ISO 27001:2022 Bilag A Kontrol 7.13

Vedligeholdelse af udstyr

Book en demo

bred, vinkel, udsigt, over, travlt, design, kontor, med, arbejdere, kl

ISO 27001:2022 Bilag A 7.13 handler om at etablere og implementere passende procedurer og foranstaltninger til korrekt vedligeholdelse af udstyr for at sikre, at de informationsaktiver, der er lagret på dette udstyr, ikke bliver kompromitteret.

Til opbevaring, brug og overførsel af informationsaktiver, IT-udstyr såsom servere, bærbare computere, netværksenheder og printere er afgørende. Manglende vedligeholdelse af dette udstyr i overensstemmelse med dets specifikationer og miljømæssige risici kan resultere i dårlig kvalitet og forringelse af ydeevnen. På grund af denne mangel på vedligeholdelse kan integriteten, fortroligheden og tilgængeligheden af ​​informationsaktiver blive kompromitteret.

For eksempel kan en organisation ikke indse, at dens diskplads er fuld, hvis den undlader at udføre regelmæssig vedligeholdelse på sin serverhardware. Serveren kan miste data, der er transmitteret til eller fra den som følge heraf.

Hvad er formålet med ISO 27001:2022 Annex A 7.13?

ISO 27001:2022 Annex A 7.13 beskriver, hvordan man udfører korrekt vedligeholdelse af udstyr, der bruges til at opbevare informationsaktiver baseret på tekniske foranstaltninger og procedurer.

Foranstaltninger og procedurer er indført for at sikre, at informationsaktiver er beskyttet mod tab, beskadigelse og uautoriseret adgang, blandt andre bekymringer.

ISO 27001: 2022 Bilag A 7.13 beskriver en forebyggende form for kontrol, hvorunder organisationer skal tage en aktiv tilgang til vedligeholdelsen af ​​deres udstyr.

Hvem har ejerskab til bilag A 7.13?

Overholdelse af bilag A 7.13 angiver, at der skal udarbejdes en udstyrsliste, der skal udføres en risikovurdering baseret på miljøfaktorer og produktets specifikationer, samt etablere og implementere passende procedurer og foranstaltninger for at sikre korrekt vedligeholdelse af udstyret.

Informationssikkerhedschef bør være ansvarlig for at sikre overholdelse af ISO 27001:2022 Annex A 7.13 på trods af vigtigheden af, at enkeltpersoner håndterer dette udstyr på daglig basis.

Gå til emne
Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Generel vejledning om ISO 27001:2022 bilag A 7.13 for overholdelse

Bilag A 7.13 giver organisationer 11 specifikke anbefalinger:

  1. Det anbefales at følge udstyrsproducentens specifikationer vedrørende vedligeholdelsesprocedurer, såsom anbefalede serviceintervaller.

  2. For alt udstyr bør organisationer etablere og implementere et vedligeholdelsesprogram.

  3. Vedligeholdelse eller reparation af udstyr bør kun udføres af autoriseret personale eller autoriseret tredjepart.

  4. Alle udstyrsfejl og fejl skal registreres af organisationer. Desuden skal alle vedligeholdelsesaktiviteter på nævnte udstyr også registreres.

  5. Det er vigtigt for organisationer at anvende passende vedligeholdelsesprocedurer, uanset om vedligeholdelsen udføres af deres ansatte eller af tredjeparter. Desuden, fortrolighedsaftaler skal underskrives af det relevante personale.

  6. Alt vedligeholdelsespersonale skal altid være under opsyn.

  7. Adgangs- og godkendelsesprocedurer bør håndhæves strengt for fjernvedligeholdelsesarbejde.

  8. Organisationer bør anvende passende sikkerhedsforanstaltninger i overensstemmelse med bilag A 7.9, når udstyr fjernes fra lokaler til vedligeholdelse.

  9. Vedligeholdelseskrav pålagt af forsikringsudbydere bør overholdes af organisationer.

  10. For at sikre, at udstyret ikke er blevet manipuleret og fungerer korrekt, bør virksomheder inspicere det efter vedligeholdelse.

  11. Organisationer bør etablere og implementere passende foranstaltninger og procedurer for bortskaffelse eller genbrug af udstyr i henhold til bilag A 7.14.

Supplerende vejledning om bilag A 7.13

ISO 27001:2022 bilag A 7.13 angiver, at følgende betragtes som udstyr og falder ind under anvendelsesområdet for bilag A 7.13:

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001:2022 Bilag A 7.13 erstatter ISO 27001:2013 Bilag A 11.2.4 ('Vedligeholdelse af udstyr').

ISO 27001:2022-versionen indeholder mere omfattende krav

Sammenlignet med ISO 27001:2013-versionen opstiller bilag A 7.13 i 2022-versionen mere omfattende krav.

Mens ISO 27001:2013-versionen kun anførte seks specifikke krav, indeholder ISO 27001:2022 Annex A 7.13 11 krav.

Bilag A 7.13 introducerer de fem følgende krav, som ikke blev behandlet i ISO 27001:2013-versionen:

  1. For alt udstyr bør organisationer etablere og implementere et vedligeholdelsesprogram.

  2. Alt vedligeholdelsespersonale skal altid være under opsyn.

  3. Vedligeholdelsesarbejde, der udføres eksternt, bør være underlagt streng adgangs- og autorisationskontrol.

  4. I henhold til bilag A 7.14 bør organisationer etablere og implementere passende foranstaltninger og procedurer for bortskaffelse eller genbrug af udstyr.

  5. Organisationer bør anvende passende sikkerhedsforanstaltninger i overensstemmelse med bilag A 7.9, når udstyr fjernes fra lokaler til vedligeholdelse.

ISO 27001:2022-revisionen definerer "udstyr"

Den supplerende vejledning definerer "udstyr" i bilag A 7.13. I modsætning hertil henviste ISO 27001:2013-versionen ikke til betydningen af ​​"Udstyr".

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Du kan gøre følgende med ISMS.online:

  • Sørg for, at dine processer er dokumenterede. Ved at bruge denne intuitive grænseflade kan du dokumentere dine processer uden at skulle installere software.

  • Vurder risici mere effektivt ved at automatisere processen.

  • Med online rapporter og tjeklister kan du nemt demonstrere overholdelse.

  • Mens du arbejder hen imod certificering, skal du holde et register over dine fremskridt.

ISMS.online tilbyder et komplet udvalg af funktioner til at hjælpe organisationer og virksomheder med at opnå overholdelse af standarden ISO 27001:2022.

Kontakt os i dag for at planlæg en demo.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Er du i tvivl om du skal bygge eller købe?

Opdag den bedste måde at opnå ISMS-succes

Få din gratis guide

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere