Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 5.37 – Dokumenterede driftsprocedurer

ISO 27002:2022 Kontrol 5.37 understreger behovet for dokumenterede driftsprocedurer for at sikre ensartede og sikre informationssikkerhedsaktiviteter. Den erstatter ISO 27001:2013 Annex A 12.1.1, og udvider dens anvendelsesområde til at dække forskellige operationelle sikkerhedsopgaver.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

Formål med kontrol 5.37

Kontrol 5.37 omhandler begrebet informationssikkerhed som en operationel aktivitet, hvor dens bestanddele udføres og/eller ledes af en eller flere personer.

Kontrol 5.37 skitserer en række operationelle procedurer, der sikrer en organisationens informationssikkerhed faciliteten forbliver effektiv og sikker og i overensstemmelse med deres dokumenterede krav.

Attributter tabel

Kontrol 5.37 er en forebyggende og korrigerende kontrollere det fastholder risiko gennem oprettelsen af ​​en bank af procedurer forbundet med en organisationens informationssikkerhed aktiviteter.

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Beskytte # Asset Management #Governance og økosystem
#Korrigerende #Integritet #Gendanne #Fysisk sikkerhed #Beskyttelse
#Tilgængelighed #System- og netværkssikkerhed #Forsvar
#Applikationssikkerhed
#Sikker konfiguration
#Identitets- og adgangsstyring
#Trussel- og sårbarhedshåndtering
#Kontinuitet
#Informationssikkerhed Event Management

Ejerskab af kontrol 5.37

Kontrol 5.37 omhandler et forskelligartet sæt af omstændigheder, der har potentiale til at inkludere flere afdelinger og jobroller i henhold til dokumenterede driftsprocedurer. Når det er sagt, kan man roligt antage, at de fleste af procedurerne vil påvirke IKT-personale, udstyr og systemer.

Hvor dette sker, bør ejerskabet ligge hos et seniormedlem af ledelsesteamet, der er ansvarlig for alle ikt-relaterede aktiviteter, såsom en it-chef.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Generel vejledning om kontrol 5.37

Der bør oprettes procedurer for informationssikkerhedsrelaterede aktiviteter i overensstemmelse med 5 centrale operationelle overvejelser:

  1. Enhver forekomst af en aktivitet, der udføres af en eller flere personer på samme måde.
  2. Når en aktivitet ikke udføres ofte.
  3. Når en procedure indebærer risiko for at blive glemt.
  4. Eventuelle nye aktiviteter, der er ukendte for personalet, og som derfor er udsat for en højere grad af risiko.
  5. Når ansvaret for at udføre en aktivitet overføres til en anden medarbejder eller gruppe af medarbejdere.

Hvor disse tilfælde forekommer, skal dokumenterede driftsprocedurer klart skitsere:

  1. Alle ansvarlige personer – både etablerede og nye operatører.
  2. Et sæt retningslinjer, der opretholder sikkerheden under installationen og efterfølgende konfiguration af eventuelle relaterede forretningssystemer.
  3. Hvordan information behandles under hele aktiviteten.
  4. BUDR planer og implikationer, i tilfælde af datatab eller en større hændelse (se kontrol 8.13).
  5. Sammenkædede afhængigheder med andre systemer, inklusive planlægning.
  6. En klar procedure til håndtering af "håndteringsfejl" eller diverse hændelser, der har potentiale til at opstå (se Kontrol 8.18).
  7. En komplet liste over personale, der skal kontaktes i tilfælde af forstyrrelser, inklusive klare eskaleringsprocedurer.
  8. Sådan betjenes ethvert relevant lagermedie, der er forbundet med aktiviteten (se kontrolelementer 7.10 og 7.14).
  9. Sådan genstartes og genoprettes efter en systemfejl.
  10. Revisionssporlogning, inklusive alle tilknyttede hændelses- og systemlogfiler (se kontrol 8.15 og 8.17).
  11. Videoovervågningssystemer, der overvåger aktiviteter på stedet (se Kontrol 7.4).
  12. Et robust sæt overvågningsprocedurer, der tager højde for den operationelle kapacitet, ydeevnepotentiale og sikkerhed af nævnte aktivitet.
  13. Hvordan aktiviteten skal opretholdes, for at holdes på et optimalt præstationsniveau.

Alle ovenstående procedurer bør være genstand for periodiske og/eller ad hoc-gennemgange, efterhånden som og når det er påkrævet, hvor alle ændringer skal ratificeres af ledelsen rettidigt for at sikre informationssikkerhedsaktivitet på tværs af organisationen.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Ændringer og forskelle fra ISO 27002:2013

27002:2022-5.37 erstatter 27002:2013-12.1.1 (Dokumenterede driftsprocedurer).

27002:2022-5.37 udvider 27002:2013-12.1.1 ved at tilbyde et meget bredere sæt af omstændigheder, der vil berettige overholdelse af en dokumentprocedure.

27002:2013-12.1.1 lister informationsbehandlingsaktiviteter såsom computeropstarts- og nedlukningsprocedurer, backup, udstyrsvedligeholdelse, mediehåndtering, hvorimod 27002:2022-5.37 udvider kontrolområdet til generaliserede aktiviteter, der ikke er begrænset til specifikke tekniske funktioner.

Bortset fra et par mindre tilføjelser – såsom at kategorisere de personer, der er ansvarlige for en aktivitet – indeholder 27002:2022-5.37 de samme generelle retningslinjer som 27002:2013-12.1.1

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.

Kontakt i dag for book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.