- Se ISO 27002:2022 Kontrol 5.36 for mere information.
- Se ISO 27001:2013 Bilag A 18.2.2 for mere information.
- Se ISO 27001:2013 Bilag A 18.2.3 for mere information.
Hvad er formålet med ISO 27001:2022 Annex A 5.36?
ISO 27001:2022 Bilag A 5.36 opfordrer organisationer til at få et top-down perspektiv på deres informationssikkerhed overholdelse, som afspejlet i deres politikker (både generelle og aktuelle), regler og standarder.
At opretholde overholdelse af alle offentliggjorte politikker og procedurer er en integreret del af driften med et robust sæt informationssikkerhedspraksis.
Bilag A 5.36 er en forebyggende og korrigerende kontrollere det ændrer risikoen ved at opretholde overholdelse af allerede eksisterende politikker og procedurer inden for informationssikkerhed.
Få et forspring på 81 %
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Hvem har ejerskab til bilag A 5.36?
ISO 27001: 2022 Bilag A 5.36 fokuserer primært på operationelle spørgsmål. Derfor bør ejerskabet tildeles COO or CISO (hvis til stede).
Generel vejledning om ISO 27001:2022 Bilag A 5.36
En organisations samlede bank af informationssikkerhedspolitikker, regler og standarder bør være tilgængelig for ledere og informationsejere (inklusive service- og produktejere).
Ledere bør implementere forretningsspecifikke rapporteringsmetoder (inkluderer alle nødvendige tekniske værktøjer) om overholdelse af informationssikkerhed og udføre periodiske gennemgange, der fremhæver områder for forbedring, som er grundigt dokumenteret, lagret og rapporteret.
Ledere bør være i stand til at foretage følgende handlinger, hvis der opdages problemer, og der findes tilfælde af manglende overholdelse:
- Bestem den underliggende årsag til manglende overholdelse.
- Beslut om korrigerende handling er nødvendig.
- Implementer om nødvendigt nævnte korrigerende handling for at sikre fortsat overholdelse.
- Når de er vedtaget, skal du vurdere eventuelle korrigerende handlinger for at se, om de var effektive, og identificere områder, der skal forbedres.
Det er bydende nødvendigt, at korrigerende handlinger træffes "rettidigt", ideelt set ved næste gennemgang. I det mindste bør ledere være i stand til at demonstrere fremskridt, hvis foranstaltningerne ikke er afsluttet inden næste gennemgang.
Medfølgende bilag A kontrol
- ISO 27001:2022 Bilag A 5.35
- ISO 27001:2022 Bilag A 8.15
- ISO 27001:2022 Bilag A 8.16
- ISO 27001:2022 Bilag A 8.17
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Hvad er ændringerne fra ISO 27001:2013?
ISO 27001:2022 Bilag A 5.36 erstatter to kontroller fra ISO 27001:2013, nemlig:
- ISO 27001:2013 Bilag A 18.2.2 – Overholdelse af sikkerhedspolitikker og standarder
- ISO 27001:2013 Bilag A 18.2.3 – Teknisk overensstemmelsesgennemgang
ISO 27001:2022 Annex A 5.36 sammenfatter al den komplekse tekniske vejledning, der tilbydes i ISO 27001:2013 Annex A 18.2.3, som siger, at ledere skal have mulighed for at gennemgå overholdelse, hvor det er nødvendigt.
ISO 27001:2022 Annex A 5.36 indeholder præcis det samme sæt vejledningspunkter som ISO 27001:2013 Annex A 18.2.2 vedrørende de handlinger, der skal tages, når manglende overholdelse opdages under en gennemgang.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
ISO 27001:2022 Organisationskontrol
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
ISO 27001:2022 Personkontrol
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
ISO 27001:2022 Fysiske kontroller
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
ISO 27001:2022 Teknologiske kontroller
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
| Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Casestudier
Xergys værktøj Proteus genererer vækst gennem ISO 27001 overholdelse ved hjælp af ISMS.online
Læs casestudieHvordan ISMS.online Hjælp
ISO 27001:2022 implementering er nemmere med vores trinvise tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til identificere risici og implementering af kontroller.
Find ud af mere ved booking af en kort 30-minutters demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
