- Se ISO 27002:2022 Kontroll 5.6 för mer information.
- Se ISO 27001:2013 bilaga A 6.1.4 för mer information.
Varför engagera sig med specialintressegrupper stärker din informationssäkerhet
Som en del av den reviderade ISO 27001:2022-förordningen uppmanar bilaga A Kontroll 5.6 organisationer att etablera och upprätthålla kontakter med särskilda intressegrupper.
Det är också viktigt att upprätthålla lämpliga kontakter med särskilda intressegrupper, säkerhetsforum och professionella föreningar. Det är relevant att komma ihåg att medlemskap i yrkesorganisationer, branschorganisationer, forum och diskussionsgrupper alla ingår i denna bilaga A-kontroll. Det är då du anpassar den efter dina specifika behov.
Det är viktigt att förstå vad var och en av dessa grupper gör och hur de etablerades (t.ex. är de för kommersiella ändamål).
Vad är specialintressegrupper?
I allmänhet är en specialintressegrupp en sammanslutning av individer eller organisationer som är intresserade av ett visst område. De arbetar tillsammans för att lösa problem, utveckla lösningaroch skaffa kunskap inom området. I vår situation, informationssäkerhet skulle vara expertområdet.
Många speciella intressegrupper inkluderar tillverkare, specialistforum och professionella föreningar.
Organisationer uppmuntras att nätverka med särskilda intressegrupper, specialiserade säkerhetsforum och professionella föreningar enligt bilaga A kontroll 5.6 i ISO 27001:2022 eller 6.1.4 i ISO 27001:2013.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Hur fungerar ISO 27001:2022 Annex A 5.6?
Nästan varje organisation har idag en relation med särskilda intressegrupper. Syftet med bilaga A kontroll 5.6 är att säkerställa att information om informationssäkerhet flyter ordentligt mellan dessa särskilda intressegrupper. Detta är oavsett om de är kunder, leverantörer eller grupper som påverkar organisationen.
Som en del av bilaga A Kontroll 5.6 finns krav, syfte och implementeringsriktlinjer för att kontakta särskilda intressegrupper. En nyckelaspekt för att förbättra informationssäkerhetskapaciteten är att regelbundet samarbeta med relevanta intressenter och intresserade parter, inklusive konsumenter och deras representanter, leverantörer, partners och regeringen.
Ett partnerskap kan tillåta båda sidor att dra nytta av varandras kunskap om banbrytande idéer och bästa praxis, vilket gör det till en win-win-situation.
Dessutom kan dessa grupper kunna ge värdefulla förslag eller rekommendationer angående säkerhetspraxis, procedurer eller teknik. Dessa förslag eller rekommendationer kan säkra ditt system samtidigt som du uppnår dina affärsmål.
Komma igång och uppfylla kraven i bilaga A 5.6
En organisation måste följa ISO 27001:2022 implementeringsriktlinjer vid uppfyllande av kraven för bilaga A Kontroll 5.6.
En specialintressegrupp eller ett forummedlemskap bör ge medlemmarna möjlighet att:
- Håll dig uppdaterad med den senaste säkerhetsinformationen och lär dig om bästa praxis.
- Upprätthålla en aktuell förståelse av informationssäkerhetsmiljön.
- Håll dig uppdaterad om de senaste varningarna, råden och korrigeringarna relaterade till attacker och sårbarheter.
- Få expertråd om informationssäkerhet.
- Informera varandra om den senaste tekniken, produkterna, tjänsterna, hoten eller sårbarheter.
- I händelse av en informationssäkerhetsincident, tillhandahålla lämpliga kontaktpunkter.
Som en del av ISO/IEC 27000 standarder, måste ett ledningssystem för informationssäkerhet (ISMS) upprättas och underhållas. Kontroll 5.6 i bilaga A är en avgörande del av denna process. Genom att interagera med specialintressegrupper kommer du att kunna få feedback från dina kamrater angående effektiviteten i dina informationssäkerhetsprocesser.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vilka är ändringarna och skillnaderna från ISO 27001:2013?
ISO 27001:2022, bilaga A kontroll 5.6, "Kontakt med särskilda intressegrupper", är i huvudsak en uppdaterad version av ISO 27001:2013 kontroll 6.1.4.
När det gäller ISO 27001:2022 anges syftet med kontrollen i standarden, medan det i 2013 års upplaga. Syftet med bilaga A-kontroll anges inte.
Dessutom använder båda versionerna olika frasologier trots att de har samma implementeringsriktlinjer.
Med dessa förbättringar kommer standarden att förbli aktuell och relevant i ljuset av ökande säkerhetsproblem och teknisk utveckling. Organisationer kommer också att gynnas eftersom det blir lättare att följa standarden.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 Bilaga A Kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur hanteras denna process?
Datasekretess och säkerhet, tillsammans med efterlevnad, hanteras vanligtvis av chef för informationssäkerhet (även kallad CISO).
Information Security Managers (ISMS Managers) kan också hantera denna roll, men utan inköp av högre ledning kan rollen inte gå vidare.
Hur påverkar detta organisationer?
De som redan har genomfört ISO 27001:2013 kommer att behöva uppdatera sina rutiner för att säkerställa överensstämmelse med den reviderade standarden.
De flesta organisationer bör kunna göra de nödvändiga ändringarna av 2022-versionen utan problem, även om det kommer att ske vissa ändringar. Dessutom kommer certifierade organisationer att ha en tvåårig övergångsfas under vilken de kan förnya sin certifiering för att säkerställa att den följer den reviderade standarden.
Du kan bättre förstå hur ISO 27001:2022 kommer att påverka datasäkerhetsverksamheten och ISO 27001-certifieringen med vår ISO 27001:2022 guide.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.Online hjälper
Med ISMS.online kan du implementera ISO 27001 Bilaga A styr och hanterar hela ditt ISMS med vårt lättanvända system.
Genom att förse dig med verktyg och resurser för att hantera informationssäkerhet inom din organisation gör ISMS.online ISO 27001 lättare att implementera. Det kommer att hjälpa dig identifiera risker, utveckla begränsningskontroller och implementera dem.
Förutom att tillhandahålla en kontrollpanel för hantering, rapporter och granskningsloggar, kommer ISMS.online att hjälpa dig att visa överensstämmelse med standarden.
Att använda ISMS.online ger enkla, praktiska ramar och mallar för informationssäkerhet i projektledning, DPIA och andra relaterade bedömningar av personlig information, t.ex. Legitimate Interest Assessments (LIA).
För din tidiga ISMS-framgång kombinerar vi kunskap och teknik
Bland funktionerna i vår molnbaserade plattform är följande:
- Dokumenthanteringssystem med ett lättanvänt gränssnitt och omfattande anpassningsmöjligheter.
- Förskrivna dokumentationsmallar som är polerade och välskrivna.
- Process för genomföra internrevisioner som är förenklade.
- En metod för att kommunicera med intressenter och ledning som är effektiv.
- En arbetsflödesmodul för att effektivisera implementeringsprocessen.
Vi har alla dessa funktioner och mer. Till boka en demo, vänligen kontakta oss idag.
