- Se ISO 27002:2022 Kontroll 5.10 för mer information.
- Se ISO 27001:2013 bilaga A 8.1.3 för mer information.
- Se ISO 27001:2013 bilaga A 8.2.3 för mer information.
Bilaga A 5.10 ISO 27001: Säkerställa korrekt användning av information och tillgångar
ISO 27001:2022 Annex A 5.10 beskriver reglerna för acceptabel användning och procedurer för hantering av information och andra tillgångar.
Dessa bör identifieras, dokumenteras och implementeras.
Syftet med dessa policyer är att fastställa tydliga instruktioner om hur personalen ska agera vid hantering av informationstillgångar, vilket garanterar konfidentialitet, tillförlitlighet och tillgänglighet för organisationens datasäkerhetstillgångar.
Vad är ISO 27001:2022 bilaga A 5.10, Acceptabel användning av information och andra tillhörande tillgångar?
Den godtagbara användningen av Informationstillgångar Policy (AUA) gäller för alla medlemmar i organisationen och alla tillgångar som ägs eller drivs av dem. Denna policy är tillämplig för all användning, inklusive kommersiella ändamål, av informationstillgångar.
Exempel på informationstillgångar inkluderar:
- Hårdvara omfattar datorer, Mobil enheter, telefoner och faxar.
- Programvara inkluderar operativsystem, applikationer (inklusive webbaserade), verktyg, firmware och programmeringsspråk.
- Detta avsnitt behandlar strukturerad data i relationsdatabaser, platta filer, NoSQL-data samt ostrukturerad data, till exempel textdokument, kalkylblad, bilder, video- och ljudfiler.
- Nätverk omfattar både trådbundna och trådlösa system, telekommunikation och VoIP-tjänster (Voice over Internet Protocol).
- Molntjänster, e-postkonton och andra värdtjänster.
Att använda information och andra relaterade tillgångar kräver att de tillämpas på ett sätt som inte äventyrar tillgängligheten, pålitligheten eller sundheten hos data, tjänster eller resurser. Det innebär också att använda dem på sätt som inte strider mot lagar eller företagets policyer.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vad är syftet med ISO 27001:2022 bilaga A Kontroll 5.10?
Huvudsyftet med denna kontroll är att se till att information och relaterade tillgångar skyddas, används och hanteras korrekt.
ISO 27001:2022 bilaga A Kontroll 5.10 säkerställer att policyer, procedurer och tekniska kontroller finns på plats för att hindra användare från att felaktigt hantera informationstillgångar.
Denna kontroll syftar till att skapa en struktur för organisationer för att garantera att information och andra resurser skyddas, används och hanteras på lämpligt sätt. Det innebär att se till att lämpliga policyer och rutiner finns på alla nivåer i organisationen, samt att implementera dem regelbundet.
Genomförande av kontroll 5.10 utgör en del av ditt ISMS och säkerställer att ditt företag har de nödvändiga kraven på plats för att skydda sina IT-tillgångar, såsom:
- Säkerställande av säkerheten för data vid lagring, bearbetning och transitering är av största vikt.
- Att säkerställa och korrekt användning av IT-utrustning är avgörande. Det är viktigt att säkerställa dess säkerhet och använda den på rätt sätt.
- Lämpliga autentiseringstjänster är väsentliga för regleringen av tillgång till informationssystem.
- Behandling av information inom en organisation är begränsad till endast de med lämplig behörighet.
- Tilldelning av datarelaterade uppgifter till vissa personer eller roller.
- Det är viktigt att utbilda och utbilda användare om deras säkerhetsskyldigheter. Att se till att de förstår sina roller och ansvar bidrar till att säkerställa systemets säkerhet.
Vad är inblandat och hur man uppfyller kraven
För att uppfylla ISO 27001:2022s kontroll 5.10-behov är det absolut nödvändigt att personal, både intern och extern, som använder eller har tillgång till organisationens data och ytterligare resurser är medvetna om företagets informationssäkerhetsförutsättningar.
De ansvariga bör hållas till svars för eventuella databehandlingsresurser de använder.
All personal som är associerad med hanteringen av information och andra relaterade tillgångar bör vara medvetna om organisationens policy för lämplig användning. Det är viktigt att alla inblandade är informerade om riktlinjerna.
All personal som arbetar med information och tillhörande tillgångar bör göras medvetna om företagets policy för acceptabel användning. Som en del av den specifika användningspolicyn bör personalen förstå exakt vad som förväntas av dem när det gäller dessa resurser.
Policyn bör klargöra att:
- Alla anställda måste följa företagets policyer och rutiner.
- Ingen anställd får utöva någon verksamhet som strider mot företagets intressen.
- Alla anställda som inte följer företagets policyer och procedurer kommer att bli föremål för disciplinära åtgärder.
Särskild policy som hänför sig till ämnet bör ange att all personal måste följa företagets direktiv och protokoll:
- Förväntningar och oacceptabla åtgärder kring informationssäkerhet bör klargöras för enskilda.
- Tillåten och förbjuden användning av information och andra tillgångar.
- Hålla koll på organisationens verksamhet.
Utarbeta förfaranden för acceptabel användning under hela informationens livscykel, i linje med dess kategorisering och identifierade risker. Tänk på följande:
- Åtkomstbegränsningar för att stödja skyddet av varje säkerhetsnivå måste införas.
- Föra ett register över behöriga användare av information och andra tillhörande tillgångar.
- Se till att säkerheten för tillfälliga eller permanenta kopior av information överensstämmer med kraven i sammanhanget.
- Det är ytterst viktigt att säkerställa bevarandet av de ursprungliga uppgifterna.
- Det är viktigt att lagra tillgångar relaterade till information enligt tillverkarnas standarder.
- Märk alla kopior av elektroniska eller fysiska förvarings media tydligt för mottagarens uppmärksamhet.
- Företaget godkänner förfogande av information och andra tillgångar, samt raderingsmetoder som stöds.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Skillnader mellan ISO 27001:2013 och ISO 27001:2022
Ocuco-landskapet 2022-versionen av ISO 27001 släpptes i oktober 2022; det är en förbättrad version av ISO 27001:2013.
Bilaga A 5.10 i ISO 27001:2022 är inte ny; det är en blandning av kontroller 8.1.3 och 8.2.3 från ISO 27001:2013.
Kärnan och implementeringsriktlinjerna i bilaga A 5.10 liknar dem för kontrollerna 8.1.3 och 8.2.3, men bilaga A 5.10 kombinerar både acceptabel användning av och hantering av tillgångar till en kontroll för användarvänligheten.
I bilaga A 5.10 lades ytterligare en punkt till 8.2.3, som avser godkännande av förfogande av information och eventuella relaterade tillgångar, samt den eller de rekommenderade raderingsmetoderna.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 Bilaga A Kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vem är ansvarig för denna process?
Denna policy anger reglerna för korrekt användning av företagets information och tillhörande tillgångar, såsom datorer, nätverk och system, e-post, filer och lagringsmedia. Alla anställda och entreprenörer måste följa den.
Denna policy tjänar till att:
- Ge alltid riktlinjer för lämpligt beteende.
- Beskriv konsekvenserna av eventuella överträdelser.
- Säkerställa en säker och respektfull miljö för alla.
Syftet med denna policy är att sätta upp direktiv för lämpligt beteende och att detaljera konsekvenserna av att bryta mot dem, för att skapa en säker och respektfull atmosfär för alla.
Säkerställa att företagets data och andra relaterade tillgångar endast används av giltiga affärsskäl. Se till att personalen följer alla lagar och förordningar om informationssäkerhet och försvara företagets information och andra relaterade tillgångar från risker som härrör från inom eller utanför företaget.
Ocuco-landskapet Information Security Officer (ISO) har till uppgift att utforma, utföra och upprätthålla den acceptabla användningen av informationsresurser.
ISO kommer att vara ansvarig för att övervaka användningen av informationsresurser i hela organisationen för att garantera att data används på ett sätt som säkerställer säkerhet och datanoggrannhet, bevarar konfidentialitet för privat eller känslig information, förhindrar missbruk och obehörig åtkomst till datorresurser, och eliminerar all onödig exponering eller ansvar för organisationen.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Vad betyder dessa förändringar för dig?
Den nya ISO 27001:2022-standarden är en revidering, så du behöver inte göra många ändringar för att vara kompatibel med den.
Se vår guide om ISO 27001:2022 för att lära dig mer om konsekvenserna av bilaga A 5.10 för din verksamhet och hur du visar efterlevnad.
Hur ISMS.online hjälper
ISMS.online gör ISO 27001 implementering enkel, med en omfattande steg-för-steg checklista. Den här guiden tar dig genom hela processen, från att definiera ditt ISMS-omfång till att identifiera risker och implementera kontroller.
Denna modell skapar ett ramverk för att sätta upp, använda, driva, observera, utvärdera, upprätthålla och utveckla ett Information Security Management System (ISMS).
Genomförande av ISO 27001-standard kan vara en omfattande strävan, men ISMS.online tillhandahåller en omfattande, one-stop-lösning för att göra processen mycket enklare.
Vårt förstklassiga programvara för ledningssystem för informationssäkerhet erbjuder ett okomplicerat sätt att förstå vad som måste åstadkommas och hur man ska gå vidare.
Vi gör det enkelt att hantera dina efterlevnadsbehov. Vi eliminerar besväret och stressen med att uppfylla dina krav.
Hör av dig idag för att reservera en demonstration.
