- Se ISO 27002:2022 Kontroll 5.9 för mer information.
- Se ISO 27001:2013 bilaga A 8.1.1 för mer information.
- Se ISO 27001:2013 bilaga A 8.1.2 för mer information.
ISO 27001 Annex A 5.9: En guide till hantering av informationstillgångar
ISO 27001: 2022 Bilaga A Kontroll 5.9 heter Inventering av information och andra tillhörande tillgångar.
Det kräver att organisationer identifierar och dokumenterar de tillgångar som är viktiga för deras verksamhet och tillhörande risker, och vidtar åtgärder för att skydda dem. Detta säkerställer att tillgångar hanteras och övervakas på lämpligt sätt, vilket hjälper till att säkerställa att de är säkra.
I bilaga A till ISO 27001:2022 beskrivs kontroll 5.9, som förklarar hur en lista med information och relaterade tillgångar, tillsammans med deras respektive ägare, måste skapas och hållas uppdaterad.
Inventering av informationstillgångar förklaras
Organisationen måste erkänna vad den har tillgång till för att kunna bedriva sin verksamhet. Den måste vara medveten om sina informationstillgångar.
En omfattande IA är en avgörande del av alla organisationers datasäkerhetspolicy. Det är en inventering av varje datapost som lagras, bearbetas eller överförs, såväl som platserna och säkerhetskontrollerna för var och en. Det är i huvudsak den finansiella redovisningens motsvarighet till dataskydd, vilket gör att organisationer kan identifiera varje del av data.
En IA kan användas för att identifiera svagheter i ditt säkerhetsprogram och ge information att bedöma cyberrisker som kan leda till intrång. Det kan också vara bevis för att visa att du har vidtagit åtgärder för att identifiera känsliga uppgifter vid efterlevnadsrevisioner, som hjälper dig att undvika böter och straff.
Ocuco-landskapet inventering av informationstillgångar bör specificera vem som äger och är ansvarig för varje tillgång, samt värdet och betydelsen av varje post för organisationens verksamhet.
Det är avgörande att hålla lager aktuella för att säkerställa att de korrekt återspeglar förändringar inom organisationen.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Varför behöver jag en inventering av informationstillgångar?
Information Asset Management har en lång tradition inom affärskontinuitetsplanering (BCP), disaster recovery (DR) och förberedelser för incidenthantering.
Att identifiera kritiska system, nätverk, databaser, applikationer, dataflöden och andra komponenter som kräver säkerhet är det första steget i någon av dessa processer. Utan kunskap om vad som behöver skyddas, och var det finns, kan du inte planera för hur du ska skydda det.
Vad är syftet med ISO 27001:2022 bilaga A Kontroll 5.9?
Kontrollen syftar till att erkänna organisationens information och tillhörande tillgångar för att säkerställa informationssäkerhet och utse rätt äganderätt.
I bilaga A till ISO 27001:2022 beskrivs kontroll 5.9, som beskriver syftet och implementeringsvägledning för att skapa en inventering av information och andra tillgångar i relation till ISMS-ramverket.
Inventera all information och tillhörande tillgångar, klassificera i kategorier, identifiera ägare och dokumentera befintliga/nödvändiga kontroller.
Detta är ett viktigt steg för att garantera att alla datatillhörigheter är tillräckligt skyddade.
Vad är inblandat och hur man uppfyller kraven
För att uppfylla kriterierna för ISO 27001:2022 måste du identifiera informationen och andra tillhörande tillgångar inom din organisation. Därefter bör du bedöma betydelsen av dessa poster med avseende på informationssäkerhet. Om det behövs, föra register i dedikerade eller befintliga inventarier.
Storleken och komplexiteten hos en organisation, befintliga kontroller och policyer, och de typer av information och tillgångar den använder kommer alla att ha en effekt på utvecklingen av en inventering.
Att säkerställa att inventeringen av information och andra tillhörande tillgångar är korrekt, uppdaterad, konsekvent och i linje med andra inventeringar är nyckeln, enligt kontroll 5.9. För att garantera noggrannhet kan man överväga följande:
- Genomför systematiska värderingar av noterad information och tillhörande tillgångar i enlighet med tillgångskatalogen.
- Under processen att installera, ändra eller ta bort en tillgång kommer en lageruppdatering automatiskt att tillämpas.
- Inkludera var en tillgång finns i inventeringen om det behövs.
Vissa organisationer kan behöva hålla flera lager för olika ändamål. De kan till exempel ha specialiserade lager för programvarulicenser eller fysiska enheter som bärbara datorer och surfplattor.
Det är viktigt att regelbundet inspektera allt fysiskt lager som inkluderar nätverksenheter som routrar och switchar för att upprätthålla noggrannheten i inventeringen för riskhanteringssyften.
För mer information om att uppfylla kontroll 5.9, bör ISO 27001:2022-dokumentet konsulteras.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Skillnader mellan ISO 27001:2013 och ISO 27001:2022
I ISO 27001:2022 har 58 kontroller från ISO 27001:2013 reviderats och ytterligare 24 kontroller har slagits samman. Nya 11 kontroller har lagts till, medan några raderas.
Därför hittar du inte Bilaga A Kontroll 5.9 – Inventering av information och andra tillhörande tillgångar – i 2013 års version, som det nu är en kombination av ISO 27001:2013 bilaga A 8.1.1 – Inventering av tillgångar - och ISO 27001:2013 bilaga A 8.1.2 – Ägande av tillgångar – i 2022 års version.
Bilaga A till ISO 27001:2022 beskriver kontroll 8.1.2, Ägande av tillgångar. Detta säkerställer att alla informationstillgångar är tydligt identifierade och ägda. Att veta vem som äger vad hjälper till att fastställa vilka tillgångar som behöver skyddas och vem som kräver ansvar.
ISO 27001:2013 och ISO 27001:2022 har båda liknande kontroller, dock har bilaga A kontroll 5.9 i den senare utökats för att ge en enklare tolkning. Till exempel dikterar implementeringsvägledningen om ägande av tillgångar i kontroll 8.1.2 att tillgångsägaren ska:
- Se till att alla tillgångar är korrekt registrerade i inventeringen.
- Se till att tillgångar klassificeras och skyddas på lämpligt sätt.
- Regelbundet granska och definiera åtkomstbegränsningar och klassificeringar för nyckeltillgångar, med hänsyn till tillämpliga policyer för åtkomstkontroll.
- Se till att lämpliga åtgärder vidtas när tillgången avyttras eller förstörs.
Ägaravsnittet i kontroll 5.9 har utökats till att omfatta nio punkter, istället för de ursprungliga fyra. Rättelser har gjorts i stavning och grammatik, och tonen har ändrats till en professionell, vänlig stil. Redundans och upprepning har eliminerats och skrivandet är nu i en aktiv stil.
Tillgångsägaren bör ta ansvar för lämplig tillsyn av en tillgång under dess livscykel, och se till att:
- All data och relaterade resurser är listade och dokumenterade.
- Se till att all data, relaterade tillgångar och andra relaterade resurser är korrekt klassificerade och skyddade.
- Klassificeringen ses över regelbundet för att säkerställa dess riktighet.
- Komponenter som upprätthåller teknologitillgångar registreras och relaterade till varandra, inklusive databaser, lagring, programvarukomponenter och underkomponenter.
- Kraven på acceptabel användning av information och andra tillhörande tillgångar anges i 5.10.
- Åtkomstbegränsningar överensstämmer med klassificeringen och visar sig vara effektiva, ses över regelbundet för att säkerställa kontinuerligt skydd.
- Information och andra tillhörande tillgångar hanteras säkert när de raderas eller kasseras och tas bort från inventeringen.
- De är ansvariga för att identifiera och hantera riskerna kopplade till deras tillgång(ar).
- De ger stöd till personal som hanterar deras information och tar på sig de roller och det ansvar som är förknippat med den.
Att slå samman dessa två kontroller till en underlättar användarens förståelse.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vad betyder dessa förändringar för dig?
De senaste ändringarna i ISO 27001 påverkar inte din nuvarande certifiering mot ISO 27001-standarderna. Endast uppgraderingar till ISO 27001 kan ha effekt på befintliga certifieringar. Ackrediteringsorgan kommer att samarbeta med de certifierande organen för att utforma en övergångsperiod som ger organisationer med ISO 27001-certifikat tillräckligt med tid för att gå från en version till nästa.
Dessa steg måste vidtas för att uppfylla den reviderade versionen:
- Se till att ditt företag uppfyller de senaste reglerna genom att granska riskregistret och riskhanteringsprocedurerna.
- Bilaga A bör ändras för att återspegla eventuella ändringar av tillämplighetsförklaringen.
- Se till att dina policyer och rutiner är uppdaterade för att följa de nya reglerna.
Under övergången till den nya standarden kommer vi att ha tillgång till nya bästa praxis och kvaliteter för kontrollval, vilket möjliggör en mer effektiv och effektiv urvalsprocess.
Du bör fortsätta med en riskbaserad metod för att garantera att endast de mest relevanta och effektiva kontrollerna väljs ut för ditt företag.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online hjälper
ISMS.online är idealiskt för att implementera ditt ISO 27001 Information Security Management System. Den har utformats speciellt för att hjälpa företag att uppfylla kraven i standarden.
Ocuco-landskapet plattformen tillämpar en riskorienterad metod i kombination med ledande branschpraxis och mallar för att hjälpa dig att fastställa vilka risker din organisation står inför och de kontroller som krävs för att hantera dem. Detta gör det möjligt för dig att systematiskt minska både din riskexponering och efterlevnadskostnader.
ISMS.online låter dig:
- Utveckla en Information Security Management System (ISMS).
- Skapa en skräddarsydd uppsättning policyer och procedurer.
- Implementera ett ISMS för att uppfylla ISO 27001-standarderna.
- Ta hjälp av erfarna konsulter.
Du kan dra nytta av ISMS.online för att bygga ett ISMS, skapa en anpassad uppsättning policyer och processer, följa ISO 27001-kriterierna och få hjälp av erfarna rådgivare.
ISMS.online-plattformen är baserad på Plan-Do-Check-Act (PDCA), en iterativ procedur i fyra steg för kontinuerlig förbättring, som uppfyller alla krav i ISO 27001:2022. Det är okomplicerat. Kontakta oss nu för att arrangera din demonstration.
