikkerhedspolitikken bør følgende krav tages i betragtning:

  • Virksomhedens strategi og krav.

  • Lovgivning, regler og kontrakter.

  • Informationssikkerhedsrisici og trusler, der eksisterer i dag og i fremtiden.

Udtalelser vedrørende følgende bør indgå i informationssikkerhedspolitikken:

  • Definition af informationssikkerhed.

  • En ramme for etablering af informationssikkerhedsmål.

  • Informationssikkerhedsprincipper bør styre alle aktiviteter.

  • En forpligtelse til at overholde alle gældende informationssikkerhedskrav.

  • En løbende forpligtelse til at forbedre informationssikkerhedsstyringssystem.

  • Rollebaseret tildeling af ansvar for informationssikkerhedsstyring.

  • Undtagelser og dispensationer håndteres i overensstemmelse med disse procedurer.

Derudover blev ISO 27001:2022 revideret til at inkludere emnespecifikke politikker for informationssikkerhedshændelsesstyring, asset management, netværkssikkerhed, hændelsesstyring og sikker udvikling som emnespecifikke politikker. Med det formål at skabe en mere holistisk ramme blev nogle af kravene i ISO 27001:2013 fjernet eller sammenlagt.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.Online hjælper

Med ISMS.online, vil du have adgang til et komplet sæt værktøjer og ressourcer til at hjælpe med at administrere dit eget ISO 27001 Information Security Management System (ISMS), uanset om du er nybegynder eller allerede er certificeret.

Ydermere tilbyder ISMS.online automatiserede processer for at hjælpe med at forenkle hele gennemgangsprocessen. Disse processer sparer betydelige mængder admin tid sammenlignet med andre arbejdsmetoder.

Du får et forspring med ISO 27001-politikker og kontroller fra ISMS.online.

Intuitive arbejdsgange, værktøjer, rammer, politikker og kontroller, brugbar dokumentation og vejledning samt handlingsorienteret vejledning gør det nemt at implementere ISO 27001 ved at definere omfanget, identificere risici og implementere kontroller baseret på vores algoritmer – uanset om de er skabt fra bunden eller baseret på branchens bedste praksisskabeloner.

Kontakt os i dag for planlæg en demo.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Metode med sikre resultater
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere