ISO 27001:2022 Bilag A Kontrol 5.37

Dokumenterede driftsprocedurer

Book en demo

data,center,programmør,bruger,digital,laptop,computer,vedligeholdelse,det,specialist.

Hvad er formålet med ISO 27001:2022 Annex A 5.37?

ISO 27001:2022 Bilag A 5.37 beskriver informationssikkerhed som en operationel aktivitet, hvor dens bestanddele udføres og/eller administreres af enkeltpersoner.

Bilag A 5.37 beskriver de operationelle procedurer for vedligeholdelse af en organisations informationssikkerhedsfacilitet i henhold til dens dokumenterede behov for at sikre, at den forbliver effektiv og sikker.

Hvem har ejerskab til bilag A 5.37?

Bilag A 5.37 dækker forskellige omstændigheder, der kan involvere flere afdelinger og jobroller. Når det er sagt, er det sikkert at antage, at de fleste af procedurerne vil påvirke IKT-personale, udstyr og systemer.

Et seniorledelsesmedlem med ansvar for alle IKT-relaterede aktiviteter, såsom Leder af it, bør være ansvarlig for ejerskab af bilag A 5.37.

Gå til emne

Generel vejledning om bilag A 5.37

Informationssikkerhedsrelaterede procedurer bør udvikles baseret på fem centrale operationelle overvejelser:

  1. Forekomster af en aktivitet udført af en eller flere personer på samme måde.

  2. Når en aktivitet udføres sjældent.

  3. Når der er procedurer, der risikerer at blive glemt.

  4. Nye aktiviteter, som medarbejderne ikke kender til og derfor har en højere risiko.

  5. Når ansvaret for at udføre en aktivitet overdrages til en anden medarbejder eller gruppe af medarbejdere.

Hvor disse tilfælde opstår, bør driftsprocedurerne klart skitsere, hvad der skal gøres i disse situationer:

  • Personer, der er ansvarlige – uanset om de er etablerede eller nye operatører.

  • Retningslinjer for opretholdelse af sikkerhed under installation og konfiguration af relaterede forretningssystemer.

  • Gennem hele aktiviteten, hvordan information behandles.

  • BUDR-planer og implikationer i tilfælde af datatab eller en katastrofehændelse (se Bilag A 8.13).

  • Der bør være en forbindelse mellem afhængigheder og ethvert andet system, herunder planlægning.

  • Der skal være en klar procedure for håndtering af "håndteringsfejl" eller diverse hændelser, der kan opstå (se Bilag A 8.18).

  • Der bør være en komplet liste over personale, der skal kontaktes i tilfælde af forstyrrelser, sammen med klare eskaleringsprocedurer.

  • Driftsvejledninger for evt lagringsmedier forbundet med aktiviteten (se Bilag A 7.10 , Bilag A 7.14).

  • I tilfælde af en systemfejl, hvordan genstartes og genoprettes.

  • Logning af revisionsspor, inklusive system- og hændelseslogfiler (se Bilag A 8.15 , Bilag A 8.17).

  • Observationssystemer for aktiviteter på stedet, der finder sted (se Bilag A 7.4).

  • Et robust overvågningssystem, der tager højde for den operationelle kapacitet, ydeevne og sikkerhed for aktiviteten.

  • For at opretholde optimale præstationsniveauer er det vigtigt at vide, hvad der skal gøres for at opretholde aktiviteten.

Ovenstående tilgange bør underkastes periodiske og/eller ad hoc-revisioner, når og når det er påkrævet. Alle ændringer i procedurerne bør ratificeres af ledelsen omgående for at sikre alle informationssikkerhedsaktiviteter, der udføres i organisationen.

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001:2022 Bilag A 5.37 erstatter ISO 27001:2013 Bilag A 12.1.1 ('Dokumenterede driftsprocedurer').

ISO 27001:2022 Bilag A 5.37 udvider ISO 27001:2013 Bilag A 12.1.1 ved at tilbyde et meget bredere sæt af omstændigheder, der vil berettige overholdelse af en dokumenteret procedure.

ISO 27001:2013 Annex A 12.1.1 skitserer informationsbehandlingsaktiviteter såsom computerstart og -nedlukning, backup, udstyrsvedligeholdelse og mediehåndtering. I modsætning, ISO 27001: 2022 Bilag A 5.37 udvider kontrollens omfang til generelle aktiviteter, der ikke er begrænset til specifikke tekniske funktioner.

Bortset fra nogle få mindre tilføjelser, såsom kategorisering af de personer, der er ansvarlige for en aktivitet, indeholder ISO 27001:2022 Annex A 5.37 de samme generelle vejledningspunkter som ISO 27001:2013 Annex A 12.1.1

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISO 27001:2022 implementering er forenklet med vores trinvise tjekliste, der guider dig gennem alle faser, fra at definere omfanget af dit ISMS til at identificere risici og implementere kontroller.

Fordelene ved ISMS.online inkluderer:

  • Overholdelse kan påvises gennem udførelse af opgaver og indsendelse af beviser.

  • Overvågning af overholdelsesfremskridt og uddelegering af ansvar er let.

  • Der spares tid og kræfter hele vejen igennem risikovurdering proces med det omfattende risikovurderingsværktøj.

  • Vi har et dedikeret team af konsulenter til rådighed under hele din compliance-rejse til at hjælpe.

Kontakt i dag for book en kort 30-minutters demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Er du i tvivl om du skal bygge eller købe?

Opdag den bedste måde at opnå ISMS-succes

Få din gratis guide

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere