- Se ISO 27002:2022 Kontroll 5.14 för mer information.
- Se ISO 27001:2013 bilaga A 13.2.1 för mer information.
- Se ISO 27001:2013 bilaga A 13.2.2 för mer information.
- Se ISO 27001:2013 bilaga A 13.2.3 för mer information.
Grunderna för säker informationsöverföring: ISO 27001 5.14
Syftet med ISO 27001:2022 Annex A 5.14 är att säkerställa säkerheten för alla användarenheter.
Detta innebär att åtgärder måste vidtas för att skydda enheterna från skadlig programvara och andra hot, samt för att upprätthålla konfidentialitet, integritet och tillgänglighet för de data som lagras på dem.
ISO 27001: 2022 Bilaga A Kontroll 5.14 ger organisationer mandat att installera nödvändiga regler, procedurer eller kontrakt för att upprätthålla datasäkerhet när de delas internt eller skickas till externa parter.
Ägarskap till ISO 27001:2022 bilaga A Kontroll 5.14
Uppbackning och acceptans av ledande befattningshavare är väsentligt för utformningen och genomförandet av regler, protokoll och kontrakt.
Det är dock absolut nödvändigt att ha samverkan och specialistkunskaper från olika aktörer inom organisationen, såsom juridisk personal, IT-personal och toppmästare.
Det juridiska teamet bör säkerställa att organisationen ingår överföringsavtal som följer ISO 27001:2022 bilaga A Kontroll 5.14. Dessutom bör IT-teamet vara aktivt involverat i att specificera och utföra kontroller för att skydda data, såsom anges i 5.14.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om ISO 27001:2022 bilaga A 5.14
För att säkerställa överensstämmelse med 5.14 krävs att regler, förfaranden och avtal skapas, inklusive en dataöverföringspolicy som är specifik för ämnet, och som ger data under överföring en lämplig skyddsnivå enligt den klassificering den tilldelas.
Säkerhetsnivån bör stå i proportion till vikten och känsligheten hos de uppgifter som skickas. ISO 27001:2022 Annex A 5.14 kräver också att organisationer ingår överföringsavtal med mottagande tredje part för att säkerställa säker överföring av data.
ISO 27001:2022 bilaga A Kontroll 5.14 kategoriserar överföringstyper i tre grupper:
- Elektronisk överföring.
- Mått förvarings media överföra.
- Verbal överföring.
Innan du går vidare med att detaljera de specifika kraven för varje typ av överföring, ISO 27001: 2022 Bilaga A Kontroll 5.14 beskriver de element som måste finnas i alla förordningar, förfaranden och kontrakt som hänför sig till alla tre överföringar i allmänhet:
- Organisationer måste fastställa lämpliga kontroller baserat på klassificeringsnivån för information för att skydda den under transport från obehörig åtkomst, ändring, avlyssning, duplicering, förstörelse och övergrepp mot tjänsteförbud.
- Organisationer måste hålla reda på spårbarhetskedjan under transporten och upprätta och utföra kontroller för att garantera spårbarheten av data.
- Ange vem som är inblandad i dataöverföringen och ge deras kontaktuppgifter, såsom dataägare och säkerhetspersonal.
- Vid dataintrång ska ansvar fördelas.
- Implementera ett märkningssystem för att hålla reda på artiklar.
- Se till att transfertjänsten är tillgänglig.
- Riktlinjer angående metoder för informationsöverföring bör utvecklas enligt specifika ämnen.
- Riktlinjer för att lagra och kassera alla affärsdokument, inklusive meddelanden, måste följas.
- Undersök vilken inverkan eventuella tillämpliga lagar, förordningar eller andra skyldigheter kan ha på överföringen.
Kompletterande vägledning om elektronisk överföring
ISO 27001:2022 Bilaga A Kontroll 5.14 beskriver de specifika innehållskraven för regler, förfaranden och avtal som är kopplade till de tre typerna av överföringar. Minimikraven för innehåll måste följas för alla tre.
Regler, avtal och förfaranden bör ta hänsyn till följande överväganden vid överföring av information elektroniskt:
- Identifiering och motverkan av angrepp med skadlig programvara är av största vikt. Det är viktigt att du använder den senaste tekniken för att upptäcka och förhindra attacker från skadlig programvara.
- Säkerställa säkerhet för konfidentiell information finns i de skickade bilagorna.
- Se till att kommunikation skickas till lämpliga mottagare genom att undvika risken att skicka till felaktig e-postadress, adress eller telefonnummer.
- Skaffa tillstånd innan du börjar använda några offentliga kommunikationstjänster.
- Striktare autentiseringsmetoder bör användas när data skickas via offentliga nätverk.
- Att införa begränsningar för användningen av e-kommunikationstjänster, t.ex. förbjuda automatisk vidarebefordran.
- Rekommendera personalen att undvika att använda tjänster för kortmeddelanden eller snabbmeddelanden för att dela känslig data, eftersom innehållet kan ses av obehöriga personer i allmänna utrymmen.
- Ge personal och andra intresserade råd om de skyddsrisker som faxmaskiner kan utgöra, såsom obehörig åtkomst eller missvisande meddelanden till vissa nummer.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om överföring av fysisk lagringsmedia
När information delas fysiskt bör regler, förfaranden och avtal innehålla:
- Parterna ansvarar för att meddela varandra om överföring, utsändning och mottagande av information.
- Se till att meddelandet adresseras korrekt och skickas på rätt sätt.
- Bra förpackning eliminerar risken för skador på innehållet under transporten. Till exempel ska förpackningen vara beständig mot värme och fukt.
- Ledningen har kommit överens om en pålitlig, auktoriserad budlista.
- En översikt över kuriridentifieringsstandarder.
- För känslig och kritisk information bör manipuleringssäkra påsar användas.
- Det är viktigt att verifiera kurirernas identitet.
- Denna lista över tredje parter, klassificerade efter deras servicenivå, tillhandahåller transport- eller budtjänster och har godkänts.
- Anteckna leveranstid, auktoriserad mottagare, vidtagna säkerhetsåtgärder och bekräftelse på mottagande på destinationen i en logg.
Kompletterande vägledning om verbal överföring
Personalen måste göras medveten om riskerna förknippade med informationsutbyte inom organisationen eller överföring av data till externa parter, i enlighet med ISO 27001:2022 bilaga A Kontroll 5.14. Dessa risker inkluderar:
- De bör avstå från att diskutera konfidentiella frågor i osäkra offentliga kanaler eller på offentliga platser.
- Man bör inte lämna röstmeddelanden med konfidentiell information på grund av risken för uppspelning av personer som inte är auktoriserade, samt risken för omdirigering till tredje part.
- Individer, både personal och andra tillämpliga tredje parter, bör screenas innan de beviljas tillträde till samtal.
- Rum som används för konfidentiella samtal bör förses med nödvändig ljudisolering.
- Innan en känslig dialog inleds bör en ansvarsfriskrivning utfärdas.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27001:2013?
ISO 27001:2022 bilaga A 5.14 ersätter ISO 27001:2013 Bilaga A 13.2.1, 13.2.2 och 13.2.3.
De två kontrollerna har en viss likhet, men två stora skillnader gör kraven för 2022 mer betungande.
Specifika krav för elektriska, fysiska och verbala överföringar
Avsnitt 13.2.3 i 2013 års version behandlade de särskilda kraven på överföring av data via elektroniska meddelanden.
Den tog dock inte specifikt upp överföring av information genom verbala eller fysiska medel.
Som jämförelse är 2022-versionen exakt i sin identifiering av tre typer av informationsöverföring och beskriver det nödvändiga innehållet för var och en av dem individuellt.
ISO 27001:2022 ställer strängare krav för elektronisk överföring
Avsnitt 13.2.3 i 2022 års version ställer strängare krav på innehållet i avtal om elektroniska meddelanden.
Organisationer måste specificera och verkställa nya regler för digitala överföringar i form av regler, procedurer och kontrakt för ISO 27001:2022.
Till exempel bör organisationer varna sin personal från att använda SMS-tjänster när de överför känslig information.
Detaljerade krav för fysiska överföringar
2022-versionen inför strängare regler för fysisk överföring av lagringsmedia. Till exempel är den mer noggrann i sin autentisering av kurirer och skydd mot olika former av skador.
Strukturella förändringar
I 2013 års version gjordes en uttrycklig hänvisning till de nödvändiga kraven i avtal om informationsöverföring. Men "Reglerna" och "Procedurerna" beskrevs inte i detalj.
För ISO 27001:2022 anges specifika kriterier för var och en av de tre tillvägagångssätten.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online hjälper
Implementering av ISO 27001:2022 kan göras enklare med vår steg-för-steg checklista. Den guidar dig genom hela processen från att definiera omfattningen av ditt ISMS till identifiera risker och genomförande av kontroller.
Boka din demonstration idag. Tider finns tillgängliga sju dagar i veckan, så boka in din kl en tid som fungerar för dig.
