- Se ISO 27002:2022 Kontroll 5.11 för mer information.
- Se ISO 27001:2013 bilaga A 8.1.4 för mer information.
Säker och kompatibel tillgångsretur med ISO 27001-kontroll 5.11
ISO 27001:2022 Kontroll 5.11 i bilaga A föreskriver att personal och andra intressenter måste återlämna alla tillgångar som ägs av organisationen vid byte av anställning, kontrakt eller avtal.
Vid uppsägning av anställning, kontrakt eller avtal förväntas anställda och externa användare lämna tillbaka all information och organisationstillgångar.
Anställda, entreprenörer och andra måste vara skyldiga att ersätta alla tillgångar. Denna skyldighet skulle ingå i relevanta avtal med personal, entreprenörer och andra.
En solid, dokumenterad process bör hantera återlämnandet av tillgångar. Denna process kan dokumenteras för varje individ eller leverantör som går igenom den. Bilaga A.6.5 för personalsäkerhet, bilaga 6.6 för sekretessavtal och bilaga A.5.20 för leverantörsverksamhet anpassar detta till exitkontroller.
Organisationer måste ha skriftliga policyer som definierar vilka tillgångar som ska återlämnas vid uppsägning och personal för att bekräfta mottagandet och säkerställa inventering och redovisning av tillgångar.
Vad är syftet med bilaga A 5.11?
Följande är exempel på informationstillgångar för en organisation:
- Fysiska dokument.
- Digitala filer och databaser.
- Programvara.
- Även immateriella föremål som affärshemligheter och immateriella rättigheter.
Ett företags informationstillgångar kan vara värdefulla på många sätt. Detta inkluderar att innehålla känslig information om sina kunder, anställda eller andra intressenter som dåliga aktörer kan utnyttja för ekonomisk vinning eller identitetsstöld. Förutom finansiell, forsknings- och operativ information skulle de kunna ge dina konkurrenter en konkurrensfördel om de kunde få tillgång till den.
Av denna anledning måste alla tillgångar och tillgångar för anställda och entreprenörer som säger upp sin anställning hos en organisation återlämnas.
Som en del av exitprocessen måste tillgångar returneras enligt processen om inte annat överenskommits och dokumenterats:
- I bilaga A.5 beskrivs de åtgärder som ska vidtas om utebliven återlämning registreras som en säkerhetshändelse.
- För att säkerställa fortsatt skydd, periodiska tillgångsrevisioner är också nödvändiga för att säkerställa att förfarandet för återlämnande av tillgångar är idiotsäkert.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Ändring av anställningsstatus enligt ISO 27001:2022 bilaga a 5.11
Som en del av att ändra eller säga upp anställning, kontrakt eller avtal skyddar kontroll 5.11 organisationens tillgångar. Obehöriga personer är förbjudna att behålla organisationstillgångar (inklusive utrustning, information, programvara etc.) enligt denna bilaga A-kontroll.
Du måste se till att dina anställda och entreprenörer inte tar känslig information genom att identifiera potentiella hot och övervaka användarens aktivitet innan de lämnar.
När en individ sägs upp hindrar denna bilaga A-kontroll dem från att komma åt IT-system och nätverk. En formell uppsägningsprocess bör upprättas av organisationer så att individer inte längre kan komma åt några IT-system. Du kan uppnå detta genom att återkalla alla behörigheter, inaktivera konton och ta bort åtkomst till byggnadslokaler.
Det är nödvändigt att upprätta rutiner för att säkerställa att alla anställda, entreprenörer och andra relevanta parter returnerar alla tillgångar som inte längre behövs för affärsändamål. Dessa tillgångar bör ersättas så snart som möjligt.
Organisationer bör också kontrollera individens arbetsområde för att säkerställa att all känslig information har returnerats.
Tänk till exempel:
- Organisationens utrustning (bärbara datorer och flyttbara media) samlas in vid separation.
- När kontraktet slutförts måste entreprenörer lämna tillbaka all utrustning och information.
Att bygga en exitprocess och vad du behöver göra
En organisation måste formalisera sin ändrings- eller uppsägningsprocess, vilket inkluderar att returnera alla tidigare utgivna fysiska och elektroniska tillgångar som ägs eller anförtros den.
Eventuella åtkomsträttigheter, konton, digitala certifikat och lösenord bör också tas bort som en del av processen. Denna formalisering är särskilt kritisk när en förändring eller uppsägning inträffar oväntat, som dödsfall eller avgång. Obehörig åtkomst till organisationens tillgångar kan leda till en dataintrång om det inte förhindras.
En säker avyttrings-/returprocess bör säkerställa att alla tillgångar redovisas.
ISO 27001:2022 kräver att organisationen identifierar och dokumenterar all information och tillhörande tillgångar som ska returneras, inklusive:
- Användarslutpunktsenheter.
- Bärbara lagringsenheter.
- Specialutrustning.
- Autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv.
- Fysiska kopior av information.
Efter uppsägningen ska användaren fylla i en formell checklista som innehåller alla föremål som behöver returneras eller kasseras. Denna checklista bör innehålla alla nödvändiga underskrifter för att bekräfta att tillgångarna har återlämnats eller kasserats på rätt sätt.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vilka är ändringarna och skillnaderna från ISO 27001:2013?
ISO 27001:2013 uppdaterades i oktober 2022 till ISO 27001:2022.
Bilaga A kontroll 5.11 är inte ny utan en modifiering av bilaga A kontroll 8.1.4 – återlämnande av tillgångar.
I genomföranderiktlinjerna är kontrollerna i bilaga A i huvudsak desamma, med liknande språk och fraser. Dock, ISO 27001:2022s bilaga A kontroll 5.11 har en attributtabell som låter användare matcha den med vad de implementerar. Kontroll 5.11 i ISO 27001:2022 specificerar vilka tillgångar som kan återlämnas vid slutet av anställningen eller uppsägning av kontrakt.
Exempel på dessa inkluderar:
- Användarslutpunktsenheter.
- Bärbara lagringsenheter.
- Specialutrustning.
- Autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv.
- Fysiska kopior av information.
I ISO 27001:2013-versionen är denna lista inte tillgänglig.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur påverkar dessa förändringar dig?
ISO 27001:2022 är en uppdatering av 2013 års standard. Den kommitté som övervakar standarden har inte gjort några väsentliga ändringar.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online Hjälp
Du kan implementera och hantera ett ISO 27001/27001 ledningssystem för informationssäkerhet med ISMS.online, oavsett din erfarenhet av standarden.
Den perfekta blandningen av kunskap och teknik för tidig ISO 27001-framgång. ISMS.online innehåller en policy och ett verktyg för Kapitalförvaltning.
Med vårt system guidas du steg för steg genom att konfigurera ett ISMS och hantera det:
- ISMS.online tillhandahåller en steg-för-steg-guide för att implementera ISO 27001/27002 i alla organisationer.
- Ett riskbedömningsverktyg som guidar dig genom riskidentifieringen och riskbedömningsprocessen.
- Vi erbjuder en policypaket som kan anpassas för att passa dina behov online.
- Att hantera dokument och register som en del av ditt ISMS är enklare med ett dokumentkontrollsystem.
- Bättre beslutsfattande genom automatisk rapportering.
- Med vår molnbaserade plattform kommer du att kunna dokumentera bevis på överensstämmelse med ISO 27001 ramverk med en checklista över dina processer.
Hör av dig idag för att boka en demo.
