ISO 27001:2022 Bilag A Kontrol 8.3

Begrænsning af informationsadgang

Book en demo

kolleger,arbejde,moderne,studie.produktion,ledere,team,arbejdende,nyt,projekt.ung,virksomhed

Formål med ISO 27001:2022 bilag A 8.3

En organisations informationssikkerhedspolitik er stærkt afhængig af intern og ekstern adgang til information.

ISO 27001: 2022 Bilag A 8.3 er en forebyggende foranstaltning til styre risiko ved at etablere regler og procedurer for at forhindre uautoriseret adgang/misbrug af en organisations informationer og IKT-aktiver.

Ejerskab af bilag A 8.3

ISO 27001:2022 Bilag A 8.3 omhandler en organisations kapacitet til at regulere adgangen til information. Det sikrer, at oplysninger kun er tilgængelige for autoriseret personale.

Ejerskab af information og datasikkerhedspraksis bør ligge hos Chief Information Security Officer (eller deres organisatoriske ækvivalent). Denne person tager det fulde ansvar for organisationens overordnede sikkerhedstilgang.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.3

For at opretholde effektiv kontrol over information og ikt-aktiver bør organisationer tage en emnespecifik tilgang til informationsadgang og støtte adgangsbegrænsningsforanstaltninger, såsom:

  1. Bloker anonym adgang til oplysninger, herunder bred offentlig adgang:

  2. Sikre korrekt vedligeholdelse af systemer til regulering af adgang og eventuelle tilknyttede forretningsapplikationer eller procedurer.

  3. Indstil dataadgang på individuelt niveau.

  4. Skitser dataadgangsrettighederne mellem grupper, der validerer operationer, såsom læse, skrive, slette og udføre.

  5. Oprethold kapaciteten til at opdele vitale processer og applikationer med en række fysiske og digitale adgangsbegrænsninger.

Vejledning om Dynamic Access Management

ISO 27001:2022 Bilag A 8.3 anbefaler en dynamisk tilgang til informationsadgang.

Dynamisk adgangsstyring har mange positive effekter på organisatoriske aktiviteter, som involverer deling eller udnyttelse af interne data med eksterne brugere, hvilket resulterer i hurtigere hændelsesløsning.

Teknikker til dynamisk adgangsstyring beskytter en række forskellige informationstyper, fra almindelige dokumenter til e-mails og databaseoplysninger. Desuden kan de anvendes på individuelle filer, hvilket giver organisationer mulighed for at have en præcis kontrol over deres data.

Organisationer bør tage højde for dette, når:

  • Granulær kontrol er nødvendig for at bestemme, hvilke menneskelige og ikke-menneskelige brugere der kan få adgang til oplysningerne på et givet tidspunkt.

  • Der er behov for at dele data med eksterne enheder (f.eks. leverandører eller offentlige myndigheder).

  • En "real-time" tilgang til datastyring og -distribution indebærer overvågning og styring af dataudnyttelsen, efterhånden som den sker.

  • Beskyttelse af data mod uautoriserede ændringer, distribution eller udskrivning.

  • Overvågning af adgang til og ændringer af oplysninger, især når de er følsomme, er afgørende.
Dynamisk adgangsstyring er særlig fordelagtig for organisationer, der kræver observation og bevarelse af data fra start til destruktion, herunder:

  • En use-case eller serie af use-cases kan skitseres for at anvende dataadgangsregler baseret på variablerne nedenfor:

    • Lokation

    • Anvendelse

    • Identity

    • Enhed

  • Skitser en proces inklusive data drift , overvågning, samt etablering af et omfattende rapporteringssystem baseret på en pålidelig teknisk infrastruktur.

Alle forsøg på at skabe et effektivt system til adgangskontrol bør resultere i, at data beskyttes af:

  1. At sikre dataadgang er resultatet af en vellykket godkendelse.

  2. En grad af begrænset adgang, afhængig af typen af ​​data og dens evne til at påvirke business kontinuitet, skal sættes på plads.

  3. Udskrivningstilladelser.

  4. Kryptering.

  5. Omfattende revisionslogs at registeret, hvem der får adgang til data, og formålet med dataens brug, skal opbevares.

  6. En procedure for advarsler, som markerer enhver ukorrekt brug af data, herunder (men ikke begrænset til) uautoriseret adgang, distribution og forsøg på at slette.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.3 erstatter ISO 27001:2013 Bilag A 9.4.1 (Informationsadgangsbegrænsning), der repræsenterer et stort skift i, hvordan ISO betragter informationsadgangsstyring.

Denne dynamiske tilgang, som ikke blev nævnt i ISO 27001:2013 Annex A 9.4.1, tager højde for den udviklende karakter af informationssikkerhed.

ISO 27001:2022 Bilag 8.3 indeholder et væld af vejledningsnoter om dynamisk adgangsstyring, som ikke findes i ISO 27001:2013-udgaven. Derfor bør organisationer se over disse forslag emne for emne, når de søger certificering.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.Online er den førende ISO 27001-styringssystemsoftware, der hjælper med at overholde ISO 27001 og gør det muligt for virksomheder at tilpasse deres sikkerhedspolitikker og -procedurer til standarden.

Denne skybaseret platform forsyner organisationer med en komplet suite af værktøjer til at hjælpe dem med at opbygge et Information Security Management System (ISMS), der er kompatibelt med ISO 27001:2022.

Vi har konstrueret vores platform fra bunden, i samarbejde med internationale informationssikkerhedsspecialister. Vi har designet det til at være intuitivt og ligetil for brugere, der mangler teknisk ekspertise indenfor Informationssikkerhedsstyringssystemer (ISMS).

Kontakt os nu for at arrangere en demonstration.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere