ISO 27001:2022 Annex A 5.10 skitserer reglerne for acceptabel brug og procedurer for håndtering af information og andre aktiver.
Disse bør identificeres, dokumenteres og implementeres.
Formålet med disse politikker er at etablere klare instruktioner om, hvordan personalet skal agere i håndteringen af informationsaktiver, hvilket garanterer fortrolighed, pålidelighed og tilgængelighed af organisationens datasikkerhedsaktiver.
Den acceptable brug af Informationsaktiver Politik (AUA) gælder for alle medlemmer af organisationen og alle aktiver, der ejes eller drives af dem. Denne politik gælder for enhver brug, herunder kommercielle formål, af informationsaktiver.
Eksempler på informationsaktiver omfatter:
Brug af information og andre relaterede aktiver kræver, at de anvendes på måder, der ikke bringer tilgængeligheden, pålideligheden eller pålideligheden af data, tjenester eller ressourcer i fare. Det involverer også at bruge dem på måder, der ikke strider mod love eller virksomhedens politikker.
Hovedformålet med denne kontrol er at sikre, at oplysninger og relaterede aktiver beskyttes, bruges og administreres korrekt.
ISO 27001:2022 Bilag A Kontrol 5.10 sikrer, at politikker, procedurer og tekniske kontroller er på plads for at forhindre brugere i at mishandle informationsaktiver.
Denne kontrol søger at etablere en struktur for organisationer for at garantere, at information og andre ressourcer er passende beskyttet, ansat og administreret. Det indebærer at sikre, at passende politikker og procedurer findes på alle niveauer i organisationen, samt at implementere dem regelmæssigt.
Implementering af kontrol 5.10 er en del af dit ISMS og sikrer, at din virksomhed har de nødvendige krav på plads for at beskytte sine it-aktiver, såsom:
For at opfylde ISO 27001:2022's Control 5.10-behov er det bydende nødvendigt, at personale, både internt og eksternt, som bruger eller har adgang til organisationens data og yderligere ressourcer, er opmærksomme på virksomhedens forudsætninger for informationssikkerhed.
De ansvarlige bør holdes ansvarlige for de databehandlingsressourcer, de bruger.
Alt personale, der er forbundet med forvaltningen af information og andre relaterede aktiver, bør være opmærksomme på organisationens politik for passende brug. Det er vigtigt, at alle involverede er informeret om retningslinjerne.
Alt personale, der arbejder med information og relaterede aktiver, bør gøres opmærksomme på virksomhedens politik for acceptabel brug. Som en del af den specifikke brugspolitik bør personalet forstå præcist, hvad der forventes af dem med hensyn til disse ressourcer.
Politik skal gøre det klart, at:
Særlig politik vedrørende emnet bør angive, at alt personale skal overholde virksomhedens direktiver og protokoller:
Udarbejde acceptable brugsprocedurer gennem hele informationens livscyklus i overensstemmelse med dens kategorisering og identificerede risici. Tænk over følgende:
2022-versionen af ISO 27001 blev udgivet i oktober 2022; det er en forbedret version af ISO 27001:2013.
Bilag A 5.10 i ISO 27001:2022 er ikke nyt; det er en blanding af kontroller 8.1.3 og 8.2.3 fra ISO 27001:2013.
Essensen og implementeringsretningslinjerne i bilag A 5.10 ligner dem i kontrol 8.1.3 og 8.2.3, men bilag A 5.10 kombinerer både acceptabel brug af og håndtering af aktiver i én kontrol for brugervenlighed.
Bilag A 5.10 tilføjede yderligere et punkt til 8.2.3, som vedrører godkendelse af bortskaffelse af oplysninger og eventuelle relaterede aktiver samt den eller de anbefalede slettemetoder.
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrol.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Denne politik opstiller reglerne for korrekt brug af virksomhedens oplysninger og tilhørende aktiver, såsom computere, netværk og systemer, e-mail, filer og lagermedier. Alle medarbejdere og entreprenører skal overholde den.
Denne politik tjener til:
Formålet med denne politik er at opstille direktiver for passende adfærd og detaljere konsekvenserne af at overtræde dem, for at skabe en sikker, respektfuld atmosfære for alle.
Sikring af, at virksomhedens data og andre relaterede aktiver udelukkende anvendes af gyldige forretningsmæssige årsager. Sikre, at medarbejdere overholder alle love og regler vedrørende informationssikkerhed og forsvare virksomhedens informationer og andre relaterede aktiver mod risici, der stammer fra inden for eller uden for virksomheden.
Information Security Officer (ISO) har til opgave at designe, eksekvere og opretholde den acceptable brug af informationsressourcer.
ISO vil være ansvarlig for at føre tilsyn med brugen af informationsressourcer på tværs af organisationen for at sikre, at data anvendes på en måde, der sikrer sikkerhed og datanøjagtighed, bevarer fortroligheden af private eller sarte oplysninger, afværger misbrug og uautoriseret adgang til computerressourcer, og eliminerer enhver unødvendig eksponering eller ansvar for organisationen.
Den nye ISO 27001:2022-standard er en revision, så du behøver ikke foretage mange ændringer for at overholde den.
Se vores vejledning om ISO 27001:2022 for at lære mere om konsekvenserne af bilag A 5.10 for din virksomhed, og hvordan du viser overholdelse.
ISMS.online gør ISO 27001 implementering ligetil med en omfattende trin-for-trin tjekliste. Denne vejledning fører dig gennem hele processen, fra at definere dit ISMS-omfang til at identificere risici og implementere kontrolelementer.
Denne model skaber en ramme for opsætning, udnyttelse, drift, observation, evaluering, opretholdelse og udvikling af et Information Security Management System (ISMS).
Gennemførelse af ISO 27001-standard kan være en omfattende bestræbelse, men ISMS.online giver en omfattende, one-stop-løsning for at gøre processen meget lettere.
Vores førsteklasses software til styring af informationssikkerhed tilbyder en ukompliceret måde at forstå, hvad der skal opnås, og hvordan man kommer videre.
Vi gør det nemt at administrere dine compliance-behov. Vi fjerner besværet og stresset ved at opfylde dine krav.
Tag fat i dag for at reservere en demonstration.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo