ISO 27001:2022 Bilag A 5.14 – Informationsoverførsel

Ejerskab af ISO 27001:2022 Bilag A Kontrol 5.14

Den øverste ledelses opbakning og accept er afgørende for dannelsen og udførelsen af ​​regler, protokoller og kontrakter.

Det er dog bydende nødvendigt at have samarbejdet og specialistviden fra forskellige aktører i organisationen, såsom det juridiske personale, it-personale og topfolk.

Det juridiske team bør sikre, at organisationen indgår overførselsaftaler, der overholder ISO 27001:2022 Bilag A Kontrol 5.14. Derudover bør it-teamet være aktivt involveret i at specificere og udføre kontroller til sikring af data, som angivet i 5.14.

Generel vejledning om ISO 27001:2022 Bilag A 5.14

At sikre overholdelse af 5.14 kræver oprettelse af regler, procedurer og aftaler, herunder en dataoverførselspolitik, der er specifik for emnet, og giver data i transit et passende beskyttelsesniveau i henhold til den klassifikation, de er tildelt.

Sikkerhedsniveauet bør være proportionalt med vigtigheden og følsomheden af ​​de data, der sendes. ISO 27001:2022 Annex A 5.14 kræver også, at organisationer indgår overførselsaftaler med modtagende tredjeparter for at sikre sikker transmission af data.

ISO 27001:2022 Bilag A Kontrol 5.14 kategoriserer overførselstyper i tre grupper:

• Elektronisk overførsel.
• Fysisk lagringsmedier overførsel.
• Verbal overførsel.

Før du går videre med at detaljere de specifikke krav til hver type overførsel, ISO 27001: 2022 Bilag A Kontrol 5.14 skitserer de elementer, der skal være til stede i alle regler, procedurer og kontrakter vedrørende alle tre overførsler generelt:

• Organisationer skal fastlægge passende kontroller baseret på klassifikationsniveauet af informationer for at beskytte dem under transit mod uautoriseret adgang, ændring, aflytning, duplikering, ødelæggelse og denial-of-service-angreb.
• Organisationer skal holde styr på kæden af ​​opbevaring under transit og etablere og udføre kontroller for at sikre sporbarheden af ​​data.
• Angiv, hvem der er involveret i dataoverførslen, og giv deres kontaktoplysninger, såsom dataejerne og sikkerhedspersonalet.
• I tilfælde af et brud på datasikkerheden fordeles ansvar.
• Implementer et mærkningssystem for at holde styr på varer.
• Sikring af overførselstjenesten er tilgængelig.
• Retningslinjer vedrørende metoder til informationsoverførsel skal udvikles efter specifikke emner.
• Retningslinjer for opbevaring og kassering af alle forretningsdokumenter, herunder meddelelser, skal følges.
• Undersøg, hvilken indvirkning eventuelle gældende love, regler eller andre forpligtelser kan have på overførslen.

Supplerende vejledning om elektronisk overførsel

ISO 27001:2022 Bilag A Kontrol 5.14 beskriver de specifikke indholdskrav til regler, procedurer og aftaler forbundet med de tre typer overførsler. Minimumskravene til indhold skal overholdes på tværs af alle tre.

Regler, aftaler og procedurer bør tage højde for følgende overvejelser ved elektronisk overførsel af information:

• Identifikation og modvirkning af malware-angreb er altafgørende. Det er vigtigt, at du bruger den nyeste teknologi til at opdage og forhindre angreb fra skadelig software.
• Sikring af sikkerhed for fortrolige oplysninger findes i de tilsendte vedhæftede filer.
• Sørg for, at kommunikation sendes til de relevante modtagere ved at undgå risikoen for at sende til den forkerte e-mailadresse, adresse eller telefonnummer.
• Få tilladelse, før du begynder at bruge offentlige kommunikationstjenester.
• Der bør anvendes strengere autentificeringsmetoder, når der sendes data via offentlige netværk.
• Indførelse af grænser for brugen af ​​e-kommunikationstjenester, f.eks. forbud mod automatisk videresendelse.
• Råd til personalet om at undgå at bruge SMS- eller onlinemeddelelsestjenester til at dele følsomme data, da indholdet kan ses af uautoriserede personer i offentlige områder.
• Rådgive personale og andre interesserede parter om de beskyttelsesrisici, som faxmaskiner kan udgøre, såsom uautoriseret adgang eller vildledende beskeder til bestemte numre.

Supplerende vejledning om fysisk lagringsmedieoverførsel

Når oplysninger deles fysisk, bør regler, procedurer og aftaler omfatte:

• Parterne er ansvarlige for at underrette hinanden om transmission, afsendelse og modtagelse af oplysninger.
• Sikre, at beskeden er adresseret korrekt og sendt korrekt.
• God indpakning eliminerer risikoen for beskadigelse af indholdet under transporten. For eksempel skal emballagen være modstandsdygtig over for varme og fugt.
• En pålidelig, autoriseret kurerliste er blevet aftalt af ledelsen.
• En oversigt over kureridentifikationsstandarder.
• Til følsomme og kritiske oplysninger bør der anvendes manipulationssikre poser.
• Det er vigtigt at bekræfte kurerernes identitet.
• Denne liste over tredjeparter, klassificeret efter deres serviceniveau, leverer transport- eller kurertjenester og er blevet godkendt.
• Notér leveringstidspunktet, autoriseret modtager, trufne sikkerhedsforanstaltninger og bekræftelse af modtagelsen på destinationen i en log.

Supplerende vejledning om verbal overførsel

Personalet skal gøres opmærksom på de risici, der er forbundet med udveksling af information i organisationen eller overførsel af data til eksterne parter, i overensstemmelse med ISO 27001:2022 Bilag A Kontrol 5.14. Disse risici omfatter:

• De bør afholde sig fra at diskutere fortrolige spørgsmål i usikre offentlige kanaler eller i offentlige områder.
• Man bør ikke efterlade voicemails med fortrolig information på grund af faren for genafspilning af personer, der ikke er autoriseret, samt risikoen for omdirigering til tredjepart.
• Enkeltpersoner, både personale og andre relevante tredjeparter, bør screenes, inden de får adgang til samtaler.
• Lokaler, der bruges til fortrolige samtaler, bør være udstyret med den nødvendige lydisolering.
• Inden der indledes en følsom dialog, bør der udstedes en ansvarsfraskrivelse.

Ændringer og forskelle fra ISO 27001:2013?

ISO 27001:2022 Bilag A 5.14 erstatter ISO 27001:2013 Bilag A 13.2.1, 13.2.2 og 13.2.3.

De to kontroller har en vis lighed, men to store forskelle gør kravene i 2022 mere byrdefulde.

Specifikke krav til elektriske, fysiske og verbale overførsler

Afsnit 13.2.3 i 2013-versionen dækkede de særlige krav til transmission af data via elektroniske beskeder.

Den omhandlede dog ikke specifikt overførsel af information ad verbale eller fysiske midler.

Til sammenligning er 2022-versionen præcis i sin identifikation af tre typer informationsoverførsel og skitserer det nødvendige indhold for hver af dem individuelt.

ISO 27001:2022 stiller strengere krav til elektronisk overførsel

Afsnit 13.2.3 i 2022-versionen opstiller strengere krav til indholdet af elektroniske meddelelsesaftaler.

Organisationer skal detaljere og udføre nye regler for digitale overførsler i form af regler, procedurer og kontrakter for ISO 27001:2022.

For eksempel bør organisationer advare deres personale mod at bruge SMS-tjenester, når de sender følsomme oplysninger.

Detaljerede krav til fysiske overførsler

2022-versionen pålægger strengere regler for fysisk overførsel af lagermedier. For eksempel er den mere grundig i sin autentificering af kurerer og sikrer mod forskellige former for skader.

Strukturelle ændringer

I 2013-versionen blev der eksplicit henvist til de nødvendige krav i aftaler om informationsoverførsel. Men "Reglerne" og "Procedurerne" blev ikke skitseret i detaljer.

For ISO 27001:2022 er der skitseret specifikke kriterier for hver af de tre tilgange.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvordan ISMS.online hjælper

Implementering af ISO 27001:2022 kan gøres enklere med vores trin-for-trin tjekliste. Det vil guide dig gennem hele processen fra at definere omfanget af dit ISMS til identificere risici og implementering af kontroller.

Book din demonstration i dag. Der er ledige tider syv dage om ugen, så planlæg din kl en tid der virker for dig.