ISO 27001:2022 Bilag A Kontrol 8.8

Håndtering af tekniske sårbarheder

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

Formål med ISO 27001:2022 bilag A 8.8

Intet computernetværk, system, software eller enhed er helt sikkert. At køre et moderne LAN eller WAN medfører sårbarheder som en del af processen, så det er vigtigt for organisationer at acceptere deres tilstedeværelse og stræbe efter at reducere de potentielle risici.

ISO 27001:2022 Annex A 8.8 giver et væld af råd til at hjælpe organisationer med at beskytte deres netværk mod intern og ekstern udnyttelse af sårbarheder. Det gør brug af procedurer og retningslinjer fra flere andre ISO 27001: 2022 Bilag A Kontrol, især dem til Change Management (se bilag A 8.32) og Adgangskontrol .

Ejerskab af bilag A 8.8

ISO 27001:2022 Bilag A 8.8 omhandler teknisk og administrativ styring af software, systemer og ikt-aktiver. Den foreskriver en omfattende tilgang til softwarestyring, formueforvaltning, og netværkssikkerhedsrevision.

Den person, der har det endelige ansvar for vedligeholdelsen af ​​organisationens IKT-infrastruktur, såsom IT-chefen eller tilsvarende, bør være ejeren af ​​ISO 27001:2022 Bilag A 8.8.

Gå til emne

Vejledning om identifikation af sårbarheder

Inden der udføres sårbarhedskontrol, er det vigtigt at anskaffe sig en omfattende og aktuel liste over fysiske og digitale aktiver (se bilag A 5.9 og 5.14), der ejes og drives af organisationen.

Softwareaktivdata bør omfatte:

  • Versionsnumre i drift.

  • Hvor softwaren er implementeret på tværs af godset.

  • Leverandørnavn.

  • Applikationsnavn.

Organisationer bør stræbe efter at identificere tekniske sårbarheder ved at:

  • Det er vigtigt klart at definere, hvem i organisationen er ansvarlig for sårbarhedshåndtering fra en teknisk synspunkt, der opfylder sine forskellige funktioner, som omfatter (men er ikke begrænset til):

  • I organisationen, hvem er ansvarlig for softwaren.

  • Hold et register over applikationer og værktøjer til at identificere tekniske svagheder.

  • Anmod leverandører og leverandører om at afsløre eventuelle modtageligheder med nye systemer og hardware, når de leverer dem (i henhold til bilag A 5.20 i ISO 27001:2022), og specificer det tydeligt i alle gældende kontrakter og serviceaftaler.

  • Brug sårbarhedsscanningsværktøjer og patchingfaciliteter.

  • Udfør periodiske, dokumenterede penetrationstest, enten af ​​internt personale eller af en godkendt tredjepart.

  • Vær opmærksom på potentialet for underliggende programmatiske sårbarheder, når du bruger tredjeparts kodebiblioteker eller kildekode (se ISO 27001:2022 Annex A 8.28).

Vejledning om offentlige aktiviteter

Organisationer bør skabe politikker og procedurer, der opdager sårbarheder i alle deres produkter og tjenester og få vurderinger af disse sårbarheder relateret til deres forsyning.

ISO råder organisationer til at tage skridt til at identificere eventuelle sårbarheder og motivere tredjeparter til at deltage i sårbarhedshåndteringsaktiviteter ved at tilbyde dusørprogrammer (hvor potentielle udnyttelser søges og rapporteres til organisationen i bytte for en belønning).

Organisationer bør gøre sig tilgængelige for offentligheden gennem fora, offentlige e-mail-adresser og forskning, så de kan udnytte offentlighedens kollektive viden til at beskytte deres produkter og tjenester.

Organisationer bør gennemgå enhver afhjælpende handling, der er truffet, og overveje at frigive relevant information til berørte personer eller organisationer. Desuden bør de engagere sig med specialiserede sikkerhedsorganisationer for at sprede viden om sårbarheder og angrebsvektorer.

Organisationer bør overveje at levere et valgfrit automatisk opdateringssystem, som kunderne kan vælge at bruge eller ej i henhold til deres forretningskrav.

Vejledning om evaluering af sårbarheder

Nøjagtig rapportering er afgørende for at sikre hurtig og effektiv korrigerende handling, når sikkerhedsrisici opdages.

Organisationer bør vurdere sårbarheder ved at:

  • Undersøg rapporterne grundigt og afgør, hvilken handling der er nødvendig, såsom ændring, opdatering eller eliminering af påvirkede systemer og/eller udstyr.

  • Opnå en løsning, der tager hensyn til andre ISO-kontroller (især dem, der er relateret til ISO 27001:2022) og anerkender risikoniveauet.

Vejledning i modvirkning af softwaresårbarheder

Softwaresårbarheder kan effektivt tackles ved hjælp af en proaktiv tilgang til softwareopdateringer og patch-håndtering. At sikre regelmæssige opdateringer og patches kan hjælpe med at beskytte dit system mod potentielle trusler.

Organisationer bør sørge for at bibeholde eksisterende softwareversioner, før de foretager ændringer, udføre grundige test af alle ændringer og anvende disse på en udpeget kopi af softwaren.

Når sårbarheder er identificeret, bør organisationer tage skridt til at løse dem:

  • Sigt efter hurtigt og effektivt at rette alle sikkerhedssvagheder.

  • Hvor det er muligt, skal du overholde de organisatoriske protokoller om Change Management (se ISO 27001:2022 Annex A 8.32) og Incident Handling (se ISO 27001:2022 Annex A 5.26).

  • Anvend kun patches og opdateringer fra pålidelige, certificerede kilder, især for tredjepartsleverandørs software og udstyr:

    • Organisationer bør evaluere de foreliggende data for at beslutte, om det er vigtigt at anvende automatiske opdateringer (eller komponenter af dem) til købt software og hardware.

  • Før du installerer, skal du teste eventuelle opdateringer for at forhindre uventede problemer i et live-miljø.

  • Giv topprioritet til at tackle højrisiko og vitale forretningssystemer.

  • Sørg for, at afhjælpende handlinger er vellykkede og ægte.

I tilfælde af, at der ikke er nogen opdatering tilgængelig, eller der er hindringer for at installere en (f.eks. omkostningsrelateret), bør organisationer overveje andre metoder, såsom:

  • Anmoder om vejledning fra leverandøren om en midlertidig løsning, mens afhjælpningsindsatsen intensiveres.

  • Sluk alle netværkstjenester, der er påvirket af sårbarheden.

  • Implementering af sikkerhedskontrol ved vigtige gateways, såsom trafikregler og filtre, for at beskytte netværket.

  • Øg overvågningen i forhold til den tilknyttede risiko.

  • Sørg for, at alle berørte parter er opmærksomme på fejlen, herunder leverandører og købere.

  • Udskyd opdateringen og evaluer risiciene, og notér især eventuelle potentielle driftsomkostninger.

Medfølgende bilag A kontrol

  • ISO 27001:2022 Bilag A 5.14

  • ISO 27001:2022 Bilag A 5.20

  • ISO 27001:2022 Bilag A 5.9

  • ISO 27001:2022 Bilag A 8.20

  • ISO 27001:2022 Bilag A 8.22

  • ISO 27001:2022 Bilag A 8.28

Supplerende vejledning om bilag A 8.8

Organisationer bør opretholde en revisionsspor af alle relevante sårbarhedshåndteringsaktiviteter for at hjælpe med korrigerende handlinger og fremme protokoller i tilfælde af et sikkerhedsbrud.

Periodisk vurdering og gennemgang af hele sårbarhedshåndteringsprocessen er en fantastisk måde at forbedre ydeevnen og proaktivt identificere eventuelle sårbarheder.

Hvis organisationen ansætter en cloud-tjenesteudbyder, bør de sikre, at udbyderens tilgang til sårbarhedshåndtering er kompatibel med deres egen og bør inkluderes i den bindende serviceaftale mellem begge parter, herunder eventuelle rapporteringsprocedurer (se ISO 27001:2022 bilag A 5.32) .

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.8 erstatter to Annex A-kontroller fra ISO 27001:2013, disse er:

  • 12.6.1 – Håndtering af tekniske sårbarheder

  • 18.2.3 – Teknisk overensstemmelsesgennemgang

ISO 27001:2022 Bilag A 8.8 introducerer en ny, særskilt tilgang til sårbarhedshåndtering end den, der findes i ISO 27001:2013. Det er en bemærkelsesværdig afvigelse fra den tidligere standard.

ISO 27001:2013 Annex A 12.6.1 fokuserede hovedsageligt på at indføre korrigerende foranstaltninger, når en sårbarhed er opdaget, hvorimod Annex A 18.2.3 kun gælder for tekniske midler (hovedsagelig penetrationstest).

ISO 27001:2022 Annex A 8.8 introducerer nye afsnit, der omhandler en organisations offentlige ansvar, metoder til genkendelse af sårbarheder og den rolle, cloud-udbydere spiller for at holde sårbarheder på et minimum.

ISO 27001:2022 lægger stor vægt på sårbarhedshåndteringens rolle på andre områder (såsom forandringsledelse) og opfordrer til at tage en holistisk tilgang, der inkorporerer flere andre kontroller og informationssikkerhedsprocesser.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Vores platformen er brugervenlig og ligetil. Det er beregnet til alle i organisationen, ikke kun teknologikyndige mennesker. Vi anbefaler at inddrage personale fra alle niveauer af virksomheden i opbygning af dit ISMS da dette hjælper med at skabe et system, der holder.

Tag kontakt nu for at arrangere en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere