Konfigurationer – uanset om de fungerer som en enkelt konfigurationsfil eller en gruppe af konfigurationer, der er knyttet sammen – er de underliggende parametre, der styrer, hvordan hardware, software og endda hele netværk administreres.
Som et eksempel vil en firewalls konfigurationsfil indeholde de baseline-attributter, som enheden bruger til at styre trafik til og fra en organisations netværk, inklusive blokeringslister, portvideresendelse, virtuelle LAN'er og VPN-oplysninger.
Konfigurationsstyring er en integreret del af en organisations bredere aktivstyringsoperation. Konfigurationer er nøglen til at sikre, at et netværk ikke kun fungerer, som det skal være, men også for at sikre enheder mod uautoriserede ændringer eller forkerte ændringer fra vedligeholdelsespersonalets og/eller leverandørernes side.
Kontrol 8.9 er en forebyggende kontrollere det fastholder risiko ved at etablere en række politikker, der styrer, hvordan en organisation dokumenterer, implementerer, overvåger og gennemgår brugen af konfigurationer på tværs af hele sit netværk.
Konfigurationsstyring er udelukkende en administrativ opgave, der beskæftiger sig med vedligeholdelse og overvågning af information og data på aktivsiden, som findes på en bred vifte af enheder og applikationer. Som sådan bør ejerskabet ligge hos IT-chefen eller tilsvarende organisatorisk.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Sikker konfiguration | #Beskyttelse |
I det hele taget organisationens behov for at udarbejde og implementere konfigurationsstyringspolitikker for både nye systemer og hardware, og enhver, der allerede er i brug. Interne kontroller bør omfatte forretningskritiske elementer såsom sikkerhedskonfigurationer, al hardware, der indeholder en konfigurationsfil og eventuelle relevante softwareapplikationer eller -systemer.
Kontrol 8.9 beder organisationer om at overveje alle relevante roller og ansvarsområder, når de implementerer en konfigurationspolitik, herunder det delegerede ejerskab af konfigurationer på en enhed-for-enhed eller applikation-for-applikation basis.
Hvor det er muligt, bør organisationer bruge standardiserede skabeloner til at sikre al hardware, software og systemer. Skabeloner skal:
Sikkerhed er altafgørende, når du anvender konfigurationsskabeloner eller ændrer eksisterende skabeloner i overensstemmelse med ovenstående vejledning.
Når de overvejer standardskabeloner til brug på tværs af organisationen, bør organisationer for at minimere eventuelle informationssikkerhedsrisici:
En organisation har et ansvar for at vedligeholde og gemme konfigurationer, herunder at holde et revisionsspor for eventuelle ændringer eller nye installationer, i overensstemmelse med en offentliggjort ændringsstyringsproces (se kontrol 8.32).
Logfiler skal indeholde oplysninger, der beskriver:
Organisationer bør implementere en bred vifte af teknikker til at overvåge driften af konfigurationsfiler på tværs af deres netværk, herunder:
Organisationer bør konfigurere specialiseret software til at spore eventuelle ændringer i en enheds konfiguration og træffe passende foranstaltninger for at rette op på ændringen så hurtigt som muligt, enten ved at validere ændringen eller vende konfigurationen tilbage til dens oprindelige tilstand.
Ingen. Kontrol 8.9 har ingen præcedens i ISO 27002:2013, da den er ny.
ISMS.Online er en komplet løsning til ISO 27002 implementering.
Det er et webbaseret system, der giver dig mulighed for at vise, at dit informationssikkerhedsstyringssystem (ISMS) er i overensstemmelse med de godkendte standarder ved hjælp af gennemtænkte processer og procedurer og tjeklister.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
