ISO 27001: 2022, Bilag A 6.3, Informationssikkerhedsbevidsthed, uddannelse og træning, understreger behovet for, at personalet modtager passende instruktion i informationssikkerhed, herunder regelmæssige politikopfriskninger, der er relevante for deres roller.
Informationssikkerhedsbevidsthed, uddannelse og træning (IT-sikkerhedsbevidsthed) involverer at informere brugerne om betydningen af informationssikkerhed og inspirere dem til at forbedre deres computersikkerhedspraksis.
Brugere skal informeres om de potentielle sikkerhedsrisici forbundet med deres aktiviteter og uddannes i, hvordan de kan beskytte sig mod dem.
Informationssikkerhedsbevidsthed, uddannelse og træning er afgørende for enhver organisations succes. Alt personale skal forstå betydningen af informationssikkerhed og de konsekvenser det har for alle.
Jo større forståelse personalet har for, hvordan man beskytter sig mod cyberfarer, jo mere sikker vil din organisation være.
Bed om et tilbud
Målet med ISO 27001:2022 Annex A 6.3 er at garantere, at personale og relevante interessenter er informeret om og passende uddannet til at opfylde deres informationssikkerhedsforpligtelser.
ISO 27001:2022 Bilag A 6.3 beskriver rækken af aktiviteter, der er nødvendige for at sikre, at personalet besidder den viden og de nødvendige evner til at operere i organisationens informationssikkerhedsramme. Primært fokuserer denne bilag A-kontrol på at øge bevidstheden om betydningen af informationssikkerhed, fremme god praksis og tilskynde til overensstemmelse med relevante politikker og regler.
Informationssikkerhedsuddannelse, bevidsthed og træning er væsentlige komponenter i en organisations risikostyringsstrategi og bør indarbejdes i sikkerhedspolitikken. Ved at give medarbejderne den viden og de værktøjer, de har brug for, kan organisationer sikre, at deres sikkerhedsforanstaltninger er effektive.
ISO 27001:2022 Bilag A 6.3 skitserer nødvendigheden af, at virksomheder har et informationssikkerhedsbevidsthedsprogram for at give alt personale den passende viden og evner til at beskytte informationsressourcer. Den giver råd om, hvad der bør inkluderes i et produktivt oplysningsprogram.
Organisationen skal muligvis sørge for træning i sikkerhedsbevidsthed mindst én gang om året, eller som risikovurderingen tilsiger, til alt personale med adgang til følsomme informationsaktiver eller informationssystemer, der lagrer, behandler eller transmitterer følsomme data.
Organisationer skal implementere en proces, der sikrer, at medarbejderne er tilstrækkeligt uddannet til at udføre deres arbejdsopgaver sikkert og sikkert uden at kompromittere informationssikkerheden. Træning kan gennemføres i sessioner eller gennem onlineressourcer såsom videoer eller webinarer. Bilag A 6.3 dikterer dette.
Informationssikkerhedsbevidsthed, uddannelse og træningsprogrammer bør udvikles i overensstemmelse med organisationens politik, emnespecifikke politikker og relevante sikkerhedsprocedurer. Dette bør tage højde for de oplysninger, der skal beskyttes, og de sikkerhedskontroller, der er på plads for at beskytte dem, og bør finde sted regelmæssigt.
Det er en fordel at introducere bevidsthed, uddannelse og træning til både nye medarbejdere og dem, der skifter til roller, der har brug for forskellige sikkerhedsniveauer.
En oplysningskampagne bør omfatte flere aktiviteter for at øge forståelsen. Det kan dreje sig om kampagner, hæfter, plakater, nyhedsbreve, hjemmesider, informationsmøder, briefinger, e-læringsmoduler og e-mails.
I henhold til bilag A 6.3 bør dette program omfatte:
ISO 27001:2022 er ikke en helt ny kontrol. Denne version af ISO 27001, udgivet i oktober 2022, opdaterer den tidligere version ISO 27001:2013.
ISO 27001:2013 Bilag A Kontrol 7.2.2 mangler attributtabel og formålserklæring, der er angivet i ISO 27001:2022 Bilag A Kontrol 6.3.
På trods af variationen i kontroltal synes der ikke at være andre forskelle mellem de to bilag A-kontroller. Selvom ordlyden af de to bilag A-kontroller varierer, forbliver deres betydning og formål det samme.
Bilag A Kontrol 6.3 er designet til at være mere brugervenligt, så folk bedre kan forstå dens indhold.
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
| Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Dette svar afhænger af din organisation. Mange organisationers sikkerhedsteams styrer deres informationssikkerhedsbevidsthed, undervisning og træningsprogrammer. Nogle organisationer overlader dog HR-afdelingen eller en anden filial til at håndtere det.
Det er afgørende at sikre, at nogen tager ansvaret for at formulere og udføre din organisations sikkerhedsbevidsthedsprogram. Informationssikkerhedschefen bør føre tilsyn med denne person/afdeling (hvis forskellig fra dem selv).
Denne person skal have et solidt kendskab til informationssikkerhed og være i stand til at tale med personalet om forskellige sikkerhedsprotokoller. Desuden skal de være i stand til at skabe indhold til dine træningsprogrammer og gennemføre tilbagevendende træning for personale.
Det er væsentligt at forstå, at informationssikkerhed ikke kun er IT-pligten. Alle medarbejdere skal holdes ansvarlige. Virksomheder bør skabe et team dedikeret til sikkerhed, men de skal også sikre, at alle forstår betydningen af fortrolighed og pålidelighed.
ISO 27001:2022 Bilag A 6.3 er en revision af ISO 27001:2013 Bilag A 7.2.2 og ikke en ny Bilag A-kontrol. Derfor vil de fleste organisationer ikke kræve at ændre noget.
Hvis du allerede har implementeret 2013-versionen af ISO 27001, skal du vurdere, om disse ændringer er relevante for din virksomhed. Ligeledes, hvis du planlægger ismer certificering, skal du gennemgå dine sikkerhedsprocesser for at sikre, at de opfylder den reviderede standard.
ISMS.online giver en samlet løsning til ISO 27001:2022 implementering. Det er en webbaseret platform, der gør det muligt for organisationer at demonstrere deres overholdelse af ISO 27001 standarder gennem strømlinede processer, procedurer og tjeklister.
Denne platform letter ikke kun implementeringen af ISO 27001, men giver også en fremragende ressource til at træne personale i bedste praksis for informationssikkerhed og dokumentere alle bestræbelser.
Fordelene ved at bruge ISMS.Online er mange:
ISMS.online strømliner implementering af ISO 27001, der tilbyder alle de ressourcer, informationer og værktøjer, du har brug for, på ét sted. Bare et par klik med musen er alt, der skal til for at sikre, at dit ISMS lever op til standarden.
Kontakt os nu for at arrangere en demonstration.
Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.
