ISO 27001:2022 Bilag A Kontrol 5.11

Tilbagelevering af aktiver

Book en demo

forretning, møde, på, et, moderne, kontor

ISO 27001:2022 Kontrol 5.11 i bilag A foreskriver, at personale og andre interesserede parter skal returnere alle aktiver ejet af organisationen ved ændring af ansættelse, kontrakt eller aftale.

Ved ophør af ansættelse, kontrakt eller aftale forventes medarbejdere og eksterne brugere at returnere alle oplysninger og organisatoriske aktiver.

Medarbejdere, entreprenører og andre skal være forpligtet til at erstatte alle aktiver. Denne forpligtelse vil være inkluderet i de relevante aftaler med personale, entreprenører og andre.

En solid, dokumenteret proces skal styre tilbageleveringen af ​​aktiver. Denne proces kan dokumenteres for hver enkelt person eller leverandør, der gennemgår den. Bilag A.6.5 for menneskelig ressourcesikkerhed, bilag 6.6 for fortrolighedsaftaler og bilag A.5.20 for leverandøraktivitet tilpasser dette med exitkontrol.

Organisationer skal have skriftlige politikker, der definerer, hvilke aktiver der skal returneres ved opsigelse og personale for at bekræfte modtagelsen og sikre opgørelse og regnskabsføring af aktiver.

Hvad er formålet med bilag A 5.11?

Følgende er eksempler på informationsaktiver for en organisation:

  • Fysiske dokumenter.

  • Digitale filer og databaser.

  • Software programmer.

  • Selv immaterielle genstande som forretningshemmeligheder og intellektuel ejendomsret.

En virksomheds informationsaktiver kan være værdifulde på mange måder. Dette inkluderer at indeholde følsomme oplysninger om sine kunder, medarbejdere eller andre interessenter, som dårlige aktører kan udnytte til økonomisk vinding eller identitetstyveri. Ud over finansiel, forskningsmæssig og operationel information kunne de give dine konkurrenter en konkurrencefordel, hvis de var i stand til at få adgang til den.

Af denne grund skal alle aktiver og aktiver for medarbejdere og entreprenører, der opsiger deres ansættelse i en organisation, returneres.

Som en del af exitprocessen skal aktiver returneres i henhold til processen, medmindre andet er aftalt og dokumenteret:

  • Bilag A.5 skitserer de skridt, der skal tages, hvis ikke-tilbageleveringen registreres som en sikkerhedshændelse.

  • For at sikre fortsat beskyttelse, periodiske aktivrevisioner er også nødvendige for at sikre, at proceduren for tilbagelevering af aktiver er idiotsikker.
Gå til emne

Ændring af ansættelsesstatus i henhold til ISO 27001:2022 bilag a 5.11

Som en del af ændring eller opsigelse af ansættelse, kontrakter eller aftaler, beskytter kontrol 5.11 organisationens aktiver. Det er forbudt for uautoriserede personer at beholde organisationsaktiver (herunder udstyr, information, software osv.) under dette bilag A-kontrol.

Du skal sikre, at dine medarbejdere og entreprenører ikke tager følsomme data ved at identificere potentielle trusler og overvåge brugerens aktivitet, før de forlader.

Når en person opsiges, forhindrer denne bilag A-kontrol vedkommende i at få adgang til it-systemer og netværk. En formel opsigelsesproces bør etableres af organisationer, så enkeltpersoner ikke længere kan få adgang til nogen it-systemer. Du kan opnå dette ved at tilbagekalde alle tilladelser, deaktivere konti og fjerne adgangen til bygningslokaler.

Det er nødvendigt at etablere procedurer for at sikre, at alle medarbejdere, entreprenører og andre relevante parter returnerer alle aktiver, der ikke længere er nødvendige til forretningsformål. Disse aktiver bør udskiftes så hurtigt som muligt.

Organisationer bør også kontrollere den enkeltes arbejdsområde for at sikre, at alle følsomme oplysninger er blevet returneret.

Overvej for eksempel:

  • Organisationens udstyr (laptops og flytbare medier) indsamles ved adskillelse.

  • Ved kontraktafslutning er entreprenører forpligtet til at returnere alt udstyr og information.

Opbygning af en exitproces og hvad du skal gøre

En organisation skal formalisere sin ændrings- eller opsigelsesproces, som omfatter returnering af alle tidligere udstedte fysiske og elektroniske aktiver, der ejes eller er betroet den.

Alle adgangsrettigheder, konti, digitale certifikater og adgangskoder bør også fjernes som en del af processen. Denne formalisering er især kritisk, når en ændring eller opsigelse sker uventet, såsom død eller fratræden. Uautoriseret adgang til organisationens aktiver kan føre til en bruddet hvis ikke forhindret.

En sikker bortskaffelses-/returneringsproces skal sikre, at alle aktiver er bogført.

ISO 27001:2022 kræver, at organisationen identificerer og dokumenterer alle oplysninger og tilknyttede aktiver, der skal returneres, herunder:

  1. Bruger-endepunktsenheder.

  2. Bærbare lagerenheder.

  3. Specialudstyr.

  4. Autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver.

  5. Fysiske kopier af information.

Efter opsigelsen skal brugeren udfylde en formel tjekliste, der indeholder alle de genstande, der skal returneres eller bortskaffes. Denne tjekliste bør indeholde alle nødvendige underskrifter for at bekræfte, at aktiverne er blevet korrekt returneret eller bortskaffet.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001:2013 blev opdateret i oktober 2022 til ISO 27001:2022.

Bilag A kontrol 5.11 er ikke ny, men en ændring af bilag A kontrol 8.1.4 – tilbagelevering af aktiver.

I implementeringsretningslinjerne er bilag A-kontroller i det væsentlige de samme med lignende sprog og fraseologi. Imidlertid, ISO 27001:2022's bilag A kontrol 5.11 har en attributtabel, der lader brugere matche den til det, de implementerer. Kontrol 5.11 i ISO 27001:2022 specificerer, hvilke aktiver der kan returneres ved ansættelses- eller kontraktophør.

Eksempler på disse omfatter:

  • Bruger-endepunktsenheder.

  • Bærbare lagerenheder.

  • Specialudstyr.

  • Autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver.

  • Fysiske kopier af information.

I ISO 27001:2013-versionen er denne liste ikke tilgængelig.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan påvirker disse ændringer dig?

ISO 27001:2022 er en opdatering til 2013-standarden. Det udvalg, der fører tilsyn med standarden, har ikke foretaget væsentlige ændringer.

Hvordan ISMS.online Hjælp

Du kan implementere og administrere et ISO 27001/27001 Information Security Management System med ISMS.online, uanset din erfaring med standarden.

Den perfekte fusion af viden og teknologi til tidlig ISO 27001 succes. ISMS.online indeholder en politik og et værktøj til formueforvaltning.

Med vores system bliver du guidet trin-for-trin gennem opsætning af et ISMS og administration af det:

  • ISMS.online giver en trin-for-trin guide til implementering af ISO 27001/27002 i enhver organisation.

  • Et risikovurderingsværktøj, der guider dig gennem risikoidentifikations- og vurderingsprocessen.

  • Vi tilbyder en politikpakke der kan tilpasses til dine behov online.

  • Håndtering af dokumenter og registreringer som en del af dit ISMS er nemmere med et dokumentkontrolsystem.

  • Bedre beslutningstagning gennem automatisk rapportering.

  • Med vores cloud-baserede platform vil du være i stand til at dokumentere bevis for overholdelse af ISO 27001 rammeværk med en tjekliste over dine processer.

Kontakt i dag for book en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere