ISO 27001:2022 Bilag A Kontrol 8.32

Change Management

Book en demo

data,center,programmør,bruger,digital,laptop,computer,vedligeholdelse,det,specialist.

Ændringer i informationssystemer, såsom udskiftning af en netværksenhed, oprettelse af en ny databaseinstans eller opgradering af software, er ofte nødvendige for at forbedre ydeevnen, reducere omkostningerne og øge effektiviteten.

Hvis det ikke udføres korrekt, kan ændringer af informationsbehandlingsfaciliteter og -systemer kompromittere de data, der er lagret eller behandlet i dem.

ISO 27001: 2022 Bilag A 8.32 undersøger, hvordan organisationer kan opsætte og udføre ændringsstyringsprocedurer for at overvåge, undersøge og administrere ændringer i informationsbehandlingsfaciliteterne og -systemerne.

Formål med ISO 27001:2022 bilag A 8.32

ISO 27001:2022 Bilag A Kontrol 8.32 giver organisationer mulighed for at beskytte informationsaktiver, mens de foretager ændringer i informationsbehandlingssystemer og faciliteter. Det gør den ved at opsætte, udføre og administrere regler og procedurer for forandringsledelse.

Ejerskab af bilag A 8.32

Chief Information Security Officers, med ekspertise fra domæneeksperter, bør være ansvarlige for at designe og håndhæve ændringskontrolprocedurer, der gælder for alle stadier af informationssystemets livscyklus, i overensstemmelse med ISO 27001:2022 Bilag A Kontrol 8.32.

Gå til emne
Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 8.32 Overholdelse

Alle ændringer af informationssystemer såvel som implementering af nye systemer bør overholde et etableret sæt af regler og procedurer. Detaljerne i disse ændringer skal udtrykkeligt angives og dokumenteres. Derudover skal de gennemgå vurderings- og kvalitetssikringsprocesser.

Organisationer bør tildele ledelsesopgaver til den bedst egnede ledelse og fastlægge de nødvendige procedurer for at sikre, at alle ændringer er i overensstemmelse med ændringskontrolforskrifter og -standarder.

ISO 27001:2022 Bilag A Kontrol 8.32 opregner ni komponenter, der skal indgå i ændringsstyringsproceduren:

  1. Organisationer bør kortlægge og vurdere den potentielle effekt af foreslåede ændringer under hensyntagen til alle afhængigheder.

  2. Implementer autorisationskontroller for ændringer. Sørg for, at alle ændringer er godkendt af det relevante personale. Sørg for, at kun autoriseret personale har adgang til systemet, og at alle ændringer er korrekt dokumenteret.

  3. Meddel gældende inden for og uden for grupper om de foreslåede ændringer.

  4. Sikre overholdelse af ISO 27001:2022 bilag A 8.29 ved at udvikle og udføre test- og accepttests for modifikationer.

  5. Implementeringen af ​​ændringerne og deres praktiske implementering vil blive varetaget.

  6. Etablere nød- og beredskabsplaner og -procedurer, herunder en tilbagefaldsprocedure.

  7. Vedligeholdelse af registre over alle ændringer og tilknyttede aktiviteter, omfattende 1-6 nævnt ovenfor.

  8. For at sikre overensstemmelse med bilag A 5.37 i ISO 27001:2022, bliver driftsdokumentation og brugerprocedurer regelmæssigt gennemgået og ændret efter behov.

  9. IKT-kontinuitetsplaner og genopretnings- og reaktionsprocedurer skal evalueres og opdateres for at imødekomme ændringerne.

Organisationer bør stræbe efter at inkorporere ændringskontrolprocedurer for software og ikt-infrastruktur så meget som muligt.

Supplerende vejledning om bilag A 8.32

Ændringer i produktionsmiljøet, f.eks. operativsystemer og databaser, kan bringe applikationsintegritet og tilgængelighed i fare, specielt overførsel af software fra udvikling til produktion.

Organisationer bør være på vagt over for de potentielle resultater af at ændre software i deres produktionsmiljø. Der kan opstå uforudsete konsekvenser, så der skal udvises forsigtighed.

Organisationer bør køre test på IKT-komponenter i et sikkert, adskilt miljø, væk fra udvikling og produktion.

Organisationer kan få mere kontrol over ny software og beskytte de virkelige data, der bruges til test med patches og service packs, hvilket giver et ekstra lag af beskyttelse.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.32 erstatter de fire afsnit i ISO 27001:2013 Bilag A 12.1.2, 14.2.2, 14.2.3 og 14.2.4.

I ISO 27001:2013 var ændringskontrolprocedurerne mere specificerede, end de vil være i 2022.

Der kan identificeres tre nøgleforskelle mellem de to versioner.

ISO 27001:2013-versionen var mere detaljeret med hensyn til, hvad 'ændringsprocedure' skulle indebære

ISO 27001:2022 og ISO 27001:2013 versionerne angiver begge på en ikke-udtømmende måde, hvad der skal inkluderes i en ændringsprocedure.

2013-udgaven indeholdt komponenter, der ikke er nævnt i 2022-varianten:

  • Identificer og gennemgå sikkerhedskritisk kode for at afhjælpe eventuelle svagheder.

  • Organisationer bør opretholde versionskontrol for alle softwareændringer.

  • Organisationer bør oprette og registrere en liste over hardware- og softwarekomponenter, der kræver ændring og opdatering.

ISO 27001:2013-versionen omhandlet 'Ændringer til driftsplatforme'

Bilag A 14.2.3 i ISO 27001:2013 skitserer måder, hvorpå organisationer kan reducere de negative påvirkninger og forstyrrelser på forretningsdrift, som kan komme fra ændringer af operativsystemer.

Til sammenligning indeholder ISO 27001:2022 ingen krav til ændringer.

ISO 27001:2013 rettet 'Ændringer til softwarepakker'

Bilag A 14.2.4, adresseret til 'Ændringer til softwarepakker' i ISO 27001:2013, dette er ikke inkluderet i ISO 27001:2022-versionen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Vores cloud-platform tilbyder en stærk struktur af informationssikkerhedsforanstaltninger, der gør det muligt for dig at afkrydse din ISMS-proces, efterhånden som du gør fremskridt, hvilket garanterer, at den opfylder ISO 27000k-kriterierne.

ISMS.online kan hjælpe dig med at opnå certificering effektivt og med minimale ressourcer. Når det anvendes korrekt, kan det være et stort aktiv for at nå dette mål.

Kontakt os nu for at planlægge en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opnå din første ISO 27001

Download vores gratis guide til hurtig og bæredygtig certificering

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere