ISO 27001:2022 Bilag A Kontrol 8.22

Adskillelse af netværk

Book en demo

shutterstock 1410209846 skaleret

Når cyberkriminelle infiltrerer computersystemer, tjenester eller enheder, begrænser de sig ikke til disse aktiver alene.

De gør brug af den første infiltration til at trænge ind i en virksomheds hele netværk, få adgang til følsomme data eller udføre ransomware-angreb.

Cyberskurke kunne stjæle loginoplysningerne for HR-medarbejdere på et hospital efter et vellykket phishing-angreb og give dem adgang til HR-systemer.

Ved at bruge deres adgangspunkt kan angriberne krydse netværket og afsløre netværk, der indeholder fortrolige patientdata. Denne indtrængen kan føre til tab af data, forårsage afbrydelse af driften eller endda åbne døren til et ransomware-angreb.

Hospitalet kunne forhindre uautoriseret adgang til fortrolige data og reducere konsekvenserne af et brud ved at bruge netværkssegmenteringsteknikker såsom firewalls, virtuelle netværk eller serverisolering.

ISO 27001:2022 Annex A 8.22 skitserer, hvordan virksomheder kan anvende og bevare passende netværksadskillelsesmetoder for at afværge risici for tilgængeligheden, integriteten og fortroligheden af ​​informationsaktiver.

Formål med ISO 27001:2022 bilag A 8.22

ISO 27001:2022 Annex A 8.22 giver organisationer mulighed for at opdele deres it-netværk i undernetværk afhængigt af graden af ​​følsomhed og vigtighed og begrænse transmissionen af ​​information mellem disse forskellige undernetværk.

Organisationer kan bruge dette til at forhindre malware og vira i at rejse fra inficerede netværk til dem, der indeholder følsomme data.

Dette garanterer det organisationer sikre fortroligheden, integriteten og tilgængeligheden af ​​dataaktiver, der er lagret på væsentlige undernetværk.

Ejerskab af bilag A 8.22

Informationssikkerhedsansvarlig skal holdes ansvarlig for at overholde ISO 27001:2022 bilag A 8.22, som kræver segmentering af netværk, enheder og systemer i henhold til risici og anvendelse af netværksadskillelsesteknikker og -procedurer.

Gå til emne
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 8.22 Overholdelse

Organisationer bør stræbe efter at opnå ligevægt mellem operationelle behov og sikkerhedsproblemer, når de indfører regler for netværksadskillelse.

ISO 27001: 2022 Bilag A Kontrol 8.22 giver tre anbefalinger, der skal tages i betragtning ved opsætning af netværksadskillelse.

Sådan adskilles netværket i mindre undernetværk

Når netværket opdeles i mindre underdomæner, bør organisationer overveje følsomheden og vigtigheden af ​​hvert netværksdomæne. Afhængigt af denne vurdering kan netværksunderdomæner mærkes som 'offentlige domæner', 'desktopdomæner', 'serverdomæner' eller 'højrisikosystemer'.

Organisationer bør tage hensyn til forretningsafdelinger som HR, marketing og økonomi i processen med at segmentere deres netværk.

Organisationer kan også slå disse to kriterier sammen ved at tildele netværksunderdomæner i kategorier såsom "serverdomæne, der linker til salgsafdelingen".

Sikkerhedsperimetre og adgangskontrol

Organisationer skal afgrænse grænserne for hvert netværksunderdomæne eksplicit. Hvis der skal være adgang mellem to forskellige netværksdomæner, bør denne forbindelse begrænses på perimetrisk niveau gennem brug af gateways som firewalls eller filtrerende routere.

Organisationer bør evaluere sikkerhedsbehovene for hvert domæne, når de etablerer netværksadskillelse, og når de giver adgang gennem gateways.

Denne vurdering skal udføres i overensstemmelse med adgangskontrolpolitikken påbudt af ISO 27001:2022 Annex A 5.15, under hensyntagen til følgende:

  • Klassificeringen tildelt infoaktiver er på hvilket niveau.

  • Vigtigheden af ​​informationen er altafgørende.

  • Omkostninger og funktionalitet er vigtige faktorer, når man beslutter, hvilken gateway-teknologi, der skal bruges.

Trådløse netværk

ISO 27001: 2022 Bilag A 8.22 anbefaler, at organisationer overholder følgende praksis, når de opretter netværkssikkerhedsparametre for trådløse netværk:

  • Evaluer brugen af ​​metoder til justering af radiodækning til at opdele trådløse netværk.

  • For sarte netværk kan organisationer tage alle forsøg på trådløs adgang som eksterne forbindelser og forbyde adgang til interne netværk, indtil gateway-kontrollen giver godkendelse.

  • Personale bør kun bruge deres egne enheder i overensstemmelse med organisationens politik; netværksadgangen til personale og gæster skal holdes adskilt.

  • Besøgende bør være underlagt de samme regler vedrørende Wi-Fi-brug som teammedlemmer.

Supplerende vejledning om ISO 27001:2022 Bilag A 8.22

Organisationer bør sikre, at alle forretningspartnerskaber er underlagt passende sikkerhedsforanstaltninger. Bilag A 8.22 råder organisationer til at implementere foranstaltninger til at beskytte deres netværk, it-enheder og andre informationsfaciliteter, når de samarbejder med forretningspartnere.

Netværk, der er følsomme, kan blive udsat for en øget risiko for uautoriseret adgang. For at beskytte mod dette bør organisationer tage passende skridt.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.22 erstatter ISO 27001:2013 Bilag A 13.1.3 i den seneste ISO-revision.

I sammenligning med ISO 27001:2013 kræver ISO 27001:2022-revisionen følgende af trådløse netværk:

  • Hvis personalet overholder organisationens politik og kun bruger deres egne enheder, skal den trådløse netværksadgang, der er tilvejebragt for personale og besøgende, holdes adskilt.

  • Gæster bør være underlagt de samme restriktioner og kontroller vedrørende Wi-Fi som personale.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.Online gør det lettere for dig at:

  • Dokumentprocesser nemt med denne brugervenlige grænseflade. Der kræves ingen softwareinstallation på din computer eller netværk.

  • Strømlin din risikoevalueringsprocedure ved at automatisere den.

  • Opnå let overholdelse ved at bruge online rapporter og tjeklister.

  • Oprethold en registrering af din progression, mens du arbejder hen imod certificering.

ISMS.online leverer et omfattende sæt funktionaliteter til at hjælpe organisationer og virksomheder med at møde industrien ISO 27002 og/eller ISO 27001:2022 ISMS-standard.

Kontakt os for at arrangere en demonstration.

Se hvordan vi kan hjælpe dig

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo
Metode med sikre resultater

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere