ISO 27001:2022 Bilag A Kontrol 5.14

Informationsoverførsel

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

Formålet med ISO 27001:2022 Annex A 5.14 er at sikre sikkerheden for alle brugerenheder.

Det betyder, at der skal træffes foranstaltninger for at beskytte enhederne mod ondsindet software og andre trusler, samt for at bevare fortroligheden, integriteten og tilgængeligheden af ​​de data, der er lagret på dem.

ISO 27001: 2022 Bilag A Kontrol 5.14 giver organisationer mandat til at installere de nødvendige regler, procedurer eller kontrakter for at opretholde datasikkerheden, når de deles internt eller sendes til eksterne parter.

Ejerskab af ISO 27001:2022 Bilag A Kontrol 5.14

Den øverste ledelses opbakning og accept er afgørende for dannelsen og udførelsen af ​​regler, protokoller og kontrakter.

Det er dog bydende nødvendigt at have samarbejdet og specialistviden fra forskellige aktører i organisationen, såsom det juridiske personale, it-personale og topfolk.

Det juridiske team bør sikre, at organisationen indgår overførselsaftaler, der overholder ISO 27001:2022 Bilag A Kontrol 5.14. Derudover bør it-teamet være aktivt involveret i at specificere og udføre kontroller til sikring af data, som angivet i 5.14.

Gå til emne

100 % af vores brugere opnår ISO 27001-certificering første gang

Start din rejse i dag
Book din demo

Generel vejledning om ISO 27001:2022 Bilag A 5.14

At sikre overholdelse af 5.14 kræver oprettelse af regler, procedurer og aftaler, herunder en dataoverførselspolitik, der er specifik for emnet, og giver data i transit et passende beskyttelsesniveau i henhold til den klassifikation, de er tildelt.

Sikkerhedsniveauet bør være proportionalt med vigtigheden og følsomheden af ​​de data, der sendes. ISO 27001:2022 Annex A 5.14 kræver også, at organisationer indgår overførselsaftaler med modtagende tredjeparter for at sikre sikker transmission af data.

ISO 27001:2022 Bilag A Kontrol 5.14 kategoriserer overførselstyper i tre grupper:

  • Elektronisk overførsel.

  • Fysisk lagringsmedier overførsel.

  • Verbal overførsel.

Før du går videre med at detaljere de specifikke krav til hver type overførsel, ISO 27001: 2022 Bilag A Kontrol 5.14 skitserer de elementer, der skal være til stede i alle regler, procedurer og kontrakter vedrørende alle tre overførsler generelt:

  • Organisationer skal fastlægge passende kontroller baseret på klassifikationsniveauet af informationer for at beskytte dem under transit mod uautoriseret adgang, ændring, aflytning, duplikering, ødelæggelse og denial-of-service-angreb.

  • Organisationer skal holde styr på kæden af ​​opbevaring under transit og etablere og udføre kontroller for at sikre sporbarheden af ​​data.

  • Angiv, hvem der er involveret i dataoverførslen, og giv deres kontaktoplysninger, såsom dataejerne og sikkerhedspersonalet.

  • I tilfælde af et brud på datasikkerheden fordeles ansvar.

  • Implementer et mærkningssystem for at holde styr på varer.

  • Sikring af overførselstjenesten er tilgængelig.

  • Retningslinjer vedrørende metoder til informationsoverførsel skal udvikles efter specifikke emner.

  • Retningslinjer for opbevaring og kassering af alle forretningsdokumenter, herunder meddelelser, skal følges.

  • Undersøg, hvilken indvirkning eventuelle gældende love, regler eller andre forpligtelser kan have på overførslen.

Supplerende vejledning om elektronisk overførsel

ISO 27001:2022 Bilag A Kontrol 5.14 beskriver de specifikke indholdskrav til regler, procedurer og aftaler forbundet med de tre typer overførsler. Minimumskravene til indhold skal overholdes på tværs af alle tre.

Regler, aftaler og procedurer bør tage højde for følgende overvejelser ved elektronisk overførsel af information:

  • Identifikation og modvirkning af malware-angreb er altafgørende. Det er vigtigt, at du bruger den nyeste teknologi til at opdage og forhindre angreb fra skadelig software.

  • Sikring af sikkerhed for fortrolige oplysninger findes i de tilsendte vedhæftede filer.

  • Sørg for, at kommunikation sendes til de relevante modtagere ved at undgå risikoen for at sende til den forkerte e-mailadresse, adresse eller telefonnummer.

  • Få tilladelse, før du begynder at bruge offentlige kommunikationstjenester.

  • Der bør anvendes strengere autentificeringsmetoder, når der sendes data via offentlige netværk.

  • Indførelse af grænser for brugen af ​​e-kommunikationstjenester, f.eks. forbud mod automatisk videresendelse.

  • Råd til personalet om at undgå at bruge SMS- eller onlinemeddelelsestjenester til at dele følsomme data, da indholdet kan ses af uautoriserede personer i offentlige områder.

  • Rådgive personale og andre interesserede parter om de beskyttelsesrisici, som faxmaskiner kan udgøre, såsom uautoriseret adgang eller vildledende beskeder til bestemte numre.

Supplerende vejledning om fysisk lagringsmedieoverførsel

Når oplysninger deles fysisk, bør regler, procedurer og aftaler omfatte:

  • Parterne er ansvarlige for at underrette hinanden om transmission, afsendelse og modtagelse af oplysninger.

  • Sikre, at beskeden er adresseret korrekt og sendt korrekt.

  • God indpakning eliminerer risikoen for beskadigelse af indholdet under transporten. For eksempel skal emballagen være modstandsdygtig over for varme og fugt.

  • En pålidelig, autoriseret kurerliste er blevet aftalt af ledelsen.

  • En oversigt over kureridentifikationsstandarder.

  • Til følsomme og kritiske oplysninger bør der anvendes manipulationssikre poser.

  • Det er vigtigt at bekræfte kurerernes identitet.

  • Denne liste over tredjeparter, klassificeret efter deres serviceniveau, leverer transport- eller kurertjenester og er blevet godkendt.

  • Notér leveringstidspunktet, autoriseret modtager, trufne sikkerhedsforanstaltninger og bekræftelse af modtagelsen på destinationen i en log.

Supplerende vejledning om verbal overførsel

Personalet skal gøres opmærksom på de risici, der er forbundet med udveksling af information i organisationen eller overførsel af data til eksterne parter, i overensstemmelse med ISO 27001:2022 Bilag A Kontrol 5.14. Disse risici omfatter:

  • De bør afholde sig fra at diskutere fortrolige spørgsmål i usikre offentlige kanaler eller i offentlige områder.

  • Man bør ikke efterlade voicemails med fortrolig information på grund af faren for genafspilning af personer, der ikke er autoriseret, samt risikoen for omdirigering til tredjepart.

  • Enkeltpersoner, både personale og andre relevante tredjeparter, bør screenes, inden de får adgang til samtaler.

  • Lokaler, der bruges til fortrolige samtaler, bør være udstyret med den nødvendige lydisolering.

  • Inden der indledes en følsom dialog, bør der udstedes en ansvarsfraskrivelse.

Ændringer og forskelle fra ISO 27001:2013?

ISO 27001:2022 Bilag A 5.14 erstatter ISO 27001:2013 Bilag A 13.2.1, 13.2.2 og 13.2.3.

De to kontroller har en vis lighed, men to store forskelle gør kravene i 2022 mere byrdefulde.

Specifikke krav til elektriske, fysiske og verbale overførsler

Afsnit 13.2.3 i 2013-versionen dækkede de særlige krav til transmission af data via elektroniske beskeder.

Den omhandlede dog ikke specifikt overførsel af information ad verbale eller fysiske midler.

Til sammenligning er 2022-versionen præcis i sin identifikation af tre typer informationsoverførsel og skitserer det nødvendige indhold for hver af dem individuelt.

ISO 27001:2022 stiller strengere krav til elektronisk overførsel

Afsnit 13.2.3 i 2022-versionen opstiller strengere krav til indholdet af elektroniske meddelelsesaftaler.

Organisationer skal detaljere og udføre nye regler for digitale overførsler i form af regler, procedurer og kontrakter for ISO 27001:2022.

For eksempel bør organisationer advare deres personale mod at bruge SMS-tjenester, når de sender følsomme oplysninger.

Detaljerede krav til fysiske overførsler

2022-versionen pålægger strengere regler for fysisk overførsel af lagermedier. For eksempel er den mere grundig i sin autentificering af kurerer og sikrer mod forskellige former for skader.

Strukturelle ændringer

I 2013-versionen blev der eksplicit henvist til de nødvendige krav i aftaler om informationsoverførsel. Men "Reglerne" og "Procedurerne" blev ikke skitseret i detaljer.

For ISO 27001:2022 er der skitseret specifikke kriterier for hver af de tre tilgange.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Implementering af ISO 27001:2022 kan gøres enklere med vores trin-for-trin tjekliste. Det vil guide dig gennem hele processen fra at definere omfanget af dit ISMS til identificere risici og implementering af kontroller.

Book din demonstration i dag. Der er ledige tider syv dage om ugen, så planlæg din kl en tid der virker for dig.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere