- Se ISO 27002:2022 Kontroll 5.15 för mer information.
- Se ISO 27001:2013 bilaga A 9.1.1 för mer information.
- Se ISO 27001:2013 bilaga A 9.1.2 för mer information.
ISO 27001:2022 bilaga A 5.15 – En omfattande guide till åtkomstkontrollpolicyer
Bilaga A 5.15 till ISO 27001:2022; Din steg-för-steg-guide för att förstå och möta det.
Bilaga A 5.15 handlar om tillträdeskontrollprocedurer. Syftet med bilaga A.9 är att säkerställa tillgången till information och säkerställa att anställda endast har tillgång till den information de behöver för att utföra sina arbetsuppgifter.
Det är en av de väsentliga delarna av en ledningssystem för informationssäkerhet (ISMS), särskilt om du planerar att uppnå ISO 27001-certifiering.
Att få den här delen rätt är en viktig komponent i ISO 27001 certifiering och en där många företag behöver hjälp. För att bättre förstå dessa krav, låt oss titta närmare på vad de innebär.
Åtkomstkontrollpolicy
För att hantera tillgången till tillgångar inom ramen för en organisation måste en policy för åtkomstkontroll utvecklas, dokumenteras och ses över med jämna mellanrum.
Åtkomstkontroll styr hur mänskliga och icke-mänskliga enheter på ett nätverk får tillgång till data, IT-resurser och applikationer.
Informationssäkerhetsrisker förknippade med informationen och organisationens aptit att hantera dem bör återspeglas i reglerna, rättigheterna och begränsningarna och djupet i kontrollerna som används. Det handlar helt enkelt om att bestämma vem som har tillgång till vad, hur mycket och vem som inte har.
Det är möjligt att ställa in digitala och fysiska åtkomstkontroller, såsom att begränsa användarkontobehörigheter eller begränsa åtkomst till specifika fysiska platser (i linje med bilaga A.7 Fysisk säkerhet och miljösäkerhet). Policyn bör ta hänsyn till följande överväganden:
- Det är väsentligt att anpassa säkerhetskraven för affärsapplikationer med informationsklassificeringsschemat som används enligt bilaga A 5.9, 5.10, 5.11, 5.12, 5.13 och 7.10 avseende Asset Management.
- Identifiera vem som behöver tillgång till, kunskap om och användning av information – tillsammans med tydligt definierade rutiner och ansvar.
- Se till att åtkomsträttigheter och privilegier åtkomsträttigheter (mer kraft – se nedan) hanteras effektivt, inklusive tillägg av förändringar i livet (t.ex. kontroller för superanvändare/administratörer) och periodiska granskningar (t.ex. periodiska interna revisioner per krav Bilaga A 5.15, 5.16, 5.17, 5.18 & 8.2).
- En formell procedur och definierade ansvarsområden bör stödja reglerna för tillträdeskontroll.
Det är viktigt att se över åtkomstkontrollen när rollerna ändras, särskilt vid utgångar, för att följa bilaga A.7 Human Resource Security.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Nätverk och nätverkstjänster är tillgängliga för användare
Ett allmänt tillvägagångssätt för skydd är minsta åtkomst snarare än obegränsad åtkomst och superanvändarrättigheter utan noggrant övervägande.
Följaktligen bör användare endast ges tillgång till nätverk och nätverkstjänster krävs för att fullgöra sina skyldigheter. Politiken måste ta itu med; Nätverken och nätverkstjänsterna i utrymme för åtkomst; Auktoriseringsprocedurer för att visa vem (rollbaserad) som får tillgång till vad och när; och ledningskontroller och procedurer för att förhindra åtkomst och övervaka den i händelse av en incident.
Ombordstigning och avstigning bör också ta hänsyn till denna fråga, som är nära relaterad till policyn för tillträdeskontroll.
Syftet med ISO 27001:2022 bilaga A 5.15
Som en förebyggande kontroll förbättrar bilaga A 5.15 en organisations underliggande förmåga att kontrollera åtkomst till data och tillgångar.
En konkret uppsättning av kommersiell och informationssäkerhet behov måste tillgodoses innan tillgång till resurser kan beviljas och ändras enligt bilaga A Kontroll 5.15.
ISO 27001 Annex A 5.15 ger riktlinjer för att underlätta säker åtkomst till data och minimera risken för obehörig åtkomst till fysiska och virtuella nätverk.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Äganderätt till bilaga A 5.15
Såsom visas i bilaga A 5.15, ledningspersonal över olika delar av en organisationen måste ha en grundlig förståelse av vilka resurser som behöver nås (t.ex. Förutom att HR informerar anställda om deras jobbroller, som dikterar deras RBAC-parametrar, är åtkomsträttigheter i slutändan en underhållsfunktion som kontrolleras av nätverksadministratörer.
En organisations ägarskap i bilaga A 5.15 bör ligga hos en medlem av högsta ledningen som har övergripande teknisk auktoritet över företagets domäner, underdomäner, applikationer, resurser och tillgångar. Det här kan vara IT-chefen.
Allmän vägledning om ISO 27001:2022 bilaga 5.15
Ett ämnesspecifikt tillvägagångssätt för åtkomstkontroll krävs för att uppfylla ISO 27001:2022 Annex A Control 5.15 (mer känd som en problemspecifik metod).
Istället för att följa en generell åtkomstkontrollpolicy som gäller för resurs- och dataåtkomst i hela organisationen, uppmuntrar ämnesspecifika tillvägagångssätt organisationer att skapa åtkomstkontrollpolicyer riktade mot enskilda affärsfunktioner.
För alla ämnesspecifika områden kräver bilaga A Kontroll 5.15 att policyer för åtkomstkontroll beaktar de 11 punkterna nedan. Vissa av dessa riktlinjer överlappar andra policyer.
Som en riktlinje bör organisationer konsultera de medföljande kontrollerna för ytterligare information från fall till fall:
- Identifiera vilka enheter som behöver tillgång till vissa tillgångar och information.
- Att upprätthålla ett register över jobbroller och krav på dataåtkomst i enlighet med din organisations organisationsstruktur är det enklaste sättet att säkerställa efterlevnad.
- Säkerhet och integritet för alla relevanta applikationer (länkat till Control 8.2).
- En formell riskbedömning skulle kunna göras för att bedöma säkerhetsegenskaperna för enskilda ansökningar.
- Kontroll av fysisk åtkomst till en webbplats (länkar till kontroller 7.2, 7.3 och 7.4).
- Som en del av ditt efterlevnadsprogram måste din organisation visa upp en robust uppsättning av byggnads- och rumskontroller, inklusive hanterade inträdessystem, säkerhetsperimetrar och besökarprocedurer, där så är lämpligt.
- När det kommer till distribution, säkerhet och kategorisering av information bör principen "need to know" tillämpas i hela organisationen (kopplad till 5.10, 5.12 och 5.13).
- Företag bör följa strikta riktlinjer för bästa praxis som inte ger generell åtkomst till data i en organisations hierarki.
- Se till att privilegierade åtkomsträttigheter är begränsade (relaterat till 8.2).
- Åtkomstprivilegierna för användare som ges åtkomst till data utöver den för en standardanvändare måste övervakas och granskas.
- Säkerställa efterlevnad av all gällande lagstiftning, sektorspecifika regleringsriktlinjer eller avtalsförpliktelser avseende dataåtkomst (se 5.31, 5.32, 5.33, 5.34 och 8.3).
- En organisations åtkomstkontrollpolicyer anpassas efter externa skyldigheter avseende dataåtkomst, tillgångar och resurser.
- Hålla ett öga på potentiella intressekonflikter.
- Policyerna bör innehålla kontroller för att förhindra en individ från att äventyra en bredare åtkomstkontrollfunktion baserat på deras åtkomstnivåer (dvs. en anställd som kan begära, auktorisera och implementera ändringar i ett nätverk).
- En åtkomstkontrollpolicy bör hantera de tre huvudfunktionerna – förfrågningar, auktorisationer och administration – oberoende av varandra.
- En policy för åtkomstkontroll måste erkänna att den, trots sin självständiga karaktär, består av flera individuella steg, som vart och ett innehåller sina krav.
- För att säkerställa överensstämmelse med kraven i 5.16 och 5.18 bör tillgångsbegäranden utföras på ett strukturerat, formellt sätt.
- Organisationer bör implementera formella auktorisationsprocesser som kräver formellt, dokumenterat godkännande från lämplig personal.
- Hantera åtkomsträttigheter löpande (länkat till 5.18).
- För att upprätthålla dataintegritet och säkerhetsperimetrar krävs periodiska revisioner, HR-tillsyn (avträdare, etc.) och jobbspecifika förändringar (t.ex. avdelningsförflyttningar och förändringar av roller).
- Upprätthålla adekvata loggar och kontrollera åtkomst till dem Efterlevnad – Organisationer bör samla in och lagra data om åtkomsthändelser (t.ex. filaktivitet), skydda mot obehörig åtkomst till säkerhetshändelseloggar och följa en omfattande incidenthantering strategi.
Kompletterande vägledning om bilaga 5.15
Enligt den kompletterande vägledningen nämner ISO 27001:2022 bilaga A Kontroll 5.15 (utan att begränsa sig till) fyra olika typer av åtkomstkontroll, som i stora drag kan klassificeras enligt följande:
- Mandatory Access Control (MAC) – Åtkomsten hanteras centralt av en enda säkerhetsmyndighet.
- Ett alternativ till MAC är diskretionär åtkomstkontroll (DAC), där ägaren av objektet kan ge andra privilegier inom objektet.
- Ett åtkomstkontrollsystem baserat på fördefinierade jobbfunktioner och privilegier kallas rollbaserad åtkomstkontroll (RBAC).
- Med Attribut-Based Access Control (ABAC) beviljas användarrättigheter baserat på policyer som kombinerar attribut.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Riktlinjer för implementering av regler för åtkomstkontroll
Vi har diskuterat regler för åtkomstkontroll som beviljade till olika enheter (mänskliga och icke-mänskliga) som verkar inom ett nätverk, som tilldelas roller som definierar deras övergripande funktion.
När du definierar och genomför din organisations policyer för åtkomstkontroll, uppmanar bilaga A 5.15 dig att överväga följande fyra faktorer:
- Överensstämmelse måste upprätthållas mellan de uppgifter som åtkomsträtten gäller och typen av åtkomsträtt.
- Det är viktigt att säkerställa överensstämmelse mellan din organisations åtkomsträttigheter och fysiska säkerhetskrav (omkrets, etc).
- Åtkomsträttigheter i en distribuerad datormiljö (som en molnbaserad miljö) tar hänsyn till konsekvenserna av data som finns över ett brett spektrum av nätverk.
- Tänk på konsekvenserna av dynamiska åtkomstkontroller (en detaljerad metod för att komma åt en detaljerad uppsättning variabler implementerad av en systemadministratör).
Definiera ansvar och dokumentera processen
Enligt ISO 27001:2022 bilaga A Kontroll 5.15 måste organisationer utveckla och underhålla en strukturerad lista över ansvarsområden och dokumentation. Det finns många likheter mellan ISO 27001:2022:s hela lista över kontroller, med bilaga A 5.15 som innehåller de mest relevanta kraven:
Dokumentation
- ISO 27001:2022 bilaga A 5.16
- ISO 27001:2022 bilaga A 5.17
- ISO 27001:2022 bilaga A 5.18
- ISO 27001:2022 bilaga A 8.2
- ISO 27001:2022 bilaga A 8.3
- ISO 27001:2022 bilaga A 8.4
- ISO 27001:2022 bilaga A 8.5
- ISO 27001:2022 bilaga A 8.18
Ansvar
- ISO 27001:2022 bilaga A 5.2
- ISO 27001:2022 bilaga A 5.17
kornighet
Kontroll 5.15 i bilaga A ger organisationer betydande frihet att specificera detaljerna i deras åtkomstkontrollpolicyer.
I allmänhet rekommenderar ISO företag att använda sin bedömning av hur detaljerad en given uppsättning regler bör vara på anställd-för-anställd-basis och hur många variabler som ska tillämpas på en viss information.
Specifikt bekräftar bilaga A 5.15 att ju mer detaljerade ett företags åtkomstkontrollpolicyer är, desto högre kostnad och desto mer utmanande blir konceptet för åtkomstkontroll över flera platser, nätverkstyper och applikationsvariabler.
Åtkomstkontroll, om den inte hanteras noggrant, kan gå ur hand mycket snabbt. Det är klokt att förenkla reglerna för åtkomstkontroll för att säkerställa att de är lättare att hantera och mer kostnadseffektiva.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Vilka är ändringarna från ISO 27001:2013?
Bilaga A 5.15 i 27001:2022 är en sammanslagning av två liknande kontroller i 27001:2013 – Bilaga A 9.1.1 (Åtkomstkontrollpolicy) och bilaga A 9.1.2 (Tillgång till nätverk och nätverkstjänster).
De underliggande teman i A.9.1.1 och A.9.1.2 liknar dem i bilaga A 5.15, förutom några subtila operationella skillnader.
Liksom 2022 hänför sig båda kontrollerna till att administrera åtkomst till information, tillgångar och resurser och fungerar enligt principen om "need to know", där företagsdata behandlas som en vara som kräver noggrann hantering och skydd.
Det finns 11 styrande riktlinjer i 27001:2013 Bilaga A 9.1.1, som alla följer samma allmänna principer som 27001:2022 Bilaga A Kontroll 5.15 med något större tonvikt på perimetersäkerhet och fysisk säkerhet.
Det finns i allmänhet samma implementeringsriktlinjer för åtkomstkontroll, men 2022-kontrollen ger mycket mer kortfattad och praktisk vägledning över dess fyra implementeringsriktlinjer.
Typer av åtkomstkontroller som används i ISO 27001:2013 bilaga A 9.1.1 har ändrats
Som framgår av ISO 27001 Annex A 5.15 har olika former av åtkomstkontroll uppstått under de senaste nio åren (MAC, DAC, ABAC), medan i 27001:2013 Annex A Control 9.1.1, den primära metoden för kommersiell åtkomstkontroll då. tiden var RBAC.
Granularitetsnivå
2013 års kontroller måste innehålla meningsfulla riktlinjer för hur en organisation bör närma sig detaljerade åtkomstkontroller i ljuset av tekniska förändringar som ger organisationer ökad kontroll över sina data.
Däremot ger bilaga A 5.15 till 27001:2022 organisationer stor flexibilitet.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur kan ISMS.online hjälpa?
Bilaga A 5.15 i ISO 27001:2022 är förmodligen den mest omtalade klausulen i bilaga A, och vissa hävdar att den är den mest betydelsefulla.
Ditt Information Security Management System (ISMS) syftar till att säkerställa att lämpliga personer har tillgång till rätt information vid rätt tidpunkt. En av nycklarna till framgång är att få det rätt, men att göra det fel kan påverka ditt företag negativt.
Tänk på scenariot där du av misstag avslöjade konfidentiell personalinformation för fel personer, till exempel vad alla i organisationen får betalt.
Om du inte är försiktig kan konsekvenserna av att få den här delen fel bli allvarliga. Därför är det absolut nödvändigt att ta dig tid att noggrant överväga alla aspekter innan du fortsätter.
I detta avseende, vår plattform kan vara en verklig tillgång. Detta beror på att det följer hela strukturen i ISO 27001 och låter dig adoptera, anpassa och berika innehållet vi tillhandahåller för dig, vilket ger dig ett stort försprång.
