ISO 27001:2022 Bilag A Kontrol 8.1

Brugerendepunktsenheder

Book en demo

fokuseret,gruppe,mangfoldig,arbejde,kolleger,holde,møde,sammen

Overgangen til fjernbetjening og den øgede afhængighed af mobile enheder har været fordelagtig for medarbejdernes produktivitet og omkostningsbesparelser for organisationer. Desværre er brugerens slutpunkter som bærbare computere, mobiltelefoner og tablets modtagelige for cybertrusler. Cyberkriminelle udnytter ofte disse enheder til at få ulovlig adgang til virksomhedens netværk og kompromittere fortrolige oplysninger.

Cyberkriminelle kan søge at målrette medarbejdere med phishing og overtale dem til at downloade en malware-inficeret vedhæftet fil, som kan bruges til at sprede malwaren i hele virksomhedens netværk. Dette kan føre til tab af tilgængelighed, integritet eller fortrolighed af informationsaktiver.

A undersøgelse af 700 it-professionelle afslørede, at 70 % af organisationerne oplevede et brud på deres informationsaktiver og it-infrastruktur på grund af et brugerenhedsangreb i 2020.

ISO 27001: 2022 Bilag A Kontrol 8.1 skitserer trin, organisationer kan tage for at sikre, at deres informationsaktiver, der hostes eller behandles på brugerens slutpunktsenheder, er beskyttet mod kompromittering, tab eller tyveri. Dette omfatter etablering, vedligeholdelse og implementering af relevante politikker, procedurer og teknologiske foranstaltninger.

Formål med ISO 27001:2022 bilag A 8.1

ISO 27001: 2022 Bilag A 8.1 giver virksomheder mulighed for at beskytte og opretholde sikkerheden, fortroligheden, integriteten og tilgængeligheden af ​​informationsaktiver gemt på eller tilgængelige fra slutpunktbrugerenheder. Dette opnås ved at etablere passende politikker, procedurer og kontroller.

Ejerskab af bilag A 8.1

Chief Information Security Officer bør tage ansvar for at sikre overholdelse af kravene i ISO 27001:2022 Bilag A Kontrol 8.1, som nødvendiggør oprettelse og vedligeholdelse af organisationsdækkende politik, procedurer og tekniske foranstaltninger.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.1 Overholdelse

Organisationer skal i henhold til ISO 27001:2022 Annex Al 8.1 oprette en politik, der dækker sikker konfiguration og brug af brugerens slutpunktsenheder.

Personalet skal gøres opmærksom på denne politik, som omfatter:

  • Hvilken slags data, især med hensyn til sikkerhedsniveau, kan behandles, gemmes eller bruges i brugerens slutpunkter?

  • Enheder skal registreres.

  • Fysisk beskyttelse af enheder er obligatorisk.

  • Det er forbudt at installere softwareprogrammer på enheder.

  • Regler for installation af software på enheder og opdatering af software skal følges.

  • Reglerne for tilslutning af brugerens slutpunktsenheder til det offentlige netværk eller til netværk, der er placeret off-site.

  • Adgangskontrol.

  • Lagermediets hostinginformationsaktiver skal være krypteret.

  • Enheder skal beskyttes mod indtrængen af ​​malware.

  • Enheder kan deaktiveres eller spærres for brug, og data gemt i dem kan fjernslettes.

  • Back-up planer og protokoller bør være på plads.

  • Regler vedrørende brug af webapplikationer og tjenester.

  • Analyse af slutbrugeres adfærd for at få indsigt i, hvordan de interagerer med systemet.

  • Aftagelige lagermedier, såsom USB-drev, kan bruges med stor effekt. Desuden kan fysiske porte, f.eks. USB-porte, deaktiveres.

  • Segregationsfunktioner kan bruges til at holde organisationens informationsaktiver adskilt fra andre aktiver, der er gemt på brugerenheden.

Organisationer bør overveje at forbyde lagring af sarte data på brugerens slutpunktsenheder via tekniske kontroller, ifølge den generelle vejledning.

Deaktivering af lokale lagerfunktioner såsom SD-kort kan være blandt de anvendte tekniske kontroller.

Organisationer bør implementere Configuration Management som beskrevet i ISO 27001:2022 Annex A Control 8.9 og bruge automatiserede værktøjer.

Supplerende vejledning om brugeransvar

Personalet skal informeres om sikkerheden foranstaltninger for brugerens slutpunktsenheder og deres pligter til at overholde dem. Derudover bør de forstå deres rolle i implementeringen af ​​disse foranstaltninger og procedurer.

Organisationer bør instruere personalet til at overholde følgende regler og processer:

  • Når en tjeneste ikke længere er nødvendig, eller en session er afsluttet, skal brugerne logge ud og afslutte tjenesten.

  • Personale bør ikke efterlade deres enheder uden opsyn. Når de ikke er i brug, skal personalet sikre sikkerheden af deres enheder ved at bruge fysiske foranstaltninger såsom nøglelåse og tekniske foranstaltninger såsom stærke adgangskoder.

  • Personale bør udvise ekstra forsigtighed, når de bruger slutpunktsenheder, der indeholder fortrolige data, på offentlige steder, der mangler sikkerhed.

  • Brugerens slutpunktsenheder skal beskyttes mod tyveri, især på farlige steder såsom hotelværelser, mødelokaler eller offentlig transport.

Organisationer bør udtænke et særligt system til håndtering af tab eller tyveri af brugerens slutpunktsenheder. Dette system skal konstrueres under hensyntagen til juridiske, kontraktmæssige og sikkerhedsmæssige behov.

Supplerende vejledning om brug af personlige enheder (BYOD)

At tillade personale at bruge deres egne enheder til arbejdsrelaterede aktiviteter kan spare organisationer penge, men det udsætter fortrolige data for potentielle risici.

ISO 27001:2022 Bilag A 8.1 foreslår fem ting, som organisationer skal tage i betragtning, når de tillader personale at bruge deres personlige enheder til arbejdsrelaterede aktiviteter:

  1. Tekniske foranstaltninger såsom softwareværktøjer bør indføres for at adskille personlig og forretningsmæssig brug af enheder og beskytte organisationens oplysninger.

  2. Personale kan have adgang til deres egen enhed på betingelse af, at de giver samtykke til følgende:

    • Personalet anerkender deres pligt til fysisk at beskytte enheder og opfylde væsentlige softwareopdateringer.

    • Personale accepterer ikke at hævde nogen ejendomsret over virksomhedens data.

    • Personale er enige om, at dataene i enheden kan fjernslettes, hvis de går tabt eller bliver stjålet, i overensstemmelse med juridiske retningslinjer for personlige oplysninger.

  3. Opsæt retningslinjer vedrørende rettigheder til intellektuel ejendom genereret ved hjælp af brugerens slutpunktsgadgets.

  4. Med hensyn til de lovbestemte begrænsninger for sådan adgang, hvordan tilgås personales private enheder.

  5. At tillade personalet at anvende deres individuelle gadgets kan medføre juridisk ansvar forårsaget af anvendelsen af ​​tredjepartssoftware på disse gadgets. Virksomheder bør reflektere over de softwarelicensaftaler, de har med deres udbydere.

Supplerende vejledning om trådløse forbindelser

Organisationer bør skabe og opretholde praksis for:

  • Konfiguration af de trådløse forbindelser på enhederne skal ske med omhu. Sørg for, at hver forbindelse er sikker og pålidelig.

  • Der skal bruges trådløse eller kablede forbindelser med båndbredde for at overholde emnespecifikke politikker.

Yderligere vejledning om bilag A 8.1

Når medarbejdere tager deres endepunktsenheder ud af organisationen, kan de data, der er lagret på dem, have større risiko for at blive kompromitteret. Derfor skal organisationer implementere forskellige sikkerhedsforanstaltninger for enheder, der bruges uden for deres lokaler.

ISO 27001:2022 Bilag A 8.1 advarer organisationer om to risici forbundet med trådløse forbindelser, der kan føre til tab af data:

  1. Trådløse forbindelser med begrænset kapacitet kan føre til nedbrud af sikkerhedskopiering af data.

  2. Brugerslutpunkter kan nogle gange miste forbindelsen til det trådløse netværk, og planlagte sikkerhedskopier kan vakle. For at sikre datasikkerhed og pålidelighed bør der foretages regelmæssige sikkerhedskopier, og forbindelsen til det trådløse netværk bør overvåges regelmæssigt.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Annex A 8.1 erstatter ISO 27001:2013 Annex A 6.2.1 og Annex A 12.2.8 i den reviderede 2022-standard.

Strukturelle forskelle

I modsætning til ISO 27001:2022, som har en enkelt kontrol, der dækker brugerens slutpunktsenheder (8.1), indeholdt ISO 27001:2013 to separate kontroller: Mobil enhedspolitik (bilag A, kontrol 6.2.1) og uovervåget brugerudstyr (kontrol 11.2.8 ).

Mens ISO 27001:2022 Bilag A Kontrol 8.1 dækker alle brugerens slutpunktsenheder såsom bærbare computere, tablets og mobiltelefoner, henvendte 2013-versionen kun til mobile enheder.

ISO 27001:2022 foreskriver yderligere krav til brugeransvar

Begge versioner af aftalen kræver et vist niveau af personlig ansvarlighed fra brugerne; 2022-versionen har dog et ekstra krav:

  • Personale bør udvise ekstra forsigtighed, når de bruger slutpunktsenheder, der indeholder følsomme data i offentlige rum, som kan være usikre.

ISO 27001:2022 er mere omfattende med hensyn til BYOD

Sammenlignet med 2013 introducerer bilag A 8.1 i 2022 tre nye krav til BYOD (Bring Your Own Device) brug af personale:

  1. Det er nødvendigt at etablere politikker vedrørende de intellektuelle ejendomsrettigheder til kreationer lavet ved hjælp af brugerens slutpunktsenheder. Sådanne politikker skal være nøjagtige og klare og sikre, at alle relevante parter anerkender deres rettigheder og ansvar.

  2. I betragtning af de juridiske begrænsninger for adgang til personales private enheder, hvordan vil dette blive administreret?

  3. At tillade personale at bruge deres egne enheder kan resultere i juridisk ansvar på grund af brugen af ​​tredjepartssoftware på disse enheder. Organisationer bør tænke over de softwarelicensaftaler, de har med deres leverandører.

ISO 27001:2022 kræver en mere detaljeret emnespecifik politik

I sammenligning med ISO 27001:2013 skal organisationer nu implementere en politik, der er specifik for hvert emne på brugerenheder.

ISO 27001:2022 Bilag A 8.1 er mere omfattende og indeholder tre nye elementer, der skal inkluderes:

  1. Analyse af slutbrugeres adfærd blev foretaget.

  2. USB-drev er en fantastisk måde at overføre data på, og fysiske USB-porte kan deaktiveres for at forhindre sådanne overførsler.

  3. Adskillelse af organisationens informationsaktiver kan opnås ved at udnytte teknologiske muligheder. Dette gør det muligt at adskille aktiver fra andre aktiver gemt på brugerenheden.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online er go-to ISO 27001:2022-styringssystemsoftwaren. Det letter overholdelse af standarden og hjælper organisationer med at tilpasse deres sikkerhedspolitikker og -procedurer.

Denne skybaseret platform tilbyder et komplet udvalg af værktøjer til at hjælpe virksomheder med at skabe et ISMS (Information Security Management System), der overholder ISO 27001.

Kontakt os nu for at arrangere en demonstration.

Vi følte, at vi havde
det bedste fra begge verdener. Vi var
kunne bruge vores
eksisterende processer,
& Adopter, Tilpas
indhold gav os nyt
dybde til vores ISMS.

Andrew Bud
Grundlægger, iproov

Book din demo

Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere