ISO 27001:2022 Bilag A 5.9 – Fortegnelse over oplysninger og andre tilknyttede aktiver

• Se ISO 27002:2022 Kontrol 5.9 for mere information.
• Se ISO 27001:2013 Bilag A 8.1.1 for mere information.
• Se ISO 27001:2013 Bilag A 8.1.2 for mere information.

ISO 27001 Bilag A 5.9: En vejledning til håndtering af opgørelser over informationsaktiver

ISO 27001: 2022 Bilag A Kontrol 5.9 er navngivet Fortegnelse over oplysninger og andre tilknyttede aktiver.

Det kræver, at organisationer identificerer og dokumenterer de aktiver, der er vigtige for deres drift og de tilhørende risici, og tager skridt til at beskytte dem. Dette sikrer, at aktiver administreres og overvåges korrekt, hvilket hjælper med at sikre, at de er sikre.

Bilag A til ISO 27001:2022 skitserer kontrol 5.9, som forklarer, hvordan en liste over oplysninger og relaterede aktiver sammen med deres respektive ejere skal oprettes og holdes ajour.

Opgørelse over informationsaktiver forklaret

Organisationen skal anerkende, hvad den har adgang til for at kunne udføre sine aktiviteter. Den skal være opmærksom på sine informationsaktiver.

En omfattende IA er en afgørende del af enhver organisations datasikkerhedspolitik. Det er en opgørelse over alle dataelementer, der lagres, behandles eller transmitteres, såvel som placeringer og sikkerhedskontroller for hver. Det er i det væsentlige det økonomiske regnskab, der svarer til databeskyttelse, hvilket gør det muligt for organisationer at identificere hvert stykke data.

En IA kan bruges til at identificere svagheder i dit sikkerhedsprogram og give oplysninger til vurdering cyberrisici, der kan føre til et brud. Det kan også være bevis for, at du har taget skridt til at identificere følsomme data under compliance audits, som hjælper dig med at undgå bøder og straffe.

opgørelse af informationsaktiver bør specificere, hvem der ejer og er ansvarlig for hvert aktiv, samt værdien og betydningen af ​​hvert enkelt element for organisationens drift.

Det er afgørende at holde opgørelserne aktuelle for at sikre, at de nøjagtigt afspejler ændringer i organisationen.

Hvorfor har jeg brug for en fortegnelse over informationsaktiver?

Informationsaktiver har en lang tradition inden for forretningskontinuitetsplanlægning (BCP), disaster recovery (DR) og forberedelse af hændelser.

Identifikation af kritiske systemer, netværk, databaser, applikationer, datastrømme og andre komponenter, der kræver sikkerhed, er det første trin i enhver af disse processer. Uden viden om, hvad der skal beskyttes, og hvor det er placeret, kan du ikke planlægge, hvordan det skal beskyttes.

Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.9?

Styringen har til formål at anerkende organisationens information og tilhørende aktiver for at sikre informationssikkerhed og udpege det rette ejerskab.

Bilag A til ISO 27001:2022 skitserer Kontrol 5.9, som skitserer formålet og implementeringsvejledningen til at oprette en opgørelse over information og andre aktiver i forhold til ISMS-rammen.

Tag en opgørelse over al information og tilhørende aktiver, klassificer i kategorier, identificer ejere og dokumenter eksisterende/påkrævede kontroller.

Dette er et vigtigt skridt for at sikre, at alle dataejendele er tilstrækkeligt beskyttet.

Hvad er involveret, og hvordan man opfylder kravene

For at opfylde kriterierne for ISO 27001:2022 skal du identificere oplysningerne og andre tilknyttede aktiver i din organisation. Derefter bør du vurdere betydningen af ​​disse punkter med hensyn til informationssikkerhed. Hvis det er nødvendigt, skal du føre optegnelser i dedikerede eller eksisterende fortegnelser.

Størrelsen og kompleksiteten af ​​en organisation, eksisterende kontroller og politikker og de typer af information og aktiver, den bruger, vil alle have en effekt på udviklingen af ​​en opgørelse.

Det er nøglen i kontrol 5.9 at sikre, at opgørelsen af ​​information og andre tilknyttede aktiver er nøjagtig, opdateret, konsistent og på linje med andre opgørelser. For at garantere nøjagtigheden kan man overveje følgende:

• Udfør systematiske vurderinger af børsnoterede oplysninger og relaterede aktiver i overensstemmelse med aktivkataloget.
• Under processen med at installere, ændre eller fjerne et aktiv vil en lageropdatering automatisk blive håndhævet.
• Inkluder et aktivs opholdssted i opgørelsen, hvis det er nødvendigt.

Nogle organisationer skal muligvis føre flere varebeholdninger til forskellige formål. For eksempel kan de have specialiserede beholdninger for softwarelicenser eller fysiske enheder såsom bærbare computere og tablets.

Det er vigtigt med jævne mellemrum at inspicere alt fysisk inventar, som inkluderer netværksenheder såsom routere og switches for at opretholde nøjagtigheden af ​​inventaret for risikostyringsformål.

For mere information om opfyldelse af kontrol 5.9, bør ISO 27001:2022-dokumentet konsulteres.

Forskelle mellem ISO 27001:2013 og ISO 27001:2022

I ISO 27001:2022 er 58 kontroller fra ISO 27001:2013 blevet revideret, og yderligere 24 kontroller er blevet sammenlagt. Der er tilføjet 11 nye kontroller, mens nogle er slettet.

Derfor finder du ikke Bilag A Kontrol 5.9 – Fortegnelse over oplysninger og andre tilknyttede aktiver – i 2013-versionen, som det nu er en kombination af ISO 27001:2013 Bilag A 8.1.1 – Opgørelse over aktiver - og ISO 27001:2013 Bilag A 8.1.2 – Ejerskab af aktiver – i 2022-versionen.

Bilag A til ISO 27001:2022 skitserer kontrol 8.1.2, Ejerskab af aktiver. Dette sikrer, at alle informationsaktiver er klart identificeret og ejet. At vide, hvem der ejer hvad hjælper med at fastslå, hvilke aktiver der skal beskyttes, og hvem der kræver ansvarlighed.

ISO 27001:2013 og ISO 27001:2022 har begge lignende kontroller, dog er bilag A kontrol 5.9 i sidstnævnte blevet udvidet for at give en mere ligetil fortolkning. For eksempel dikterer implementeringsvejledningen om aktivejerskab i kontrol 8.1.2, at aktivejeren skal:

• Sørg for, at alle aktiver er nøjagtigt registreret i opgørelsen.
• Sikre, at aktiver er klassificeret og sikret passende.
• Periodisk gennemgang og definere adgangsbegrænsninger og klassifikationer for nøgleaktiver under hensyntagen til gældende adgangskontrolpolitikker.
• Sørg for, at der træffes passende foranstaltninger, når aktivet bortskaffes eller destrueres.

Ejerskabsafsnittet i kontrol 5.9 er blevet udvidet til at omfatte ni punkter i stedet for de oprindelige fire. Der er foretaget rettelser til stavning og grammatik, og tonen er ændret til en professionel, venlig stil. Redundans og gentagelse er blevet elimineret, og skrivningen er nu i en aktiv stil.

Aktivejeren bør påtage sig ansvarlighed for det passende tilsyn med et aktiv i hele dets livscyklus og sikre, at:

• Alle data og relaterede ressourcer er listet og dokumenteret.
• Sørg for, at alle data, relaterede aktiver og andre relaterede ressourcer er nøjagtigt klassificeret og beskyttet.
• Klassifikationen gennemgås regelmæssigt for at sikre dens nøjagtighed.
• Komponenter, der opretholder teknologiaktiver, er registreret og indbyrdes forbundne, herunder databaser, lagring, softwarekomponenter og underkomponenter.
• Krav til acceptabel brug af information og andre tilknyttede aktiver er fastsat i 5.10.
• Adgangsbegrænsninger svarer til klassificeringen og viser sig at være effektive, revideres med jævne mellemrum for at sikre kontinuerlig beskyttelse.
• Oplysninger og andre tilknyttede aktiver håndteres sikkert, når de slettes eller bortskaffes og fjernes fra beholdningen.
• De er ansvarlige for at identificere og håndtere de risici, der er forbundet med deres aktiv(er).
• De yder støtte til personale, der administrerer deres oplysninger, og påtager sig de roller og det ansvar, der er forbundet med det.

Sammenlægning af disse to kontroller til én letter brugerforståelsen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvad betyder disse ændringer for dig?

De seneste ISO 27001 ændringer påvirker ikke din nuværende certificering i forhold til ISO 27001 standarder. Kun opgraderinger til ISO 27001 kan have en effekt på eksisterende certificeringer. Akkrediteringsorganer vil samarbejde med de attesterende organer om at udarbejde en overgangsperiode, der giver organisationer med ISO 27001-certifikater nok tid til at flytte fra en version til den næste.

Disse trin skal tages for at opfylde den reviderede version:

• Sørg for, at din virksomhed overholder den seneste lovgivning ved at undersøge risikoregistret og risikostyringsprocedurerne.
• Bilag A bør ændres for at afspejle eventuelle ændringer i erklæringen om anvendelighed.
• Sørg for, at dine politikker og procedurer er opdaterede for at overholde de nye regler.

Under overgangen til den nye standard vil vi have adgang til nye bedste praksisser og kvaliteter til kontroludvælgelse, hvilket muliggør en mere effektiv og effektiv udvælgelsesproces.

Du bør fortsætte med en risikobaseret metode for at sikre, at kun de mest relevante og effektive kontroller vælges til din virksomhed.

Hvordan ISMS.online hjælper

ISMS.online er ideel til implementering af dit ISO 27001 Information Security Management System. Den er specielt designet til at hjælpe virksomheder med at opfylde kravene i standarden.

platform anvender en risikoorienteret metode sammen med førende bedste praksisser og skabeloner i branchen for at hjælpe dig med at fastslå de risici, din organisation står over for, og de nødvendige kontroller for at styre dem. Dette giver dig mulighed for systematisk at reducere både din risikoeksponering og complianceomkostninger.

ISMS.online giver dig mulighed for at:

1. Udvikle en Information Security Management System (ISMS).
2. Konstruer et skræddersyet sæt af politikker og procedurer.
3. Implementer et ISMS for at opfylde ISO 27001-standarderne.
4. Få hjælp fra erfarne konsulenter.

Du kan drage fordel af ISMS.online til at bygge et ISMS, oprette et tilpasset sæt politikker og processer, overholde ISO 27001-kriterierne og få hjælp fra erfarne rådgivere.

ISMS.online platformen er baseret på Plan-Do-Check-Act (PDCA), en iterativ fire-trins procedure til kontinuerlig forbedring, som opfylder alle kravene i ISO 27001:2022. Det er ligetil. Kontakt os nu for at arrangere din demonstration.