- Se ISO 27002:2022 Kontroll 6.3 för mer information.
- Se ISO 27001:2013 bilaga A 7.2.2 för mer information.
Vad är ISO 27001:2022 Annex A 6.3?
ISO 27001: 2022, bilaga A 6.3, Informationssäkerhetsmedvetenhet, utbildning och träning, betonar behovet av att personalen får lämplig instruktion i informationssäkerhet, inklusive regelbundna policyuppdateringar som är relevanta för deras roller.
Informationssäkerhetsmedvetenhet, utbildning och utbildning förklaras
Informationssäkerhetsmedvetenhet, utbildning och utbildning (IT-säkerhetsmedvetenhet) innebär att informera användarna om betydelsen av informationssäkerhet och inspirera dem att förbättra sina metoder för datorsäkerhet.
Användare måste informeras om de potentiella säkerhetsrisker som är förknippade med deras aktiviteter och utbildas om hur man skyddar sig mot dem.
Informationssäkerhetsmedvetenhet, utbildning och träning är avgörande för alla organisationers framgång. All personal måste förstå betydelsen av informationssäkerhet och de konsekvenser den får för alla.
Ju större förståelse personalen har för hur man skyddar sig från cyberfaror, desto säkrare blir din organisation.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vad är syftet med ISO 27001:2022 bilaga A 6.3?
Målet med ISO 27001:2022 Annex A 6.3 är att garantera att personal och relevanta intressenter är informerade om och lämpligt utbildade för att uppfylla sina informationssäkerhetsåtaganden.
ISO 27001:2022 bilaga A 6.3 beskriver de aktiviteter som krävs för att säkerställa att personalen har den kunskap och de förmågor som krävs för att verka inom organisationens ramverk för informationssäkerhet. I första hand fokuserar denna kontroll av bilaga A på att öka medvetenheten om betydelsen av informationssäkerhet, förespråka god praxis och uppmuntra överensstämmelse med relevanta policyer och förordningar.
Bilaga A 6.3 Förklarat
Informationssäkerhetsutbildning, medvetenhet och utbildning är väsentliga komponenter i en organisations riskhanteringsstrategi och bör införlivas i säkerhetspolicyn. Genom att ge anställda den kunskap och de verktyg de behöver kan organisationer säkerställa att deras säkerhetsåtgärder är effektiva.
ISO 27001:2022 bilaga A 6.3 beskriver nödvändigheten för företag att ha ett program för informationssäkerhet för att ge all personal lämplig kunskap och förmåga att skydda informationsresurser. Den ger råd om vad som bör ingå i ett produktivt medvetenhetsprogram.
Organisationen kan behöva tillhandahålla utbildning i säkerhetsmedvetenhet minst en gång om året, eller enligt riskbedömningen, till all personal med tillgång till känsliga informationstillgångar eller informationssystem som lagrar, bearbetar eller överför känslig information.
Vad är inblandat och hur man uppfyller kraven
Organisationer måste implementera en process som säkerställer att anställda är tillräckligt utbildade för att utföra sina arbetsuppgifter säkert och säkert, utan att kompromissa med informationssäkerheten. Utbildning kan genomföras i sessioner eller genom onlineresurser som videor eller webbseminarier. Bilaga A 6.3 föreskriver detta.
Informationssäkerhetsmedvetenhet, utbildning och utbildningsprogram bör utvecklas i linje med organisationens policy, ämnesspecifika policyer och relevanta säkerhetsprocedurer. Detta bör ta hänsyn till den information som behöver skyddas och de säkerhetskontroller som finns för att skydda den, och bör ske regelbundet.
Att introducera medvetenhet, utbildning och träning för både nya medarbetare och de som övergår till roller som behöver olika säkerhetsnivåer är fördelaktigt.
En medvetenhetskampanj bör omfatta flera aktiviteter för att öka förståelsen. Det kan handla om kampanjer, häften, affischer, nyhetsbrev, webbplatser, informationstillfällen, genomgångar, e-lärande moduler och e-post.
Enligt bilaga A 6.3 bör detta program omfatta:
- Ledningen ägnar sig åt att säkerställa informationssäkerhet i hela organisationen.
- Kännedom om och efterlevnad av relevanta informationssäkerhetsrutiner, inklusive säkerhetspolicyn och eventuella ytterligare policyer, förordningar, lagar, kontrakt och avtal rörande informationssäkerhet.
- Personligt ansvar för egna handlingar och passivitets, ansvar för att skydda information som tillhör organisationen och dess intressenter; detta är viktigt.
- Grundläggande säkerhetsprocedurer som informationssäkerhetshändelserapportering (se bilaga A 6.8) och baslinjekontroller såsom lösenordssäkerhet bör följas.
- Kontaktpunkter och resurser för informationssäkerhet, inklusive ytterligare material för informationssäkerhet.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 är inte en helt ny kontroll. Denna version av ISO 27001, publicerad i oktober 2022, uppdaterar den tidigare versionen ISO 27001:2013.
ISO 27001:2013 bilaga A Kontroll 7.2.2 saknar attributtabellen och syftesförklaringen som finns i ISO 27001:2022 bilaga A kontroll 6.3.
Trots variationen i kontrollantal verkar det inte finnas någon annan skillnad mellan de två bilaga A-kontrollerna. Även om formuleringen av de två kontrollerna i bilaga A varierar, förblir deras innebörd och syfte desamma.
Bilaga A Kontroll 6.3 har utformats för att vara mer användarvänlig, vilket gör det möjligt för människor att bättre förstå dess innehåll.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vem är ansvarig för denna process?
Detta svar beror på din organisation. Många organisationers säkerhetsteam hanterar sitt informationssäkerhetsmedvetande, undervisning och utbildningsprogram. Vissa organisationer anförtror dock HR-avdelningen eller en annan filial att sköta det.
Att se till att någon tar ansvar för att formulera och genomföra din organisations program för säkerhetsmedvetenhet är avgörande. Informationssäkerhetschefen bör övervaka denna person/avdelning (om annan än dem själva).
Denna person ska ha goda kunskaper om informationssäkerhet och kunna samtala med personalen om olika säkerhetsprotokoll. Vidare ska de kunna skapa innehåll till dina utbildningsprogram och genomföra återkommande utbildningar för personal.
Det är viktigt att förstå att informationssäkerhet inte bara är IT:s skyldighet. Alla anställda ska hållas ansvariga. Företag bör skapa ett team som ägnar sig åt säkerhet, men de måste också se till att alla förstår betydelsen av konfidentialitet och tillförlitlighet.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Vad betyder dessa förändringar för dig?
ISO 27001:2022 Annex A 6.3 är en revidering av ISO 27001:2013 Annex A 7.2.2 och inte en ny bilaga A-kontroll. Följaktligen kommer de flesta organisationer inte att behöva ändra något.
Om du redan har implementerat 2013 års version av ISO 27001 måste du utvärdera om dessa ändringar är relevanta för ditt företag. Likaså om du planerar ISMS certifiering måste du se över dina säkerhetsprocesser för att garantera att de uppfyller den reviderade standarden.
Hur ISMS.Online hjälper
ISMS.online ger en heltäckande lösning för implementering av ISO 27001:2022. Det är en webbaserad plattform som gör det möjligt för organisationer att visa att de följer ISO 27001-standarderna genom strömlinjeformade processer, procedurer och checklistor.
Denna plattform underlättar inte bara implementeringen av ISO 27001 utan ger också en utmärkt resurs för att utbilda personal om bästa praxis för informationssäkerhet och dokumentera alla ansträngningar.
Fördelarna med att använda ISMS.Online är många:
- Denna plattform är lätt att använda och kan nås från vilken enhet som helst.
- Den är helt justerbar för att passa dina behov.
- Anpassade arbetsflöden och processer för att passa dina affärsbehov.
- Utbildningsresurser för att hjälpa nya medarbetare att nå färdigheter snabbare.
- Biblioteket innehåller mallar för olika dokument, inklusive policyer, rutiner, planer och checklistor.
ISMS.online effektiviserar implementering av ISO 27001, som erbjuder alla resurser, information och verktyg du behöver på ett ställe. Bara några få klick med musen är allt som krävs för att säkerställa att ditt ISMS uppfyller standarden.
Kontakta oss nu för att arrangera en demonstration.
