inde i iso 27001 2022 bilag aa et nærmere kig på nøglekontrolbanner

Inde i ISO 27001:2022 Bilag A: Et nærmere kig på nøglekontroller

Introduktion til ISO 27001:2022 bilag A

ISO 27001: 2022 er en international informationssikkerhedsstandard implementeret gennem et informationssikkerhedsstyringssystem (ISMS). Standardens bilag A indeholder 93 sikkerhedskontroller, der kan anvendes baseret på din organisations behov og mål.  

Implementering af disse kontroller gør det muligt for din organisation at håndtere potentielle risici og opnå overholdelse af ISO 27001-standarden. Det er en gennemprøvet tilgang til at vise dine kunder og kundeemner, at beskyttelse af deres data er en prioritet for din virksomhed.  

I denne artikel vil vi undersøge bilag A, skitsere kritiske kontroller og forklare, hvorfor forståelse og implementering af relevante bilag A-kontroller er afgørende for din organisations ISO 27001-succes. 

ISO 27001:2022 Bilag A kategorier

 Den 93 ISO 27001:2022 Bilag A kontroller er klassificeret i fire kategorier: 

  •        Organisatoriske kontroller
  •        Folk kontrollerer
  •        Fysiske kontroller 
  •        Teknologisk kontrol.

Organisatoriske kontroller

ISO 27001 indeholder 37 organisatoriske kontroller. Disse kontroller relaterer til din organisations politikker, procedurer, strukturer og mere, hvilket gør dig i stand til at implementere effektiv informationssikkerhed på organisationsniveau.  

Organisatoriske kontroller omfatter dine informationssikkerhedspolitikker, ansvar for informationssikkerhed, adgangskontrol, asset management og mere. 

People Controls

ISO 27001 indeholder otte personkontroller, der fokuserer på kritiske foranstaltninger, organisationer bør tage for at sikre, at medarbejderne modtager tilstrækkelig informationssikkerhedsuddannelse og kender deres ansvar. 

Personkontrol omfatter informationssikkerhedsuddannelse, opmærksomhed og træning, fjernarbejde, rapportering af informationssikkerhedshændelser og mere. 

Fysiske kontroller 

De 14 fysiske kontroller i ISO 27001 adresserer sikkerheden i din organisations fysiske miljø. 

Fysiske kontroller omfatter sikkerhedsforanstaltninger til arbejde i sikre områder, administration af lagermedier, klare skrivebords- og skærmpolitikker og mere. 

Teknologisk kontrol

Der er 34 teknologiske kontroller skitseret i ISO 27001:2022, der vedrører forskellige teknologiske elementer på tværs af din organisation. 

Teknologisk kontrol omfatter sikker autentificering, styring af tekniske sårbarheder, overvågningsaktiviteter og brug af kryptografi. 

Kritisk ISO 27001:2022 Bilag A kontroller

Din organisation behøver ikke nødvendigvis at implementere alle 93 kontroller, men du bør vælge kontroller, der er relevante for din organisations informationssikkerhedsmål og de risici, du har identificeret. Adskillige vitale kontroller er påkrævet for de fleste, hvis ikke alle, organisationer for at overholde ISO 27001. 

Bemærk, at nedenstående liste ikke er udtømmende. Din organisation bør overveje hver kontrol baseret på dine overordnede informationssikkerhedsmål. 

A.5.1 Politikker for informationssikkerhed

kontrol A.5.1, Politikker for informationssikkerhed, sikrer fortsat egnethed, tilstrækkelighed og effektivitet af ledelsesstøtte og retning for din organisations informationssikkerhed og privatliv. 

Implementeret med succes sikrer denne kontrol, at din organisation har et sæt informationssikkerheds- og privatlivspolitikker designet til at informere og vejlede enkeltpersoners adfærd i overensstemmelse med informationssikkerhedsrisici.  

For eksempel din informationssikkerhedspolitik, som er et krav om ISO 27001:2022 paragraf 5.2, skal godkendes af ledelsen og angive din organisations tilgang til styring af informationssikkerhed. Den bør overveje din forretningsstrategi, krav, relevant lovgivning, regler og kontrakter.  

Politikken skal: 

  • Medtag en definition af informationssikkerhed 
  • Skab en ramme for etablering af informationssikkerhedsmål 
  • Angiv en løbende forpligtelse til at forbedre din organisations ISMS 
  • Tildel ansvar for informationssikkerhedsstyring til definerede roller. 

Topledelsen bør godkende informationssikkerhedspolitikken og eventuelle ændringer for at sikre effektiv implementering. Du bør derefter kommunikere politikken (og eventuelle tilknyttede underpolitikker, såsom adgangskontrol og asset management politikker) til relevant personale. 

 A.5.1. Resultater: Informationssikkerhedspolitik; relevante emnespecifikke underpolitikker, f.eks A.5.10 Acceptabel brug af information og andre tilknyttede aktiver, A.8.32 Forandringsledelse, A.8.13 Sikkerhedskopiering af oplysningerOsv 

A.5.15 Adgangskontrol

kontrol A.5.15, Adgangskontrol kræver, at din organisation etablerer og implementerer regler for at kontrollere fysisk og logisk adgang til information og andre tilknyttede aktiver baseret på forretnings- og informationssikkerhedskrav. Dette sikrer, at kun autoriserede profiler kan få adgang til oplysninger og andre aktiver og forhindrer uautoriseret adgang. 

Du bør adressere denne kontrol med en adgangskontrolpolitik, som ligger som en emnespecifik politik under din informationssikkerhedspolitik. Din adgangskontrolpolitik bør overveje:  

  • Bestemmelse af, hvilke enheder der kræver hvilken type adgang til information og andre aktiver 
  • Sikkerhed af applikationer 
  • Fysisk adgang, understøttet af fysiske adgangskontroller 
  • Informationsformidling og -autorisation og informationssikkerhedsniveauer og klassificering af information 
  • Begrænsninger for privilegeret adgang 
  • Opdeling af pligter 
  • Relevant lovgivning, regler og kontraktlige forpligtelser vedrørende begrænsning af adgang til data eller tjenester 
  • Adskillelse af adgangskontrolfunktioner (såsom adgangsanmodning, adgangsautorisation og adgangsadministration) 
  • Formel godkendelse af adgangsanmodninger 
  • Håndtering af adgangsrettigheder 
  • Logning. 

Need-to-know og need-to-use principper er almindeligt anvendt i adgangskontrol: 

  • Behov for at vide indebærer, at en enhed (såsom en person eller organisation) kun får adgang til oplysninger, som enheden har brug for for at udføre sine opgaver.  
  • Nødt til at bruge indebærer, at en enhed kun får adgang til informationsteknologisk infrastruktur med et klart behov.  

Disse principper kan guide, hvordan din organisation giver adgang til informationsaktiver. Du bør også overveje forretningskrav og risikofaktorer, når du definerer, hvilke adgangskontrolregler der skal anvendes, og det nødvendige granularitetsniveau. 

A.5.15 Resultater: Emnespecifik adgangskontrolpolitik; implementering af adgangskontrol (f.eks. obligatorisk adgangskontrol, diskretionær adgangskontrol, rollebaseret adgangskontrol eller attributbaseret adgangskontrol). 

A.6.3 Informationssikkerhedsbevidsthed, uddannelse og træning

kontrol A.6.3, Informationssikkerhedsbevidsthed, uddannelse og træning, er grundlaget for din organisations sikkerhedsposition. Det sikrer, at dine medarbejdere og interesserede parter kan forebygge, identificere og rapportere potentielle informationssikkerhedshændelser.  

Kontrollen kræver, at personale og relevante parter modtager passende informationssikkerhedsbevidsthed, uddannelse, træning og regelmæssige opdateringer om din organisations informationssikkerhedspolitik og emnespecifikke politikker og procedurer, som er relevante for deres roller. 

Du bør etablere et informationssikkerhedsbevidsthed, uddannelse og træningsprogram i overensstemmelse med dine informationssikkerhedsmål, og træning bør finde sted med jævne mellemrum. Programmet skal gøre personalet bevidst om deres ansvar for informationssikkerhed og omfatte en passende uddannelses- og træningsplan for at hjælpe personalet med at forstå formålet med informationssikkerhed og den potentielle indvirkning af deres adfærd, som den vedrører informationssikkerhed, på din virksomhed. 

Overvej at dække aspekter som:  

  • Ledelsens engagement i informationssikkerhed i hele din organisation 
  • Kendskabs- og compliancebehov vedrørende gældende informationssikkerhedsregler og -forpligtelser 
  • Personligt ansvar for ens handlinger og passivitet, og generelt ansvar for at sikre eller beskytte information, der tilhører organisationen 
  • Grundlæggende informationssikkerhedsprocedurer såsom hændelsesrapportering og adgangskodesikkerhed 
  • Kontaktpunkter og ressourcer for yderligere information og rådgivning. 

A.6.3 Resultater: Periodisk bevidsthedstræning; periodisk uddannelse og træningsprogram; regelmæssig formidling af relevante informationssikkerhedspolitikker, herunder opdateringer. 

 A.8.24 Brug af kryptografi

kontrol A.8.24, brug af kryptografi kræver, at din organisation definerer og implementerer regler for effektiv brug af kryptografi. Kryptografi kan bruges til at opnå forskellige informationssikkerhedsmål, såsom: 

  • Fortrolighed, ved at bruge kryptering til at beskytte følsomme eller kritiske oplysninger 
  • Integritet eller autenticitet, ved at bruge digitale signaturer eller meddelelsesgodkendelseskoder til at verificere ægtheden eller integriteten af ​​følsomme eller kritiske oplysninger 
  • Uafviselighed, ved at bruge kryptografiske teknikker til at bevise forekomsten eller ikke-forekomsten af ​​en begivenhed eller handling 
  • Godkendelse, by ved at bruge kryptografiske teknikker til at autentificere brugere og andre enheder, der anmoder om adgang til dit system, entiteter eller ressourcer. 

Din organisation bør implementere en emnespecifik kryptografipolitik, herunder generelle principper for beskyttelse af information. Du bør også overveje relevante juridiske, lovpligtige, regulatoriske og kontraktlige krav relateret til kryptografi. Kritiske overvejelser for din kryptografipolitik omfatter: 

  • Identifikation af det nødvendige niveau af beskyttelse og klassificering af oplysningerne og som følge heraf fastlæggelse af typen, styrken og kvaliteten af ​​de nødvendige kryptografiske algoritmer 
  • Tilgangen til nøglehåndtering og nøglegenerering, herunder sikre processer til generering, lagring, arkivering, hentning, distribution, tilbagetrækning og ødelæggelse af kryptografiske nøgler 
  • Roller og ansvar for implementering af reglerne for effektiv brug af kryptografi og nøglehåndtering og generering. 

I tråd med denne kontrol bør din organisation definere og bruge et nøglestyringssystem. 

A.8.24 Resultater: Emnespecifik kryptografipolitik; implementering af passende kryptografiske metoder; implementering af nøglestyringssystem.

Risikovurdering og -behandling i ISO 27001:2022 

Din organisation skal definere og anvende en informationssikkerhedsrisikovurderingsproces for at overholde ISO 27001:2022 Punkt 6.1.2, risikovurdering af informationssikkerhed.  

Informationssikkerhedsrisikovurderingsprocessen bør: 

  • Etablere og vedligeholde informationssikkerhedsrisikokriterier, herunder risikoacceptkriterier og kriterier for udførelse af informationssikkerhedsrisikovurderinger. 
  • Sørg for, at gentagne informationssikkerhedsvurderinger giver konsistente, valide og sammenlignelige resultater. 
  • Identificer informationssikkerhedsrisici. 
  • Analyser informationssikkerhedsrisici, herunder sandsynligheden for risikoforekomst, potentielle konsekvenser af risikoforekomst og risikoniveauerne 
  • Evaluer informationssikkerhedsrisici ved at sammenligne risikoanalyseresultaterne med dine etablerede risikokriterier og prioritere analyserede risici til behandling. 

Denne proces giver dig mulighed for at opbygge en systematisk ramme for risikovurdering. Når dette er etableret, bør du definere og anvende en informationssikkerhedsrisikobehandlingsproces i overensstemmelse med paragraf 6.1.3.  

Din risikobehandlingsproces bør omfatte: 

  • Valg af passende risikobehandlingsmuligheder. 
  • I betragtning af risikovurderingsresultaterne. 
  • Fastlæggelse af de nødvendige kontroller for at implementere de viste risikobehandlingsmuligheder.  

Her fungerer bilag A som retningslinje for en omfattende og hensigtsmæssig risikobehandling. Ved hjælp af din risikovurderingsramme kan du prioritere og vælge kontroller baseret på din risikoprofil og organisatoriske krav. Derefter bør du vælge de nødvendige bilag A-kontroller til at implementere for at løse dem og sikre, at ingen kritiske kontroller er blevet overset.

Bilag A: ISO 27001:2013 vs. ISO 27001:2022 

Den nuværende version af ISO 27001, udgivet i 2022, indeholder et omstruktureret sæt af bilag A-kontroller sammenlignet med 2013-iterationen. Tidligere omfattede bilag A 114 kontroller i 14 kategorier; nu indeholder bilag A 93 kontroller i fire kernekategorier som skitseret: organisatorisk, menneskelig, fysisk og teknologisk.  

Denne ændring skyldes primært, at kontrollerne konsolideres; dog er der 11 nye sikkerhedskontroller at overveje: 

2022-opdateringen introducerer også fem nye kerneattributter for lettere kategorisering: 

  • Kontroltype (forebyggende, detektiv, korrigerende) 
  • Informationssikkerhedsegenskaber (fortrolighed, integritet, tilgængelighed) 
  • Cybersikkerhedskoncepter (identitet, beskyt, opdage, svar, gendan) 
  • Operationelle kapaciteter (styring, formueforvaltning osv.) 
  • Sikkerhedsdomæner (styring og økosystem, beskyttelse, forsvar, modstandsdygtighed). 

Overgang fra ISO 27001:2013 til ISO 27001:2022 

Hvis din organisation allerede er certificeret til ISO 27001:2013, er deadline for overgang til den nye revision den 31. oktober 2025.  

Hos ISMS.online hjælper vi allerede virksomheder med overgangen til ISO 27001:2022. Vores kunder har en 100% succesrate for at opnå certificering ved hjælp af vores Assured Results Method (ARM).  

Til at starte med deler vi processen ned i syv enkle trin. Denne trinvise vejledning er indbygget i vores platform, så vi guider dig gennem hvert trin – fra opdatering af din risikobehandlingsplan til at demonstrere overholdelse af 2022-standardkravene. Vi hjælper dig også med at opretholde overholdelse af 2013, mens vi overfører din certificering til 2022, og sikrer, at din virksomhed er konsekvent kompatibel.   

Bilag A: Oplåsning af ISO 27001:2022 succes 

For organisationer, der ønsker at opnå ISO 27001-certificering, er det afgørende at forstå bilag A-kontroller og implementere dem effektivt og klart. Disse kontroller gør det muligt for dig at forhindre forekomsten af ​​potentielle informationssikkerhedsrisici og skitsere processer og procedurer til at reagere effektivt, hvis en hændelse skulle opstå. De giver dig også mulighed for at opbygge et robust ISMS, der vil udvikle sig og vokse med din virksomheds behov. 

Hver organisation har forskellige krav til informationssikkerhed, så du bør vurdere din virksomheds specifikke behov og mål, når du vælger bilag A-kontroller. Du kan opleve, at nogle kontroller adresserer risici, som dine risikovurderinger finder ikke er anvendelige. ISMS.online-platformen kan forenkle denne proces: hurtigt identificere og adressere dine relevante bilag A-kontroller med forududfyldte skabeloner og vores dynamiske risikostyringsmotor.  

Vores platform forbinder også med dine eksisterende systemer, så du finder alt, hvad du har brug for for succes, samlet ét sted. Det bedste af det hele er at bruge vores Headstart indhold, din overholdelsesrejse er 81 % fuldført fra dit første login.  

Lær mere om, hvordan du kan udnytte vores praktiske, overkommelige vej til at opnå ISO 27001 første gang i vores Gennemprøvet vej til ISO 27001 succes whitepaper. 

Forfatter

Christie Rae

Christie er content marketing specialist hos ISMS.online. Med over syv års erfaring sigter hun efter at skrive informativt, engagerende indhold og har arbejdet på tværs af en række brancher, herunder cybersikkerhed, software as a service, teknologi og farmaceutiske produkter.

Se alle indlæg af Christie Rae

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!