ISO 27001:2022 Bilag A Kontrol 5.10

Acceptabel brug af oplysninger og andre tilknyttede aktiver

Book en demo

john schnobrich flpc9 vocj4 unsplash

ISO 27001:2022 Annex A 5.10 skitserer reglerne for acceptabel brug og procedurer for håndtering af information og andre aktiver.

Disse bør identificeres, dokumenteres og implementeres.

Formålet med disse politikker er at etablere klare instruktioner om, hvordan personalet skal agere i håndteringen af ​​informationsaktiver, hvilket garanterer fortrolighed, pålidelighed og tilgængelighed af organisationens datasikkerhedsaktiver.

Hvad er ISO 27001:2022 Bilag A 5.10, Acceptabel brug af oplysninger og andre tilknyttede aktiver?

Den acceptable brug af Informationsaktiver Politik (AUA) gælder for alle medlemmer af organisationen og alle aktiver, der ejes eller drives af dem. Denne politik gælder for enhver brug, herunder kommercielle formål, af informationsaktiver.

Eksempler på informationsaktiver omfatter:

  • Hardware omfatter computere, mobilenheder, telefoner og faxmaskiner.

  • Software inkluderer operativsystemer, applikationer (inklusive webbaserede), hjælpeprogrammer, firmware og programmeringssprog.

  • Dette afsnit omhandler strukturerede data i relationsdatabaser, flade filer, NoSQL-data samt ustrukturerede data, for eksempel tekstdokumenter, regneark, billeder, video- og lydfiler.

  • Netværk omfatter både kablede og trådløse systemer, telekommunikation og VoIP-tjenester (Voice over Internet Protocol).

  • Cloud-tjenester, e-mail-konti og andre hostede tjenester.

Brug af information og andre relaterede aktiver kræver, at de anvendes på måder, der ikke bringer tilgængeligheden, pålideligheden eller pålideligheden af ​​data, tjenester eller ressourcer i fare. Det involverer også at bruge dem på måder, der ikke strider mod love eller virksomhedens politikker.

Gå til emne
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.10?

Hovedformålet med denne kontrol er at sikre, at oplysninger og relaterede aktiver beskyttes, bruges og administreres korrekt.

ISO 27001:2022 Bilag A Kontrol 5.10 sikrer, at politikker, procedurer og tekniske kontroller er på plads for at forhindre brugere i at mishandle informationsaktiver.

Denne kontrol søger at etablere en struktur for organisationer for at garantere, at information og andre ressourcer er passende beskyttet, ansat og administreret. Det indebærer at sikre, at passende politikker og procedurer findes på alle niveauer i organisationen, samt at implementere dem regelmæssigt.

Implementering af kontrol 5.10 er en del af dit ISMS og sikrer, at din virksomhed har de nødvendige krav på plads for at beskytte sine it-aktiver, såsom:

  • Det er altafgørende at sikre datasikkerheden ved lagring, behandling og transit.

  • Sikring og korrekt anvendelse af IT-udstyr er afgørende. Det er afgørende at sikre dens sikkerhed og bruge den korrekt.

  • Passende autentificeringstjenester er afgørende for reguleringen af ​​adgang til informationssystemer.

  • Behandling af oplysninger inden for en organisation er begrænset til kun dem med den relevante autorisation.

  • Tildeling af datarelaterede opgaver til bestemte personer eller roller.

  • Det er vigtigt at uddanne og træne brugerne i deres sikkerhedsforpligtelser. At sikre, at de forstår deres roller og ansvar, hjælper med at sikre systemets sikkerhed.

Hvad er involveret, og hvordan man opfylder kravene

For at opfylde ISO 27001:2022's Control 5.10-behov er det bydende nødvendigt, at personale, både internt og eksternt, som bruger eller har adgang til organisationens data og yderligere ressourcer, er opmærksomme på virksomhedens forudsætninger for informationssikkerhed.

De ansvarlige bør holdes ansvarlige for de databehandlingsressourcer, de bruger.

Alt personale, der er forbundet med forvaltningen af ​​information og andre relaterede aktiver, bør være opmærksomme på organisationens politik for passende brug. Det er vigtigt, at alle involverede er informeret om retningslinjerne.

Alt personale, der arbejder med information og relaterede aktiver, bør gøres opmærksomme på virksomhedens politik for acceptabel brug. Som en del af den specifikke brugspolitik bør personalet forstå præcist, hvad der forventes af dem med hensyn til disse ressourcer.

Politik skal gøre det klart, at:

  1. Alle medarbejdere skal overholde virksomhedens politikker og procedurer.

  2. Ingen medarbejder må påtage sig nogen aktivitet, der er i modstrid med virksomhedens interesser.

  3. Enhver medarbejder, der ikke overholder virksomhedens politikker og procedurer, vil blive underlagt disciplinære foranstaltninger.

Særlig politik vedrørende emnet bør angive, at alt personale skal overholde virksomhedens direktiver og protokoller:

  • Forventninger og uacceptable handlinger vedrørende informationssikkerhed bør afklares for enkeltpersoner.

  • Tilladt og forbudt brug af information og andre aktiver.

  • Holder øje med organisationens drift.

Udarbejde acceptable brugsprocedurer gennem hele informationens livscyklus i overensstemmelse med dens kategorisering og identificerede risici. Tænk over følgende:

  • Adgangsbegrænsninger for at understøtte beskyttelsen af ​​hvert sikkerhedsniveau skal indføres.

  • Vedligeholdelse af et register over autoriserede brugere af oplysninger og andre tilhørende aktiver.

  • Sørg for, at sikkerheden af ​​midlertidige eller permanente kopier af oplysninger er i overensstemmelse med kravene i konteksten.

  • Det er yderst vigtigt at sikre bevarelsen af ​​de oprindelige data.

  • Opbevaring af aktiver relateret til information i henhold til fabrikantens standarder er afgørende.

  • Marker alle kopier af elektronisk eller fysisk lagringsmedier klart til modtagerens opmærksomhed.

  • Virksomheden giver tilladelse til bortskaffelse af oplysninger og andre aktiver, samt de(n) slettemetode(r), der understøttes.

Forskelle mellem ISO 27001:2013 og ISO 27001:2022

2022-versionen af ​​ISO 27001 blev udgivet i oktober 2022; det er en forbedret version af ISO 27001:2013.

Bilag A 5.10 i ISO 27001:2022 er ikke nyt; det er en blanding af kontroller 8.1.3 og 8.2.3 fra ISO 27001:2013.

Essensen og implementeringsretningslinjerne i bilag A 5.10 ligner dem i kontrol 8.1.3 og 8.2.3, men bilag A 5.10 kombinerer både acceptabel brug af og håndtering af aktiver i én kontrol for brugervenlighed.

Bilag A 5.10 tilføjede yderligere et punkt til 8.2.3, som vedrører godkendelse af bortskaffelse af oplysninger og eventuelle relaterede aktiver samt den eller de anbefalede slettemetoder.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvem er ansvarlig for denne proces?

Denne politik opstiller reglerne for korrekt brug af virksomhedens oplysninger og tilhørende aktiver, såsom computere, netværk og systemer, e-mail, filer og lagermedier. Alle medarbejdere og entreprenører skal overholde den.

Denne politik tjener til:

  1. Giv til enhver tid retningslinjer for passende adfærd.

  2. Skitsér konsekvenserne af ethvert adfærdsbrud.

  3. Sikre et sikkert og respektfuldt miljø for alle.

Formålet med denne politik er at opstille direktiver for passende adfærd og detaljere konsekvenserne af at overtræde dem, for at skabe en sikker, respektfuld atmosfære for alle.

Sikring af, at virksomhedens data og andre relaterede aktiver udelukkende anvendes af gyldige forretningsmæssige årsager. Sikre, at medarbejdere overholder alle love og regler vedrørende informationssikkerhed og forsvare virksomhedens informationer og andre relaterede aktiver mod risici, der stammer fra inden for eller uden for virksomheden.

Information Security Officer (ISO) har til opgave at designe, eksekvere og opretholde den acceptable brug af informationsressourcer.

ISO vil være ansvarlig for at føre tilsyn med brugen af ​​informationsressourcer på tværs af organisationen for at sikre, at data anvendes på en måde, der sikrer sikkerhed og datanøjagtighed, bevarer fortroligheden af ​​private eller sarte oplysninger, afværger misbrug og uautoriseret adgang til computerressourcer, og eliminerer enhver unødvendig eksponering eller ansvar for organisationen.

Hvad betyder disse ændringer for dig?

Den nye ISO 27001:2022-standard er en revision, så du behøver ikke foretage mange ændringer for at overholde den.

Se vores vejledning om ISO 27001:2022 for at lære mere om konsekvenserne af bilag A 5.10 for din virksomhed, og hvordan du viser overholdelse.

Hvordan ISMS.online hjælper

ISMS.online gør ISO 27001 implementering ligetil med en omfattende trin-for-trin tjekliste. Denne vejledning fører dig gennem hele processen, fra at definere dit ISMS-omfang til at identificere risici og implementere kontrolelementer.

Denne model skaber en ramme for opsætning, udnyttelse, drift, observation, evaluering, opretholdelse og udvikling af et Information Security Management System (ISMS).

Gennemførelse af ISO 27001-standard kan være en omfattende bestræbelse, men ISMS.online giver en omfattende, one-stop-løsning for at gøre processen meget lettere.

Vores førsteklasses software til styring af informationssikkerhed tilbyder en ukompliceret måde at forstå, hvad der skal opnås, og hvordan man kommer videre.

Vi gør det nemt at administrere dine compliance-behov. Vi fjerner besværet og stresset ved at opfylde dine krav.

Tag fat i dag for at reservere en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo
Metode med sikre resultater

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere