- Se ISO 27002:2022 Kontroll 8.15 för mer information.
- Se ISO 27001:2013 bilaga A 12.4.1 för mer information.
- Se ISO 27001:2013 bilaga A 12.4.2 för mer information.
- Se ISO 27001:2013 bilaga A 12.4.3 för mer information.
Syftet med ISO 27001:2022 bilaga A 8.15
Loggar är en avgörande komponent för att uppnå en heltäckande översikt över IKT-aktiviteter och personalåtgärder. De gör det möjligt för organisationer att konstruera en tidslinje av tillfällen och undersöka både logiska och fysiska trender i hela nätverket.
Att producera tillgänglig, enkel loggdata är en kritisk aspekt av en organisations allmänna IKT-plan, tillsammans med många viktiga informationssäkerhetskontroller i ISO 27001: 2022.
Loggar bör kontrolleras regelbundet:
- Registrera händelser.
- Samla data och skaffa bevis.
- Bevara sin integritet.
- Säkerställ säkerheten för loggdata från obehörig åtkomst.
- Identifiera aktiviteter och händelser som kan orsaka brott mot information/säkerhet.
- Detta fungerar som ett hjälpmedel för både interna och externa förfrågningar.
Äganderätt till bilaga A 8.15
ISO 27001:2022 bilaga A 8.15 täcker IT-drift som kräver åtkomst till systemadministratörer. Det omfattar nätverkshantering och underhåll. Därför Chef för IT, eller motsvarande, ansvarar för denna kontroll.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vägledning om händelselogginformation
En händelse är varje aktivitet som utförs av en fysisk eller logisk enhet på ett datorsystem, såsom en begäran om data, fjärrinloggning, automatisk avstängning av systemet eller radering av en fil.
ISO 27001:2022 Annex A 8.15 anger att för att varje händelselogg ska uppfylla sitt syfte måste den innehålla fem huvudkomponenter:
- Användar-ID som är kopplat till personen.
- Systemaktivitet kan övervakas för att identifiera vad som hände.
- Vid ett visst datum och tid inträffade en händelse.
- Händelsen ägde rum på enheten/systemet och dess plats identifierades.
- Nätverksadresser och protokoll – IP-information.
Vägledning om evenemangstyper
Det är kanske inte möjligt att logga alla händelser på ett nätverk av praktiska skäl. Att logga varje händelse kanske inte är genomförbart.
ISO 27001:2022 Annex A 8.15 specificerar tio händelser som bör loggas, eftersom de kan påverka risker och upprätthålla en lämplig nivå av informationssäkerhet:
- Systemåtkomstförsök kommer att spåras och övervakas.
- Försök att komma åt data och/eller resurser kommer att övervakas. All sådan aktivitet som ses som misstänkt kommer att rapporteras.
- System/OS-konfigurationsändringar.
- Användningen av privilegier på hög nivå.
- Använd verktygsprogram eller underhållsanläggningar (enligt ISO 27001:2022 bilaga A 8.18).
- Begäran om filåtkomst, med raderingar, migrering, etc.
- Åtkomstkontroll larm och viktiga avbrott.
- Aktivering och/eller inaktivering av front- och backend-säkerhetssystem, t.ex. antivirusprogram på klientsidan och brandväggsskydd.
- Identitetsadministration.
- Vissa åtgärder eller ändringar av systemet/data som gjorts under en session i en applikation.
Som ISO 27001:2022 bilaga A 8.17 beskriver, är det viktigt att se till att alla loggar synkroniseras till samma tidskälla (eller källor) och, i händelse av tredjepartsapplikationsloggar, måste eventuella tidsavvikelser åtgärdas och dokumenteras.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vägledning om loggskydd
Loggar är det mest grundläggande sättet att fastställa användar-, system- och applikationsaktivitet på ett nätverk, särskilt när undersökningar pågår.
Det är viktigt för organisationer att garantera att användare, oavsett deras behörighetsnivåer, inte kan radera eller ändra sina egna händelseloggar.
Loggar ska vara fullständiga, korrekta och skyddade mot alla obehöriga ändringar eller störningar, inklusive:
- Raderade eller redigerade loggfiler.
- Ändringar av meddelandetyp.
- Underlåtenhet att skapa en logg eller överskrivning av loggar på grund av lagrings- eller nätverksproblem bör undvikas.
ISO rekommenderar att för att förbättra informationssäkerheten bör loggar skyddas med följande tekniker:
- Skrivskyddad inspelning.
- Användning av offentliga transparensfiler.
- Kryptografisk hashing.
- Inspelning endast med tillägg.
Organisationer kan kräva att loggar skickas till leverantörer för att åtgärda incidenter och fel. När detta är nödvändigt ska loggarna "avidentifieras" (enligt ISO 27001:2022 bilaga A 8.11) med följande information maskerad:
- IP-adresser.
- Värdnamn.
- Användarnamn.
För att säkerställa att PII skyddas bör åtgärder vidtas i enlighet med organisationens datasekretessbestämmelser och befintliga lagar (se ISO 27001:2022 bilaga A 5.34).
Vägledning om logganalys
När du bedömer loggar för att lokalisera, tackla och förklara cybersäkerhetsincidenter – i syfte att förhindra upprepning – överväg följande:
- Den personal som utför analysen har hög kompetens.
- Loggar analyseras i enlighet med företagets protokoll.
- Händelserna som ska analyseras måste kategoriseras och identifieras efter typ och attribut.
- Undantag som härrör från nätverksregler som genereras av säkerhetsprogramvara, hårdvara och plattformar ska tillämpas.
- Den typiska utvecklingen av nätverkstrafik i motsats till oförutsägbara mönster.
- Specialiserad dataanalys avslöjar trender som är anmärkningsvärda.
- Hotintelligens.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Vägledning om loggövervakning
Logganalys bör genomföras tillsammans med noggrann övervakningsverksamhet som upptäcker viktiga mönster och ovanligt beteende.
Organisationer bör ta ett tvådelat tillvägagångssätt för att nå sina mål:
- Granska alla försök att komma åt säkra och affärskritiska resurser, såsom domänservrar, webbportaler och fildelningsplattformar.
- Undersök DNS-poster för att identifiera eventuell utgående trafik associerad med skadliga källor och skadliga serverprocedurer.
- Samla in dataanvändningsposter från tjänsteleverantörer eller interna system för att känna igen eventuellt skadligt beteende.
- Samla in poster från fysiska ingångar, som nyckelkort/fob-loggar och rumsåtkomstdata.
Kompletterande information
Organisationer bör fundera på att använda specialiserade hjälpprogram för att sålla igenom den enorma mängd information som produceras av systemloggar, vilket sparar tid och resurser när de undersöker säkerhetsincidenter, t.ex. ett SIEM-verktyg.
Om en organisation använder en molnbaserad plattform för någon del av sin verksamhet, bör logghantering vara ett delat ansvar mellan tjänsteleverantören och organisationen.
Bifogade kontroller i bilaga A
- ISO 27001:2022 bilaga A 5.34
- ISO 27001:2022 bilaga A 8.11
- ISO 27001:2022 bilaga A 8.17
- ISO 27001:2022 bilaga A 8.18
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 8.15 ersätter tre kontroller från ISO 27001:2013 som täcker lagring, hantering och analys av loggfiler:
- 12.4.1 – Händelseloggning
- 12.4.2 – Skydd av logginformation
- 12.4.3 – Administratörs- och operatörsloggar
ISO 27001:2022 Annex A 8.15 anpassar till stor del vägledningen från de tre kontrollerna som diskuterats tidigare, och bildar ett tydligt protokoll som täcker loggning, tillsammans med några anmärkningsvärda tillägg som:
- Riktlinjer som tar upp skyddet av logginformation på ett utökat sätt.
- Råd om olika typer av händelser som bör undersökas noggrant.
- Vägledning om övervakning och analys av loggar för att förbättra informationssäkerheten.
- Hur man hanterar loggar som genereras av molnbaserade plattformar.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.online-plattformen underlättar hela ISO 27001 implementering, som börjar med riskbedömningsaktiviteter och avslutas med upprättandet av policyer, procedurer och riktlinjer för att uppfylla standardens kriterier.
ISMS.online ger organisationer en enkel väg till ISO 27001-efterlevnad via dess automatiserade verktygsuppsättning. Dess användarvänliga funktioner gör det enkelt att visa att standarden följs.
Kontakta oss nu för att arrangera en demonstration.