Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 5.3 – Opdeling af opgaver

ISO 27002: 2022 kontrol 5.3 — Opdeling af pligter, tidligere kendt som kontrol 6.1.2 i ISO 27002:2013 definerer det system, hvormed modstridende pligter og modstridende ansvarsområder adskilles.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

Hvad er Kontrol 5.3 Funktionsadskillelse?

Forklaret modstridende pligter og ansvarsområder

Hver organisation har et sæt politikker og procedurer (P&P'er), der styrer dens interne arbejde. P&P'er formodes at være dokumenteret, men ofte er de det ikke.

Hvis disse P&P'er ikke er klare eller velkommunikerede, er resultatet forvirring blandt medarbejderne om deres ansvarsområder. Dette kan blive endnu værre, når medarbejderne har overlappende ansvarsområder eller modstridende ansvarsområder.

Konflikter kan opstå, når to eller flere medarbejdere har lignende eller forskellige ansvar over for en bestemt opgave. Når dette sker, kan medarbejderne ende med at gøre det samme to gange, eller gøre forskellige ting, der ophæver hinandens indsats. Dette spilder virksomhedens ressourcer og reducerer produktiviteten, hvilket påvirker både virksomhedens bundlinje og moral.

For at sikre, at din organisation ikke lider af dette problem, er det vigtigt at forstå, hvilke ansvarsområder der er modstridende, hvorfor de sker, og hvordan du kan forhindre dem i at opstå i din organisation. For det meste betyder det at adskille opgaver, så forskellige mennesker håndterer forskelligt roller i organisationen.

Attributter Kontroltabel 5.3

Kontroller er klassificeret efter deres egenskaber. Attributter hjælper dig med at tilpasse dit kontrolvalg til industristandarder og sprog. I kontrol 5.3 er disse:

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Beskytte #Governance #Governance og økosystem
#Integritet #Identitets- og adgangsstyring
#Tilgængelighed


ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Et forspring på 81% fra dag ét

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang


Hvad er formålet med kontrol 5.3?

Formålet med kontrol 5.3 Opdeling af opgaver i ISO 27002 er at reducere risikoen for svig, fejl og omgåelse af informationssikkerhedskontroller ved at sikre, at modstridende opgaver adskilles.

Kontrol 5.3 Forklaret

Kontrol 5.3 dækker implementeringsvejledningen for adskillelsesopgaver og pligter i en organisation i tråd med rammerne for ISO 27001.

Princippet går ud på at nedbryde nøgleopgaver i underopgaver og tildele dem til forskellige personer. Dette skaber et system af checks og balancer, der kan reducere risikoen for fejl eller svindel.

Kontrollen er designet til at forhindre, at en enkelt person kan begå, skjule og retfærdiggøre upassende handlinger og dermed mindske risikoen for svindel eller fejl. Det forhindrer også en enkelt person i at kunne tilsidesætte informationssikkerhedskontroller.

Hvis én medarbejder har alle rettigheder, der kræves til en bestemt opgave, er der en højere risiko for svindel eller fejl, da én person kan gøre alt uden nogen form for checks og balances. Men hvis ingen enkelt person har alle adgangsrettigheder, der kræves til en bestemt opgave, reducerer dette risikoen for, at en medarbejder kan forårsage betydelig skade eller økonomisk tab.

Hvad er involveret, og hvordan man opfylder kravene

Pligter og ansvarsområder, der ikke er adskilte, kan føre til svindel, misbrug, upassende adgang og andre sikkerhedshændelser.

Derudover er adskillelse af opgaver nødvendig for at mindske de risici, der er forbundet med potentialet for samordning mellem enkeltpersoner. Disse risici øges, når der ikke er tilstrækkelig kontrol til at forhindre eller opdage hemmeligt samarbejde.

For at opfylde kravene til kontrol 5.3 i ISO 27002:2022 bør organisationen bestemme, hvilke opgaver og ansvarsområder der skal adskilles, og handlingsegnede adskillelseskontroller skal indføres.

Hvor sådanne kontroller ikke er mulige, især for små organisationer med minimal personalestyrke, aktivitetsovervågning, revisionsspor og ledelsestilsyn Kan bruges. For større organisationer kan automatiserede værktøjer bruges til at identificere og adskille roller, så modstridende roller ikke tildeles personer.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Forskelle mellem ISO 27002:2013 og ISO 27002:2022

Kontrolnummeret 5.3 Opdeling af opgaver i ISO 27002:2022 er ikke en ny kontrol. Det er simpelthen en forbedret version af kontrol 6.1.2 Opdeling af opgaver fundet i ISO 27002:2013.

Det grundlæggende i funktionsadskillelse er det samme i både kontrol 5.3 ISO 27002:2022 og kontrol 6.1.2 ISO 27002:2013. Den nye version beskriver dog en række aktiviteter, der kræver adskillelse ved implementering af denne kontrol.

Disse aktiviteter er:

a) igangsætte, godkende og udføre en ændring;

b) anmode om, godkende og implementere adgangsrettigheder;

c) designe, implementere og gennemgå kode;

d) udvikling af software og administration af produktionssystemer;

e) brug og administration af applikationer;

f) brug af applikationer og administration af databaser;

g) designe, revidere og sikre informationssikkerhedskontrol.

Hvem er ansvarlig for denne proces?

Der er flere personer, der er ansvarlige for adskillelse af opgaver i ISO 27002. For det første bør et højtstående medlem af ledelsesteamet involveres for at sikre, at den indledende risikovurdering er afsluttet.

Derefter bør de processer, der dækker forskellige dele af organisationen, allokeres til forskellige grupper af kvalificerede medarbejdere. For at forhindre useriøse medarbejdere i at underminere virksomhedens sikkerhed, gøres dette normalt ved at tildele opgaver til forskellige arbejdsenheder og afdelingalisere de IT-relaterede drift- og vedligeholdelsesaktiviteter.

Endelig kan adskillelse af opgaver ikke etableres korrekt uden et passende IT-revisionsprogram, en effektiv risikostyringsstrategi samt et passende kontrolmiljø.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Den nye ISO 27002:2022 standard kræver ikke, at du skal gøre meget andet end opgrader dit ISMS processer for at afspejle de forbedrede kontroller. Og hvis dit team ikke kan klare dette, ISMS.online kan hjælpe dig.

ISMS.online strømliner ISO 27002 implementeringsprocessen ved at levere en sofistikeret cloud-baseret ramme til dokumentation af procedurer og tjeklister for informationssikkerhedsstyringssystem for at sikre overholdelse af anerkendte standarder.

Når du bruger ISMS.online, vil du være i stand til at:

  • oprette et ISMS, der er kompatibelt med ISO 27001 standarder.
  • udføre opgaver og fremlægge bevis for, at de har opfyldt standardens krav.
  • fordele opgaver og spore fremskridt hen imod overholdelse af loven.
  • få adgang til et specialiseret team af rådgivere, der vil hjælpe dig hele vejen mod overholdelse.

Takket være vores cloud-baserede platform er det nu muligt centralt at administrere dine tjeklister, interagere med kolleger og bruge et omfattende sæt værktøjer til at hjælpe din organisation med at skabe og drive et ISMS i overensstemmelse med verdensomspændende bedste praksis.

Kontakt i dag for book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.