ISO 27001:2022 Bilag A Kontrol 8.20

Network Security

Book en demo

bund,visning,af,moderne,skyskrabere,i,forretning,distrikt,mod,blå

Netværkssikkerhed er en kritisk komponent i en organisations informationssikkerhed strategi.

Det skal administreres med omhu og nøjagtighed for at sikre sikkerheden af ​​alle data.

ISO 27001:2022 Annex A 8.20 er et sæt omfattende protokoller, der dækker netværkssikkerhed som et styrende koncept i alle dets former. Den trækker på vejledning fra mange væsentlige informationssikkerhedskontroller fra ISO 27001: 2022.

Formål med ISO 27001:2022 bilag A 8.20

ISO 27001:2022 Annex A 8.20 er en forebyggende og detektiv kontrol, der holder risiko på afstand ved at implementere kontroller, der sikrer en organisations IKT-netværk oppefra og ned. Dette gøres ved at sikre, at netværksaktivitet logges, opdeles og udføres af autoriseret personale.

Ejerskab af bilag A 8.20

Bilag A 8.20 dækker mere end blot den daglige drift af back-end netværk, vedligeholdelse og diagnostiske værktøjer og procedurer. Ejerskabet af denne kontrol bør henføres til organisationens Chief Information Security Officer (CISO) eller lignende.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.20 Overholdelse

Bilag A 8.20 understreger to grundlæggende aspekter af netværkssikkerhed i sin generelle vejledning:

  1. Sikring af informationssikkerhed er en topprioritet.

  2. Beskyttelse mod uautoriseret adgang (især ved håndtering af tilknyttede tjenester) er afgørende.

Bilag A 8.20 kræver, at organisationer opnår sine to formål (ovenfor) ved at udføre følgende:

  • Organiser data på tværs af et netværk baseret på type og kategorisering for effektiv styring og vedligeholdelse.

  • Sørg for, at personale med dokumenterede jobroller og -ansvar vedligeholder netværksudstyr.

  • Vedligehold nyere data, herunder versionskontrollerede dokumenter, på LAN- og WAN-netværksdiagrammer og firmware-/konfigurationsfiler for kritisk netværksudstyr såsom routere, firewalls, adgangspunkter og switches.

  • Skelne ansvar for organisationens netværk fra almindelig IKT-system- og applikationsdrift (i henhold til ISO 27001:2022 Annex A 5.3), herunder opdelingen af ​​administrativ trafik fra normal netværkstrafik.

  • Sørg for sikker lagring og overførsel af data på tværs af alle relevante netværk (inklusive tredjeparters netværk), og sørg for, at alle tilsluttede applikationer fungerer korrekt (se ISO 27001:2022 bilag A 5.22, 8.24, 5.14 og 6.6).

  • Hold styr på og observer alle aktiviteter, der påvirker den overordnede informationssikkerhed over hele netværket eller inden for individuelle komponenter (se ISO 27001:2022 Annex A 8.16 og 8.15).

  • Koordinere netværksstyringsoperationer, så de passer ind i virksomhedens sædvanlige forretningsprocesser. Sikre nøjagtighed og effektivitet for at nå målene.

  • Sørg for, at alle systemer og applikationer, der kræver brug, er godkendt før brug.

  • Filtrer al trafik, der passerer gennem netværket, ved at indstille en række regler, principper for indholdsfiltrering og dataforskrifter.

  • Sørg for, at alt udstyr, der forbinder til netværket, er synligt, ægte og kan administreres af IKT-personale.

  • Oprethold evnen til at adskille væsentlige forretningsundernetværk i tilfælde af en sikkerhedshændelse.

  • Stop eller inaktiver midlertidigt netværksprotokoller, der er blevet brudt eller er blevet upålidelige eller svage.

Medfølgende bilag A kontrol

  • ISO 27001:2022 Bilag A 5.14

  • ISO 27001:2022 Bilag A 5.22

  • ISO 27001:2022 Bilag A 5.3

  • ISO 27001:2022 Bilag A 6.6

  • ISO 27001:2022 Bilag A 8.15

  • ISO 27001:2022 Bilag A 8.16

  • ISO 27001:2022 Bilag A 8.24

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.20 erstatter ISO 27001:2013 Bilag A 13.1.1 (Netværkskontrol) i den reviderede 2022-standard.

Bilag A 8.20 opfordrer til en grundig tilgang til netværkssikkerhed, der tilbyder flere vigtige råd til at dække elementer som:

  • Isolering af undernetværk.

  • Vedligeholdelse af synlige enheder.

  • Firmware optegnelser.

  • Filtrering af trafik.

  • Suspendering af protokoller.

  • Kategorisering af netværksoplysninger.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online platform assisterer i alle stadier af ISO 27001:2022-implementeringen, fra udførelse af risikovurderingsaktiviteter til udarbejdelse af politikker, procedurer og instruktioner, der opfylder standardens specifikationer.

ISMS.online tilbyder en metode til at dokumentere opdagelser og dele dem med teammedlemmer online. Desuden giver det mulighed for at generere og gemme tjeklister for alle aktiviteter relateret til ISO 27001, så du nemt kan overvåge udviklingen af ​​din organisations sikkerhedssystem.

ISMS.online forenkler processen med at demonstrere overholdelse af ISO 27001-kriteriet for organisationer via dets automatiserede værktøjssæt.

Kontakt i dag for arrangere en demonstration.

Vores seneste succes med at opnå ISO 27001, 27017 & 27018 certificering skyldtes i høj grad ISMS.online.

Karen Burton
Sikkerhedsanalytiker, Trives med sundhed

Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere