Formålet med ISO 27001:2022 Annex A 5.3 – adskillelse af opgaver i form af funktionel adskillelse er at etablere en ledelsesramme, der skal bruges til at igangsætte og kontrollere implementering og drift af informationssikkerhed i en virksomhed.
I henhold til ISO 27001:2022 Bilag A kontrol 5.3, tidligere kendt som 6.1.2 i ISO 27001:2013, er modstridende pligter og modstridende ansvarsområder adskilt.
En organisation bør overveje og implementere passende adskillelse af opgaver som en del af risikovurderings- og behandlingsprocessen. Selvom mindre organisationer kan have svært ved dette, bør princippet anvendes så meget som muligt, og der bør indføres ordentlig styring og kontrol mht. informationsaktiver med en højere risiko/højere værdi.
For at reducere sandsynligheden for uautoriseret eller utilsigtet ændring eller misbrug af organisationens aktiver, skal modstridende pligter og ansvarsområder adskilles.
Næsten hver organisation har et sæt politikker og procedurer, der styrer dens interne drift. Disse politikker og procedurer formodes at være dokumenteret, men det er ikke altid tilfældet.
Der er en fare for, at medarbejderne bliver forvirrede over deres ansvarsområder, hvis P&P'erne ikke er gennemsigtige eller godt kommunikeret. Dette bliver endnu mere problematisk, når medarbejderne har overlappende eller modstridende ansvarsområder.
Lejlighedsvis kan der opstå konflikter, når medarbejdere har ansvar relateret til en bestemt opgave, der ligner eller er forskellige. Som følge heraf kan medarbejderne gøre det samme to gange eller udføre forskellige funktioner, der annullerer andres indsats. Dette spilder virksomhedens ressourcer og reducerer produktiviteten, hvilket påvirker virksomhedens bundlinje og moral negativt.
Dette problem kan undgås ved at sikre at din organisation ikke oplever modstridende ansvarsområder og ved hvorfor og hvad du kan gøre for at forhindre dem. For det meste betyder det at adskille opgaver, så forskellige mennesker varetager forskellige organisatoriske roller.
I ISO 27001 sigter Kontrol 5.3 Opdeling af pligter mod at adskille modstridende pligter. Dette reducerer risikoen for svindel og fejl og omgår informationssikkerhed kontroller.
I overensstemmelse med ISO 27001, Bilag A Kontrol 5.3 beskriver implementeringsretningslinjerne for adskillelse af organisatoriske opgaver og pligter.
Ved at uddelegere delopgaver til forskellige individer skaber dette princip et system af checks and balances, der kan reducere sandsynligheden for, at fejl og svig opstår.
Kontrollen er designet til at forhindre, at en enkelt person er i stand til at begå, skjule og retfærdiggøre upassende handlinger og derved reducere risikoen for svindel og fejl. Det forhindrer også en enkelt person i at tilsidesætte informationssikkerhedskontrol.
I tilfælde, hvor én medarbejder har alle de rettigheder, der kræves til opgaven, er der større sandsynlighed for, at der opstår svindel og fejl. Dette skyldes, at én person kan udføre alt uden nogen form for checks og balances. Der er dog en reduceret risiko for betydelig skade eller økonomisk tab fra en medarbejder, når ingen enkelt person har alle de adgangsrettigheder, der kræves til en bestemt opgave.
I mangel af korrekt adskillelse af opgaver og ansvar kan der opstå svindel, misbrug, uautoriseret adgang og andre sikkerhedsproblemer.
Derudover er adskillelse af opgaver påkrævet for at mindske risikoen for samarbejde mellem enkeltpersoner. Disse risici øges, når utilstrækkelige kontroller forhindrer eller opdager hemmeligt samarbejde.
Som en del af ISO 27001:2022 organisationen bør bestemme, hvilke pligter og ansvarsområder der er behov for at blive adskilt og implementere handlingsrettede adskillelseskontroller.
Når sådanne kontroller ikke er mulige, især for små organisationer med et begrænset antal ansatte, skal aktivitetsovervågning, revisionsspor, og ledelsestilsyn kan anvendes. Ved hjælp af automatiserede værktøjer kan større organisationer identificere og adskille roller for at forhindre modstridende roller i at blive tildelt.
ISO 27001:2022's bilag A kontrol 5.3 Opdeling af opgaver er en revideret version af ISO 27001:2013's bilag A kontrol 6.1.2 Opdeling af opgaver.
Bilag A 5.3 ISO 27001:2022 og Bilag A 6.1.2 ISO 27001:2013 beskriver de samme grundlæggende egenskaber ved kontrollen "Opdeling af opgaver". Den seneste version definerer dog en række aktiviteter, der kræver adskillelse under implementeringen.
Blandt disse aktiviteter er:
a) igangsætte, godkende og udføre en ændring;
b) anmode om, godkende og implementere adgangsrettigheder;
c) designe, implementere og gennemgå kode;
d) udvikling af software og administration af produktionssystemer;
e) brug og administration af applikationer;
f) brug af applikationer og administration af databaser;
g) design, revision og sikring af informationssikkerhedskontroller.
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
| Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Flere personer er ansvarlige for adskillelsen af opgaver i ISO 27001, begyndende med et medlem af seniorledelsen. Denne person er ansvarlig for at sikre, at den indledende risikovurdering har fundet sted.
Som følge heraf bør andre grupper af kvalificerede medarbejdere tildeles processer, der gælder for forskellige dele af organisationen. Ordre for at forhindre useriøse medarbejdere i at underminere virksomhedens sikkerhed sker normalt ved at tildele opgaver til andre arbejdsenheder og afdelingsfordeling af it-relaterede drift- og vedligeholdelsesaktiviteter.
Funktionsadskillelsen kan ikke etableres korrekt uden en effektiv risikostyring strategi, et passende kontrolmiljø og et passende it-revisionsprogram.
ISO 27001:2022 kræver kun, at du opdaterer dine ISMS-processer, så de afspejler de forbedrede Annex A-kontroller, og hvis dit team ikke kan administrere dette, kan ISMS.online det.
Foruden DPIA og andre relaterede persondatavurderinger, ligesom LIA'er, giver ISMS.online enkle, praktiske rammer og skabeloner til informationssikkerhed.
Med ISMS.online, kan du dokumentere procedurer og tjeklister for informationssikkerhedsstyringssystem for at sikre overholdelse af ISO 27001, hvilket automatiserer implementeringsprocessen.
ISMS.online giver dig mulighed for:
Ved at bruge vores cloud-baserede platform kan du centralt administrere tjeklister, interagere med kolleger og bruge et omfattende sæt værktøjer til at hjælpe din organisation med at skabe og vedligeholde en ismer.
Kontakt i dag for book en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
