Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 5.1 – Politikker for informationssikkerhed

Kontrol 5.1 i ISO 27002:2022 dækker organisationers behov for at have et informationssikkerhedspolitikdokument på plads for at beskytte mod informationssikkerhedsproblemer.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

Hvad er kontrol 5.1?

En informationssikkerhedspolitik giver medarbejdere, ledelse og eksterne parter (f.eks. kunder og leverandører) rammer for håndtering af elektronisk information, herunder computernetværk.

Formålet med en informationssikkerhedspolitik er at reducere risikoen for tab af data eller tyveri fra interne og eksterne trusler. En informationssikkerhedspolitik sikrer også, at alle medarbejdere er bevidste om deres ansvar for at beskytte de data, som deres organisationer ligger inde med.

En informationssikkerhedspolitik kan også bruges til at demonstrere overholdelse af love og regler, og hjælper med at opfylde standarder som ISO 27001.

Cybersikkerhed og informationssikkerhedstrusler forklaret

Cybersikkerhedstrusler er ethvert muligt ondsindet angreb, der søger at få ulovlig adgang til data, forstyrre digitale operationer eller beskadige information. Cybertrusler kan stamme fra forskellige aktører, herunder virksomhedsspioner og hacktivister, terrorgrupper, fjendtlige nationalstater og kriminelle organisationer.

Nogle af de mere populære cybersikkerheds- og informationssikkerhedstrusler er:

  • Malware: vira, spyware og andre ondsindede programmer.
  • Phishing-e-mails: meddelelser, der ser ud til at være fra troværdige kilder, men som indeholder links og vedhæftede filer, der installerer malware.
  • ransomware: malware, der forhindrer brugere i at få adgang til deres egne data, indtil de betaler en løsesum.
  • Social teknik: angribere, der manipulerer folk til at give følsomme oplysninger, normalt ved at fremstå som troværdige.
  • Hvalfangst angreb: phishing-e-mails designet til at se ud, som om de kommer fra højt profilerede personer i en organisation.


ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Et forspring på 81% fra dag ét

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang


Hvad er formålet med kontrol 5.1?

Formålet med informationssikkerhedspolitikken er at sikre ledelsesstøtte til beskyttelse af din virksomheds følsomme oplysninger mod tyveri og uautoriseret adgang.

Kontrol 5.1 dækker over kontrol, formål og implementeringsvejledning til etablering af en informationssikkerhedspolitik i en organisation i henhold til rammerne som defineret af ISO 27001.

Kontrol 5.1 siger, at organisationer skal have politikker på højt og lavt niveau for, hvordan de administrerer deres informationssikkerhed. Organisationens øverste ledelse skal godkende politikkerne, som bør revideres regelmæssigt, og også hvis der sker ændringer i informationssikkerhedsmiljøet.

Den bedste tilgang er at mødes regelmæssigt mindst en gang om måneden, med yderligere møder planlagt efter behov. Hvis der foretages ændringer i politikkerne, skal ledelsen godkende dem, før de implementeres. Politikkerne bør også deles med interne og eksterne interessenter.

Kontrolattributter 5.1

Attributter er et middel til at kategorisere kontroller. Disse giver dig mulighed for hurtigt at tilpasse dit kontrolvalg til almindeligt branchesprog og standarder. I kontrol 5.1 er disse.

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Identificere #Governance #Governance og økosystem
#Integritet #Modstandsdygtighed
#Tilgængelighed


klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvad er involveret, og hvordan man opfylder kravene

Informationssikkerhedspolitikken skal danne grundlag for og understøttes af detaljerede driftsprocedurer, som beskriver, hvordan informationssikkerheden i praksis vil blive varetaget.

Politikken bør godkendes af topledelsen, som skal sikre, at den formidles til personalet og stilles til rådighed for interesserede parter.

Politikken giver retning for organisationens tilgang til styring af informationssikkerhed og kan bruges som ramme for udvikling af mere detaljerede driftsprocedurer.

Politikken er et væsentligt element i etablering og vedligeholdelse af et informationssikkerhedsstyringssystem (ISMS), som krævet af ISO/IEC 27000-familien af ​​standarder, men selvom organisationen ikke har til hensigt at implementere formel certificering til ISO 27001 eller nogen anden standard , er en veldefineret politik stadig vigtig.

Ændringer og forskelle fra ISO 27002:2013

I ISO 27002:2022 er kontrol 5.1 informationssikkerhedspolitikker ikke en ny kontrol, men er snarere resultatet af sammenlægningen af ​​kontroller 5.1.1 Politikker for informationssikkerhed og 5.1.2 Gennemgang af politikker for informationssikkerhed fra ISO 27002 revision 2013.

I ISO 27002:2022 er kontrol 5.1 blevet opdateret til at omfatte en beskrivelse af dens formål og udvidet implementeringsvejledning. Det kom også med en attributtabel, der giver brugerne mulighed for at forene kontrol med industriterminologier.

I ISO 27002:2022 angiver kontrol 5.1, at informationssikkerhed og emnespecifikke politikker skal defineres, godkendes af ledelsen, offentliggøres, kommunikeres til og anerkendes af relevant personale og relevante interesserede parter.

En organisations informationssikkerhedspolitik bør afspejle organisationens størrelse, type og følsomhed af informationsaktiver. Det bør også være i overensstemmelse med industristandarder og gældende regeringsbestemmelser.

Mens essensen af ​​selve kontrollen ligner 5.1.1 i ISO 27002: 2013, angiver version 2022 specifikt, at disse informationssikkerhedspolitikker bør gennemgås regelmæssigt, og også hvis der sker ændringer i informationssikkerhedsmiljøet. Denne rytter er dækket af paragraf 5.1.2 i ISO 27002:2013.

ISO 27002: 2013 og ISO 27002: 2022 angiver, at det højeste niveau i organisationen bør definere en sikkerhedspolitik, som topledelsen godkender, og som angiver, hvordan de vil føre tilsyn med beskyttelsen af ​​deres oplysninger. Kravene dækket af politikkerne for begge versioner er dog forskellige.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Kontrol 5.1 2013 – 2022 Implementeringsvejledning sammenlignet

I ISO 27002:2013 bør informationssikkerhedspolitikker imødekomme krav skabt af:

  • Forretningsstrategi.
  • Forskrifter, lovgivning og kontrakter.
  • Det nuværende og forventede trusselsmiljø for informationssikkerhed.

Informationssikkerhedspolitikken bør indeholde udtalelser om:

  • Definition af informationssikkerhed, mål og principper til at vejlede alle aktiviteter i forbindelse med
    informationssikkerhed.
  • Tildeling af generelle og specifikke ansvarsområder for informationssikkerhedsstyring til
    definerede roller.
  • Processer til håndtering af afvigelser og undtagelser.

Men kravene til ISO 27002:2022 er en smule mere omfattende.

Informationssikkerhedspolitikken bør tage hensyn til krav afledt af:

  • Forretningsstrategi og krav.
  • Forskrifter, lovgivning og kontrakter.
  • De aktuelle og forventede informationssikkerhedsrisici og -trusler.

Informationssikkerhedspolitikken bør indeholde udtalelser om:

  • Definition af informationssikkerhed.
  • Informationssikkerhedsmål eller rammerne for fastsættelse af informationssikkerhedsmål.
  • Principper for alle aktiviteter vedrørende informationssikkerhed.
  • Forpligtelse til at opfylde gældende krav relateret til informationssikkerhed.
  • Forpligtelse til løbende forbedring af informationssikkerhedsstyringssystemet.
  • Tildeling af ansvar for informationssikkerhedsstyring til definerede roller.
  • Procedurer for håndtering af dispensationer og undtagelser.

Samtidig blev emnespecifikke politikker omarbejdet i ISO 27002:2022 for at omfatte; håndtering af hændelser i informationssikkerhed, styring af aktiver, netværkssikkerhed, håndtering af hændelser i informationssikkerhed og sikker udvikling. Nogle af dem i ISO 27002:2013 blev enten fjernet eller fusioneret for at danne en mere holistisk ramme.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.Online hjælper

Hos ISMS.online vil vores brugervenlige, men alligevel kraftfulde, cloud-system give dig et komplet sæt værktøjer og ressourcer til at hjælpe dig med at administrere dit eget ISO 27001/27002 Information Security Management System (ISMS), uanset om du er ny til ISO 27001/27002 eller allerede certificeret.

Vores intuitive trin-for-trin arbejdsgang, værktøjer, rammer, politikker og kontroller, handlingsvenlig dokumentation og vejledning leder dig gennem processen med at implementere ISO 27002, hvilket gør det nemt for dig at definere omfanget af ISMS, identificere risici og implementere kontroller ved hjælp af vores algoritmer – enten fra bunden eller fra best practice-skabeloner.

Kontakt i dag for book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.