ISO 27001:2022 Bilag A 5.35

Uafhængig gennemgang af informationssikkerhed

Book en demo

nærbillede af,mandlige,hænder,bruger,laptop,på,kontor,mandshænder

Informationssikkerhed er en grundlæggende komponent i en organisations datastyringspolitikker.

Det er vigtigt, at virksomheder sikrer, at deres data er sikre, da dette er en nøglefaktor for at undgå ubehagelige konsekvenser. At sikre, at oplysningerne er sikre og sikre, hjælper med at forhindre potentielle problemer.

Det er bydende nødvendigt at undgå enhver følelse af selvtilfredshed, og derfor skal der udføres regelmæssige uafhængige anmeldelser for at vurdere organisationens ledelse af de mennesker, processer og teknologier, der er involveret i at opretholde en vellykket informationssikkerhedsoperation.

Formål med ISO 27001:2022 bilag A 5.35

Organisationer bør udføre uafhængige gennemgange med planlagte intervaller, og når der sker større driftsændringer, for at sikre, at deres politikker for informationssikkerhedsstyring forbliver intakte i henhold til ISO 27001:2022 Bilag A Kontrol 5.35 for at sikre, at:

  • De har evnen til at opfylde de passende krav.

  • De stræber efter at nå de rigtige mål.

  • Deres præstation er effektiv; de fungerer som designet.

Ejerskab af bilag A 5.35

ISO 27001: 2022 Bilag A Kontrol 5.35 fokuserer primært på operationelle anliggender, så ejerskabet bør ejes af Chief Operating Officer (COO) or Chief Information Security Officer (CISO) hvis man er til stede.

Gå til emne
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo
Metode med sikre resultater

Generel vejledning om ISO 27001:2022 Bilag A 5.35

Målet for ledelsen er at udtænke og udføre procedurer, der giver mulighed for separate gennemgange af deres informationssikkerhedspraksis.

Anmeldelser bør fokusere på at identificere områder for forbedring af en organisations tilgang til informationssikkerhed, herunder:

En person uden for organisationen uden personlig interesse i sagen bør foretage en gennemgang. Dette kan være en person fra organisationen eller en uafhængig tredjepart, såsom:

  • Interne revisorer er ansvarlige for at vurdere effektiviteten af ​​en virksomheds interne kontrolsystemer og procedurer.

  • Uafhængige afdelingsledere.

  • Tredjepartsorganisationer kan blive engageret til at levere tjenester.

Den, der udfører gennemgangen, bør besidde de nødvendige operationelle færdigheder til at foretage en gyldig bedømmelse af deres resultater. I tilfælde af internt personale bør deres jobrolle ikke begrænse dem i at levere en berettiget og gyldig vurdering.

Gennemgangens resultater bør omhyggeligt logges, opbevares og rapporteres til de ledere, der anmodede om det, og i nogle tilfælde til C-niveau personale eller ejerskab.

Korrekturlæsere bør vurdere, om informationssikkerhedspraksis er i overensstemmelse med organisationens fastsatte mål og krav, som er detaljeret beskrevet i informationssikkerhedspolitikken og eventuelle emnespecifikke politikker.

Periodiske gennemgange kan suppleres med ad hoc. Fem grunde til sådanne anmeldelser kan identificeres:

  1. Ændringer i love, retningslinjer eller regler, der påvirker organisationens informationssikkerhedsdrift, skal overholdes.

  2. Der opstår væsentlige hændelser, som har betydning for informationssikkerheden, såsom tab af data og indtrængen.

  3. En ny virksomhed etableres, eller der foretages større transformationer af den eksisterende virksomhed.

  4. Virksomheden påtager sig et nyt produkt eller en ny tjeneste, der har betydning for informationssikkerhed eller ændrer et eksisterende produkt eller en tjeneste.

  5. Væsentlige ændringer udføres i organisationens bank af informationssikkerhedskontroller, regler og processer.

Supplerende vejledning om bilag A 5.35

ISO/IEC 27007 og ISO/IEC TS 27008 giver yderligere råd om udførelse af uafhængige anmeldelser.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 5.35 erstatter ISO 27001:2013 Bilag A 18.1.2 (Uafhængig gennemgang af informationssikkerhed).

ISO 27001:2022 Annex A 5.35 tilbyder de samme generelle instruktioner som ISO 27001:2013 Annex A 18.1.2, men går ud over det for at give specifikke eksempler på, hvornår en organisation bør lave ad-hoc-vurderinger ud over dens regelmæssige gennemgange.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online forenkler og accelererer ISO 27001:2022 implementering gennem sin skybaseret platform. Det tilbyder en sofistikeret ramme for optagelse informationssikkerhedsstyringssystem procedurer og tjeklister for at sikre overholdelse af accepterede standarder.

Ved at bruge ISMS.online kan du:

1. Få adgang til et omfattende bibliotek af ISO 27001 standarder og retningslinjer;

2. Generer en detaljeret rapport over din virksomheds aktuelle sikkerhedsstatus;

3. Design og implementer et sikkerhedsstyringssystem, der opfylder din virksomheds behov;

4. Overvåg og gennemgå dine sikkerhedssystemer løbende.

Kontakt os nu for at arrangere en demonstration.

Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.

Carl Vaughan
Infosec Lead, MetCloud

Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere