ISO 27001:2022 Bilag A Kontrol 8.9

Configuration Management

Book en demo

tæt på, op, billede, afrikansk, mandlig, hænder, skrivning, på, bærbar computer, tastatur.

Formål med ISO 27001:2022 bilag A 8.9

Konfigurationer, enten som en individuel konfigurationsfil eller en samling af konfigurationer forbundet med hinanden, bestemmer, hvordan hardware, software og netværk administreres.

Som et eksempel vil en firewalls konfigurationsfil indeholde de basislinjeattributter, som enheden bruger til at styre den trafik, der kommer ind i og forlader en organisations netværk, såsom blokeringslister, portvideresendelse, virtuelle LAN'er og VPN-oplysninger.

Konfigurationsstyring udgør en væsentlig del af enhver organisations formueforvaltning strategi. Konfigurationer er afgørende for at sikre, at et netværk kører, som det skal, og for at beskytte enheder mod ikke-godkendte ændringer eller upassende ændringer fra vedligeholdelsespersonale og/eller leverandører.

Ejerskab af bilag A 8.9

Konfigurationsstyring er en administrativ opgave dedikeret til at vedligeholde og observere aktivrelaterede data og information, der findes på forskellige enheder og applikationer. Derfor bør ejerskabet være i hænderne på Leder af it eller tilsvarende.

Gå til emne

Vejledning om ISO 27001:2022 Bilag A 8.9 Overholdelse

Organisationer skal udarbejde og implementere konfigurationsstyringspolitikker for både nye og eksisterende systemer og hardware. Intern kontrol bør omfatte nøgleelementer såsom sikkerhedskonfigurationer, hardware med konfigurationsfiler og enhver relevant software eller systemer.

ISO 27001: 2022 Bilag A 8.9 kræver, at organisationer overvejer alle relevante roller og pligter, når de etablerer en konfigurationspolitik, herunder tildeling af ejerskab af konfigurationer på en enhed-for-enhed eller applikation-for-applikation basis.

Vejledning om standardskabeloner

Organisationer bør stræbe efter at bruge standardiserede skabeloner til at sikre al hardware, software og systemer, når det er praktisk muligt. Disse skabeloner skal:

  • Forsøg på at bruge frit tilgængelige leverandørspecifikke og open source-instruktioner til optimalt at konfigurere hardware- og softwareaktiver.

  • Sørg for, at enheden, applikationen eller systemet overholder minimumssikkerhedskravene.

  • Samarbejde med virksomhedens større informationssikkerhed aktiviteter, herunder alle gældende ISO-regler.

  • Tag højde for organisationens særlige forretningsbehov – især med hensyn til sikkerhedsindstillinger – samt muligheden for at anvende eller administrere en skabelon til enhver tid.

  • Gennemgå med jævne mellemrum system- og hardwareopdateringer og eventuelle aktuelle sikkerhedstrusler for at sikre optimal ydeevne.

Vejledning om sikkerhedskontrol

Sikkerhed er af største vigtighed, når du anvender konfigurationsskabeloner eller ændrer eksisterende i overensstemmelse med vejledningen nævnt ovenfor.

Når de overvejer skabeloner, der skal implementeres på tværs af virksomheden, bør organisationer stræbe efter at reducere potentielle informationssikkerhedsrisici ved at:

  • Begræns mængden af ​​personale med administrativ myndighed til den mindst mulige mængde.

  • Deaktiver eventuelle identiteter, der ikke bruges eller ikke er nødvendige.

  • Spor adgang til vedligeholdelsesprogrammer, hjælpeprogrammer og interne indstillinger omhyggeligt.

  • Sørg for, at ure er koordineret til at registrere konfiguration nøjagtigt og hjælpe eventuelle fremtidige sonder.

  • Skift med det samme alle standardadgangskoder eller sikkerhedsindstillinger, der følger med enhver enhed, tjeneste eller program.

  • Implementer en forudindstillet log-off-periode for alle enheder, systemer eller applikationer, der har været inaktive i en forudbestemt tidsramme.

  • Sikre overholdelse af ISO 27001:2022 Annex A 5.32 for at garantere, at alle licenskrav er blevet opfyldt.

Vejledning om styring og overvågning af konfigurationer

Organisationen er forpligtet til at bevare og registrere konfigurationer sammen med en historik over eventuelle ændringer eller nye opsætninger i overensstemmelse med ISO 27001:2022 Annex A 8.32 Change Management-processen.

Logfiler skal indeholde oplysninger, der detaljer:

  • Hvem har aktivet.

  • Registrer tidspunktet for den seneste konfigurationsændring.

  • Denne version af konfigurationsskabelonen, der er i kraft.

  • Forklar alle data, der er relevante for aktivets tilknytning til konfigurationer på andre gadgets/systemer.

Organisationer bør anvende et bredt spektrum af metoder til at holde styr på, hvordan konfigurationsfiler fungerer på tværs af deres netværk, såsom:

  • Automatisering.

  • Specialiserede konfigurationsvedligeholdelsesprogrammer er tilgængelige til brug. Disse programmer muliggør effektiv og effektiv styring af indstillinger.

  • Fjernsupportværktøjer, der automatisk udfylder konfigurationsdata for hver enhed.

  • Enterprise enheds- og softwarestyringsværktøjer er skabt til at observere store mængder konfigurationsdata samtidigt.

  • BUDR-softwaren leverer automatiske sikkerhedskopier af konfigurationer til et sikkert sted og kan eksternt eller på stedet gendanne skabeloner til enheder, der ikke fungerer korrekt eller kompromitteret.

Organisationer bør anvende specialiseret software til at overvåge eventuelle ændringer i en enheds konfiguration, og træffe hurtige handlinger for enten at godkende eller vende transformationen tilbage til dens oprindelige status.

Medfølgende bilag A kontrol

  • ISO 27001:2022 Bilag A 5.32

  • ISO 27001:2022 Bilag A 8.32

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.9 findes ikke i ISO 27001:2013, da det er en ny tilføjelse i 2022-revisionen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.Online giver en omfattende tilgang til ISO 27001 implementering. Det tilbyder en fuld-service pakke, der sikrer, at hele processen håndteres hurtigt og effektivt. Det giver alle de nødvendige værktøjer, ressourcer og vejledning for at gøre det muligt for organisationer at implementere standarden med tillid.

Dette webbaserede system giver dig mulighed for at demonstrere, at din Information Security Management System (ISMS) lever op til de accepterede standarder, med velovervejede processer, procedurer og tjeklister.

Kontakt os nu for at arrangere en demonstration.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere