ISO 27001:2022 Bilag A Kontrol 5.6

Kontakt med særlige interessegrupper

Book en demo

bund,visning,af,moderne,skyskrabere,i,forretning,distrikt,mod,blå

Som en del af den reviderede ISO 27001:2022-forordning opfordrer bilag A Kontrol 5.6 organisationer til at etablere og vedligeholde kontakter med særlige interessegrupper.

Det er også vigtigt at opretholde passende kontakter med særlige interessegrupper, sikkerhedsfora og faglige sammenslutninger. Det er relevant at huske på, at medlemskaber i faglige organisationer, brancheorganisationer, fora og diskussionsgrupper alle er inkluderet i denne bilag A-kontrol. Det er, når du tilpasser det til dine specifikke behov.

Det er vigtigt at forstå, hvad hver af disse grupper gør, og hvordan de blev etableret (f.eks. er de til kommercielle formål).

Hvad er særlige interessegrupper?

Generelt er en særlig interessegruppe en sammenslutning af enkeltpersoner eller organisationer, der er interesseret i et bestemt område. De arbejder sammen om at løse problemer, udvikle løsningerog tilegne sig viden på området. I vores situation, informationssikkerhed ville være ekspertiseområdet.

Mange særlige interessegrupper omfatter producenter, specialistfora og faglige sammenslutninger.

Organisationer opfordres til at netværke med særlige interessegrupper, specialiserede sikkerhedsfora og faglige sammenslutninger i henhold til bilag A kontrol 5.6 i ISO 27001:2022 eller 6.1.4 i ISO 27001:2013.

Hvordan fungerer ISO 27001:2022 Annex A 5.6?

Næsten alle organisationer har i dag et forhold til særlige interessegrupper. Formålet med bilag A kontrol 5.6 er at sikre, at information vedrørende informationssikkerhed flyder korrekt blandt disse særlige interessegrupper. Det er uanset om de er kunder, leverandører eller grupper, der påvirker organisationen.

Som en del af bilag A Kontrol 5.6 er krav, formål og implementeringsvejledninger til at kontakte særlige interessegrupper. Et centralt aspekt ved at forbedre informationssikkerhedskapaciteten er regelmæssigt at engagere sig med relevante interessenter og interesserede parter, herunder forbrugere og deres repræsentanter, leverandører, partnere og regeringen.

Et partnerskab kan give begge sider mulighed for at drage fordel af hinandens viden om banebrydende ideer og bedste praksis, hvilket gør det til en win-win situation.

Desuden kan disse grupper være i stand til at give værdifulde forslag eller anbefalinger vedrørende sikkerhedspraksis, procedurer eller teknologier. Disse forslag eller anbefalinger kan sikre dit system, mens du stadig når dine forretningsmål.

Gå til emne

Sådan kommer du i gang og opfylder kravene i bilag A 5.6

En organisation skal følge ISO 27001:2022 implementeringsretningslinjer ved opfyldelse af kravene til bilag A Kontrol 5.6.

Medlemskab af en særlig interessegruppe eller et forum skal gøre det muligt for medlemmerne at:

  • Hold dig opdateret med det seneste sikkerhedsoplysninger og lære om bedste praksis.

  • Oprethold en aktuel forståelse af informationssikkerhedsmiljøet.

  • Hold dig opdateret om de seneste advarsler, meddelelser og patches relateret til angreb og sårbarheder.

  • Få ekspertrådgivning om informationssikkerhed.

  • Informer hinanden om de nyeste teknologier, produkter, tjenester, trusler eller sårbarheder.

  • I tilfælde af en informationssikkerhedshændelse, give passende kontaktpunkter.

Som en del af ISO/IEC 27000 standarder, skal der etableres og vedligeholdes et informationssikkerhedsstyringssystem (ISMS). Kontrol 5.6 i bilag A er en afgørende del af denne proces. Ved at interagere med særlige interessegrupper vil du være i stand til at modtage feedback fra dine jævnaldrende vedrørende effektiviteten af ​​dine informationssikkerhedsprocesser.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001:2022, bilag A kontrol 5.6, "Kontakt med særlige interessegrupper," er i det væsentlige en opdateret version af ISO 27001:2013 kontrol 6.1.4.

For ISO 27001:2022 er formålet med kontrollen angivet i standarden, hvorimod i 2013-udgaven. Formålet med bilag A kontrol er ikke angivet.

Derudover bruger begge versioner forskellige fraseologier på trods af de samme implementeringsretningslinjer.

Med disse forbedringer vil standarden forblive aktuel og relevant i lyset af stigende sikkerhedsproblemer og teknologiske udviklinger. Organisationer vil også drage fordel, da det bliver lettere at overholde standarden.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan styres denne proces?

Databeskyttelse og sikkerhed, sammen med overholdelse, håndteres typisk af chef for informationssikkerhed (også kaldet CISO).

Information Security Managers (ISMS Managers) kan også varetage denne rolle, men uden den øverste ledelses buy-in kan rollen ikke komme videre.

Hvordan påvirker dette organisationer?

Dem, der allerede har implementeret ISO 27001:2013 skal opdatere deres procedurer for at sikre overholdelse af den reviderede standard.

De fleste organisationer burde være i stand til at foretage de nødvendige ændringer til 2022-versionen uden problemer, selvom der vil være nogle ændringer. Derudover vil certificerede organisationer have en to-årig overgangsfase, hvor de kan forny deres certificering for at sikre, at den overholder den reviderede standard.

Du kan bedre forstå hvordan ISO 27001:2022 vil påvirke datasikkerhedsoperationer og ISO 27001 certificering med vores ISO 27001:2022 guide.

Hvordan ISMS.Online hjælper

Med ISMS.online, kan du implementere ISO 27001 Bilag A kontrollerer og administrerer hele dit ISMS med vores brugervenlige system.

Ved at give dig værktøjer og ressourcer til styring af informationssikkerhed i din organisation, gør ISMS.online ISO 27001 nemmere at implementere. Det vil hjælpe dig med identificere risici, udvikling af afbødningskontrol og implementering af dem.

Ud over at levere et ledelsesdashboard, rapporter og revisionslogfiler, vil ISMS.online hjælpe dig med at demonstrere overholdelse af standarden.

Brug af ISMS.online giver enkle, praktiske rammer og skabeloner til informationssikkerhed i projektledelse, DPIA og andre relaterede vurderinger af personlige oplysninger, f.eks. Legitimate Interest Assessments (LIA).

For din tidlige ISMS-succes kombinerer vi viden og teknologi

Blandt funktionerne i vores cloud-baserede platform er følgende:

  • Dokumenthåndteringssystem med en brugervenlig grænseflade og omfattende tilpasningsmuligheder.

  • Forudskrevne dokumentationsskabeloner, der er polerede og velskrevne.

  • Proces for udfører interne revisioner der er forenklet.

  • En metode til at kommunikere med interessenter og ledelse, der er effektiv.

  • Et workflow-modul til at strømline implementeringsprocessen.

Vi har alle disse funktioner og mere. Til book en demo, kontakt os venligst i dag.

ISMS.online er en
one-stop-løsning, der radikalt fremskyndede vores implementering.

Evan Harris
Grundlægger & COO, peppy

Book din demo

Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere