Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 5.35 – Uafhængig gennemgang af informationssikkerhed

ISO 27002:2022 Kontrol 5.35 forklarer kravet om uafhængige gennemgange af informationssikkerhed med jævne mellemrum eller efter større ændringer for at sikre, at politikker forbliver tilstrækkelige, egnede og effektive, og erstatter den tidligere kontrol 18.1.2 fra ISO 27002:2013.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

ISO 27002 Kontrol 5.35: Hvorfor uafhængige sikkerhedsvurderinger er vigtige

Informationssikkerhed er et centralt aspekt af en organisations datastyring praksis.

Så meget, at det er nødvendigt at eliminere selvtilfredshed ved at udføre regelmæssige uafhængige anmeldelser af, hvordan en organisation styrer de mennesker, processer og teknologier, der er involveret i at opretholde en effektiv informationssikkerhed drift.

Formål med kontrol 5.35

Kontrol 5.35 kræver, at organisationer udfører uafhængige gennemgange af deres informationssikkerhedspraksis – både med planlagte intervaller, og når der sker større operationelle ændringer – for at sikre, at politikker til administration af informationssikkerhed er:

  • Tilstrækkelig – De har kapaciteten til at opnå overholdelse
  • Egnet - De forsøger at opnå de rigtige mål
  • Effektive – De virker efter hensigten

Attributter tabel

Kontrol 5.35 er en forebyggende og korrigerende kontrollere det fastholder risiko ved at skabe processer, der letter regelmæssige gennemgange af en organisations informationssikkerhedsstyringspraksis.

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Identificere #Informationssikkerhedsgaranti #Governance og økosystem
#Korrigerende #Integritet #Beskytte
#Tilgængelighed


klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Ejerskab af kontrol 5.35

Kontrol 5.35 omhandler primært driftsforhold. Som sådan bør ejerskabet ligge hos COO eller CISO (hvis til stede).

Generel vejledning om kontrol 5.35

Det overordnede mål er for ledelse til at skabe og implementere processer, der tager højde for uafhængige gennemgange af deres informationssikkerhed praksis.

Anmeldelser bør fokusere på eventuelle ændringer nødvendig for at forbedre en organisations tilgang til informationssikkerhed, Herunder:

  1. informationssikkerhedspolitik.
  2. Emnespecifikke politikker.
  3. Relaterede kontroller.

Enhver gennemgang bør udføres af en person i eller uden for organisationen, som ikke har en særlig interesse i det, de undersøger, såsom:

  1. Interne revisorer.
  2. Uafhængige afdelingsledere.
  3. Tredjepartsorganisationer.

Den, der foretager gennemgangen, bør have det relevante operationel kompetence at foretage en sund bedømmelse af deres resultater, og (i tilfælde af internt personale) bør deres jobrolle ikke forhindre dem i at foretage en gyldig og legitim vurdering.

Resultaterne af gennemgangen bør omhyggeligt registreres, opbevares og rapporteres til lederen (eller grupper af ledere), der har anmodet om det, og i visse tilfælde til C-suite niveau eller ejerskab.

Korrekturlæsere bør søge at fastslå, om informationssikkerhedspraksis er i overensstemmelse med organisationens "dokumenterede mål og krav", der er angivet i informationssikkerhedspolitikken eller eventuelle emnespecifikke politikker.

Sideløbende med periodiske undersøgelser kan det være nødvendigt at iværksætte ad hoc-undersøgelser. Disse anmeldelser kan begrundes på tværs af 5 nøgleområder:

  1. Eventuelle love, retningslinjer eller regler ændres, som påvirker organisationens informationssikkerhedsdrift.
  2. Major opstår hændelser, der har indflydelse på informationssikkerheden (tab af data, indtrængen osv.).
  3. En ny virksomhed oprettes, eller der gennemføres større ændringer i den nuværende virksomhed.
  4. organisation vedtager et nyt produkt eller en tjeneste, der har informationssikkerhed implikationer eller foretager underliggende ændringer af et aktuelt produkt eller en ydelse.
  5. Der foretages større ændringer i organisationens bank af informationssikkerhedskontroller, politikker og procedurer.

Supplerende vejledning

ISO / IEC 27007 og ISO/IEC TS 27008 indeholder yderligere vejledning om praksis for uafhængige anmeldelser.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Ændringer og forskelle fra ISO 27002:2013

27002:2022-5.35 erstatter 27002:2013-18.1.2 (Uafhængig gennemgang af informationssikkerhed).

27002:2022-5.35 indeholder den samme generelle vejledning som 27002:2013-18.1.2, men går et skridt videre med at fastlægge konkrete eksempler på, hvornår en organisation bør udføre ad hoc-revisioner, sideløbende med dens periodiske evalueringer.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISMS.online strømliner ISO 27002 implementeringsproces ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.

Når du brug ISMS.online, du vil være i stand til:

oprette en ISMS, der er kompatibel med ISO 27001 standarder.
udføre opgaver og fremlægge bevis for, at de har opfyldt standardens krav.
fordele opgaver og spore fremskridt hen imod overholdelse af loven.
få adgang til et specialiseret team af rådgivere, der vil hjælpe dig hele vejen mod overholdelse.

Kontakt i dag for book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.