ISO 27001:2022 Bilag A Kontrol 5.33

Beskyttelse af optegnelser

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

ISO 27001: 2022 Bilag A 5.33 kræver, at alle optegnelser skal beskyttes mod tab, beskadigelse eller ødelæggelse. Der skal træffes aktive foranstaltninger for at sikre, at optegnelser ikke går tabt, beskadiges eller ødelægges.

Nogle organisationer finder det vanskeligt at sortere og administrere registre af overholdelsesårsager.

Registreringer inden for IKT-området omfatter data og information, som en organisation opbevarer og/eller anvender til daglig drift, herunder (blandt andet):

  • Individuelle arrangementer.

  • Transaktioner.

  • Arbejdsprocesser.

  • Aktiviteter.

  • Funktioner.

ISO erklærer optegnelser for at være "enhver indsamling af information, uanset dens sammensætning eller form", herunder "dokumenter, datasæt eller andre former for information, der genereres, erhverves og administreres i forretningssammenhæng", plus data relateret til optage.

Formålet med ISO 27001:2022 bilag A 5.33

Organisationer har en ansvar for at beskytte de data, de besidder – dækkende enkeltpersoner, finansielle detaljer og operationelle områder – samtidig med at de overholder alle gældende regler.

ISO 27001:2022 Bilag A 5.33 omhandler beskyttelsen af ​​forretningsregistre mod fem nøglerisici:

  1. Forfalskning.

  2. Uautoriseret adgang.

  3. Uautoriseret udgivelse eller offentliggørelse.

  4. Tab.

  5. Ødelæggelse.
Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 5.33

Bilag A 5.33 anerkender, at en organisations krav til registreringer, både med hensyn til mængde og type, kan variere fra dag til dag.

ISO 27001:2022 Bilag A 5.33 identificerer fire hovedegenskaber ved poststyring:

  • Integritet.

  • Brugbarhed.

  • Ægthed.

  • Pålidelighed.

ISO 27001:2022 Bilag A 5.33 kræver, at organisationer:

  1. Udarbejd og udgiv retningslinjer, der omhandler fire hovedfunktioner, samt emnespecifikke politikker, der afspejler essensen af ​​optegnelserne.

    • Record bortskaffelse.

    • Forebyggelse af manipulation.

    • Opbevaring.

    • Record håndtering chain of custody.

  2. Oprethold en funktionel journalopbevaringsplan, der specificerer, hvor længe forskellige typer journaler skal opbevares i forbindelse med deres respektive forretningsformål.

  3. Konstruer opbevarings- og håndteringsprocesser, der tager hensyn til:

    • Enhver gældende lovgivning vedrørende kommerciel journalføring skal overholdes.

    • Samfundet og det bredere samfund har forventninger til, hvordan organisationer skal administrere deres optegnelser.

  4. Ødelæg optegnelser på en sikker og passende måde, så snart opbevaringsperioden er afsluttet.

  5. Kategoriser poster i overensstemmelse med deres sikkerhedsrisiko, og overhold de tilsvarende opbevaringsperioder og medier, hvori de er gemt, herunder (men ikke begrænset til):

    • Personalejournaler.

    • Juridiske optegnelser.

    • Regnskabsoptegnelser.

    • Forretningstransaktioner.

  6. Sørg for, at opbevaringsprocedurerne tillader et passende tidsrum til hentning, hvis det anmodes om af en tredjepart eller internt.

  7. Hvor der opbevares elektroniske optegnelser, skal du tænke over og reducere risikoen for, at adgang til eller gendannelse af optegnelser bliver hindret af teknologiske ændringer, såsom opbevaring af kryptografiske detaljer (se ISO 27001:2022 bilag A 8.24).

  8. Følg producentens instruktioner, når du opbevarer eller administrerer optegnelser elektronisk, idet du tager passende hensyn til mediets naturlige forringelse.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 5.33 erstatter ISO 27001:2013 Bilag A 18.1.3 (Beskyttelse af optegnelser) i revideret 2022 ISO-standard.

I ISO 27001:2022 anerkender ISO alvoren af ​​at definere, hvad der udgør en forretningsrekord. ISO 27001:2022 Annex A 5.33 har et væld af eksempler på, hvad ISO anser for at være poster (se ovenfor), som ikke er til stede i ISO 27001:2013 Annex A 18.1.3.

ISO 27001:2022 Annex A 5.33 fremhæver to centrale vejledningspunkter, som danner grundlaget for en organisations journalpolitik. Disse punkter er ikke inkluderet i ISO 27001:2013-versionen. Optegnelsespolitikken fastlægger især, hvor længe registreringer skal opbevares, og eventuelle mediespecifikke krav.

Metadata har fået sin debut inden for arkivhåndtering. Mens ISO 27001:2013 Annex A 18.1.3 ikke refererer til det, betragter ISO 27001:2022 Annex A 5.33 det som en "essentiel komponent".

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online letter dig med at konstruere en sikker infrastruktur til dine data, spore sikkerheden af ​​dine oplysninger, spotte trusler og tage forholdsregler og dyrke en kultur af informationsbeskyttelse.

ISMS.online muliggør dig til:

  • Implementere en Information Security Management System (ISMS) hurtigt.

  • Overvåg nemt dokumentationen for dit ISMS.

  • Sørg for overholdelse af alle gældende standarder.

  • Overvåg hele spektret af informationssikkerhed, lige fra risikostyring til træning i sikkerhedsbevidsthed.

  • Formidl effektivt dit budskab på tværs af din organisation med vores integrerede kommunikationsfunktioner.

Kontakt nu for at arrangere en demonstration.

Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.

Carl Vaughan
Infosec Lead, MetCloud

Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere