ISO 27001:2022 Bilag A Kontrol 5.2

Informationssikkerhedsroller og -ansvar

Book en demo

fra,over,af,gruppe,af,forskellige,kolleger,i,formelle,tøj

Det er nemt for dig at overholde ISO 27001:2022 Annex 5.2, når du arbejder med ISMS.online.

Dette bilag A 5.2 opstiller en ramme for initiering og kontrol informationssikkerhed inden for organisationen.

Styringen beskrevet i Bilag A – Informationssikkerhedsroller og -ansvar – er en væsentlig komponent i ISO 27001:2022.

Dette er en væsentlig del af informationssikkerhedsstyringssystem (ISMS), især hvis du forsøger at opnå ISO 27001-certificering. Lad os undersøge disse krav og hvad de betyder mere detaljeret.

Hvad er formålet med ISO 27001:2022 Annex A 5.2?

I overensstemmelse med bilag A 5.2 etablerer dette afsnit en defineret, godkendt og forstået struktur for implementering, drift og styring af informationssikkerhed i organisationen.

Den formelle organisationsstruktur tildeler ansvaret for informationssikkerheden til alle medarbejdere.

Gå til emne

ISO 27001:2022 Bilag A 5.2 Forklaret

I overensstemmelse med ISO 27001, Bilag A 5.2 omhandler implementering, drift og styring af en organisations roller og ansvar for informationssikkerhed.

Som angivet i bilag A 5.2 skal alle involverede klart definere og forstå informationssikkerhedsansvar og roller. Aktiver tildeles normalt til en udpeget ejer, der dagligt er ansvarlig for deres pleje.

A dedikeret team kan håndtere informationssikkerhed, eller yderligere ansvar kan tildeles specifikke medarbejdere afhængigt af organisationens størrelse og ressourcer.

Definition af informationssikkerhedsroller og -ansvar

Der skal være en klar definition og allokering af alle informationssikkerhedsansvar.

Som en del af informationssikkerhedsansvaret er der generelle ansvarsområder (f.eks. ansvaret for at beskytte oplysninger) og specifikke pligter (f.eks. ansvaret for at give særlige tilladelser).

Hvis ansvar skal defineres, er det afgørende at overveje ejerskabet eller grupperingerne af informationsaktiver.

Mange typer af forretningsroller kan være relevante for informationssikkerheden, herunder afdelingschefer, ejere af forretningsprocesser, facility managers, personaleledere og interne revisorer.

Et robust informationssikkerhedssystem afhænger af flere faktorer: lederen af ​​organisationen, chefen for informationssikkerheden (CISO), IT-serviceledelsen (ITSM), systemejere og alle systembrugere.

As del af deres revision, vil revisor søge forsikringer om, at organisationen klart har defineret, hvem der er ansvarlig for hvilke funktioner, og at de har gjort det forholdsmæssigt og tilstrækkeligt ud fra dens størrelse og karakter.

Som følge heraf er det generelt ikke muligt at have fuldtidsroller forbundet med disse roller og ansvar i mindre organisationer. Derfor er det afgørende at afklare specifikke informationssikkerhedsansvar inden for eksisterende jobroller. CEO'er og Operations Directors kunne svare til CISO'er, Chief Information Security Officers, med det overordnede ansvar for alle informationssikkerhedssystemer. CTO'en kan eje informationsaktiver vedrørende teknologi.

Skab en informationssikkerhedskultur i din organisation

En stærk sikkerhedskultur tilskynder brugerne til at overholde sikkerhedsregler og -procedurer. Ethvert system har iboende farer, og det er op til brugerne at afbøde disse risici.

Til sikre, at hver medarbejder forstår hvad de er ansvarlige for med hensyn til beskyttelse af data, systemer og netværk, skal denne bilag A-kontrol behandles, for at det kan lykkes.

Sådan opfylder du kravene i bilag A 5.2 og hvad er involveret

Det er væsentligt at formalisere og dokumentere rollefordelingen, fx i en tabel eller et organisationsdiagram, så bilag A-kontrollen kan opfyldes:

  • Informationssikkerhedsansvar og -ansvar bør tildeles specifikke ledelsesroller eller jobfunktioner.

  • For at sikre, at der rettes passende ledelses opmærksomhed på informationssikkerhed, bør denne bilag A-kontrol give klarhed vedrørende de forskellige roller og ansvarsområder i organisationen.

  • Yderligere uddannelse bør gives til individuelle steder og behandlingsfaciliteter, hvis det er nødvendigt, for at hjælpe med at opfylde disse ansvarsområder.

Organisationer bør tildele og forstå klare roller, ansvarsområder og myndigheder. Roller og ansvar skal dokumenteres, kommunikeres og anvendes konsekvent på tværs af organisationen for at sikre tilstrækkelig adskillelse af opgaver.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvad ISMS.online kan gøre for dig

For at opfylde ISO 27001:2022-kravene behøver du kun at opgradere dit sikkerhedsstyringssystems processer, så de afspejler de forbedrede kontroller. Hvis dit interne team ikke kan håndtere dette, kan ISMS.online hjælpe.

Vores cloud-baserede software gør det nemt at administrere dine ISMS-løsninger fra ét sted.

Med vores brugervenlige applikation kan du spore alt, hvad der er nødvendigt for at sikre overensstemmelse med ISO 2K7.

Ved at bruge vores intuitive arbejdsgang og værktøjer, herunder rammer, politikker, kontroller, handlingsvenlig dokumentation og vejledning, ISO 27001 implementering er forenklet.

Med vores platform, kan du nemt definere omfanget af ISMS, identificere risici og implementere kontroller.

For at lære mere om, hvordan ISMS.online kan hjælpe dig med at nå dine ISO 2K7-mål, bedes du ringe til os på +44 (0)1273 041140.

Kontakt i dag for book en demo.

Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.

Carl Vaughan
Infosec Lead, MetCloud

Book din demo

Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere