Konfigurationer, enten som en individuel konfigurationsfil eller en samling af konfigurationer forbundet med hinanden, bestemmer, hvordan hardware, software og netværk administreres.
Som et eksempel vil en firewalls konfigurationsfil indeholde de basislinjeattributter, som enheden bruger til at styre den trafik, der kommer ind i og forlader en organisations netværk, såsom blokeringslister, portvideresendelse, virtuelle LAN'er og VPN-oplysninger.
Konfigurationsstyring udgør en væsentlig del af enhver organisations formueforvaltning strategi. Konfigurationer er afgørende for at sikre, at et netværk kører, som det skal, og for at beskytte enheder mod ikke-godkendte ændringer eller upassende ændringer fra vedligeholdelsespersonale og/eller leverandører.
Konfigurationsstyring er en administrativ opgave dedikeret til at vedligeholde og observere aktivrelaterede data og information, der findes på forskellige enheder og applikationer. Derfor bør ejerskabet være i hænderne på Leder af it eller tilsvarende.
Book en 30 minutters chat med os, så viser vi dig hvordan
Organisationer skal udarbejde og implementere konfigurationsstyringspolitikker for både nye og eksisterende systemer og hardware. Intern kontrol bør omfatte nøgleelementer såsom sikkerhedskonfigurationer, hardware med konfigurationsfiler og enhver relevant software eller systemer.
ISO 27001: 2022 Bilag A 8.9 kræver, at organisationer overvejer alle relevante roller og pligter, når de etablerer en konfigurationspolitik, herunder tildeling af ejerskab af konfigurationer på en enhed-for-enhed eller applikation-for-applikation basis.
Organisationer bør stræbe efter at bruge standardiserede skabeloner til at sikre al hardware, software og systemer, når det er praktisk muligt. Disse skabeloner skal:
Sikkerhed er af største vigtighed, når du anvender konfigurationsskabeloner eller ændrer eksisterende i overensstemmelse med vejledningen nævnt ovenfor.
Når de overvejer skabeloner, der skal implementeres på tværs af virksomheden, bør organisationer stræbe efter at reducere potentielle informationssikkerhedsrisici ved at:
Organisationen er forpligtet til at bevare og registrere konfigurationer sammen med en historik over eventuelle ændringer eller nye opsætninger i overensstemmelse med ISO 27001:2022 Annex A 8.32 Change Management-processen.
Logfiler skal indeholde oplysninger, der detaljer:
Organisationer bør anvende et bredt spektrum af metoder til at holde styr på, hvordan konfigurationsfiler fungerer på tværs af deres netværk, såsom:
Organisationer bør anvende specialiseret software til at overvåge eventuelle ændringer i en enheds konfiguration, og træffe hurtige handlinger for enten at godkende eller vende transformationen tilbage til dens oprindelige status.
ISO 27001:2022 Bilag A 8.9 findes ikke i ISO 27001:2013, da det er en ny tilføjelse i 2022-revisionen.
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
ISMS.Online giver en omfattende tilgang til ISO 27001 implementering. Det tilbyder en fuld-service pakke, der sikrer, at hele processen håndteres hurtigt og effektivt. Det giver alle de nødvendige værktøjer, ressourcer og vejledning for at gøre det muligt for organisationer at implementere standarden med tillid.
Dette webbaserede system giver dig mulighed for at demonstrere, at din Information Security Management System (ISMS) lever op til de accepterede standarder, med velovervejede processer, procedurer og tjeklister.
Kontakt os nu for at arrangere en demonstration.