- Se ISO 27002:2022 Kontroll 8.27 för mer information.
- Se ISO 27001:2013 bilaga A 14.2.5 för mer information.
ISO 27001:2022 Kontroll 8.27 – Stärka systemsäkerheten från grunden
ISO 27001: 2022 Bilaga A 8.27 specificerar att organisationer måste implementera säker systemarkitektur och tekniska principer för att säkerställa att utformningen, implementeringen och förvaltningen av informationssystemet är lämpliga för organisationens säkerhetskrav. Detta inkluderar etablering av säkra systemarkitekturer, tekniska principer och säkra designpraxis.
De intrikata strukturerna hos samtida informationssystem, i kombination med den oupphörliga föränderliga cybersäkerhetsriskmiljön, gör informationssystem mer benägna för befintliga och potentiella säkerhetshot.
Bilaga A 8.27 beskriver hur organisationer kan skydda deras informationssystem från säkerhetshot till implementering av säkra systemtekniska principer under alla stadier av informationssystemets livscykel.
Syftet med ISO 27001:2022 bilaga A 8.27
Bilaga A 8.27 underlättar organisationer att säkra informationssystem under faserna av design, driftsättning och drift, genom att etablera och implementera säkra systemtekniska principer som systemingenjörer måste följa.
Äganderätt till bilaga A 8.27
Ocuco-landskapet Chef för informationssäkerhet ska hållas ansvarig för att upprätta, upprätthålla och omsätta de regler som styr säker konstruktion av informationssystem.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om ISO 27001:2022 bilaga A 8.27 Överensstämmelse
ISO 27001:2022 Annex A 8.27 understryker nödvändigheten för organisationer att integrera säkerhet i hela sina informationssystem, inklusive affärsprocesser, applikationer och dataarkitektur.
Säkra tekniska rutiner bör implementeras för alla uppgifter som är kopplade till informationssystem, regelbundet granskas och uppdateras för att ta hänsyn till nya hot och attackmönster.
Bilaga A 8.27 gäller även för system skapade av externa leverantörer, utöver de som utvecklats och drivs internt.
Organisationer bör garantera att tjänsteleverantörernas praxis och standarder är i linje med deras säkra tekniska protokoll.
ISO 27001:2022 bilaga A 8.27 kräver säkra systemtekniska principer för att behandla följande åtta ämnen:
- Metoder för användarautentisering.
- Säker sessionskontrollvägledning.
- Rutiner för sanering och validering av data.
- Säkerhetsåtgärder för att skydda informationstillgångar och system mot kända hot analyseras omfattande.
- Säkerhetsåtgärder analyserade för deras förmåga att identifiera, eliminera och reagera på säkerhetshot.
- Analysera de säkerhetsåtgärder som tillämpas på specifika affärsaktiviteter, såsom informationskryptering.
- Var och hur säkerhetsåtgärder kommer att genomföras. En specifik säkerhetskontroll i bilaga A kan integreras i den tekniska infrastrukturen som en del av denna process.
- Det sätt på vilket olika säkerhetsåtgärder samverkar och fungerar som ett kombinerat system.
Vägledning om nollförtroendeprincipen
Organisationer bör ha dessa nollförtroendeprinciper i åtanke:
- Baserat på antagandet att organisationens system redan är komprometterade och att den definierade perimetersäkerheten för dess nätverk inte kan ge tillräckligt skydd.
- En policy med "verifiering före förtroende" bör antas när det gäller att ge tillgång till informationssystem. Detta säkerställer att åtkomst beviljas först efter granskning, vilket säkerställer att rätt personer har det.
- Att säkerställa att förfrågningar till informationssystem skyddas med end-to-end-kryptering ger säkerhet.
- Verifieringsmekanismer implementeras under förutsättning att åtkomstförfrågningar från externa, öppna nätverk till informationssystem.
- Implementera minsta behörighet och dynamisk åtkomstkontroll i enlighet med ISO 27001:2022 bilaga A 5.15, 5.18 och 8.2. Detta måste omfatta autentisering och auktorisering av känslig information och informationssystem med hänsyn till kontextuella aspekter som användaridentiteter (ISO 27001:2022 bilaga A 5.16) och informationsklassificering (ISO 27001:2022 bilaga A 5.12).
- Autentisera identiteten för begäranden och verifiera auktorisationsbegäranden för att få tillgång till informationssystem enligt autentiseringsinformation i ISO 27001:2022 bilaga A 5.17, 5.16 och 8.5.
Vad bör säkra systemtekniska tekniker omfatta?
Din organisation bör tänka på följande:
- Inkorporerar säkra arkitekturprinciper som "säkerhet genom design", "försvar i djupet", "misslyckas säkert", "misstroende input från externa applikationer", "förutsätter intrång", "minst privilegium", "användbarhet och hanterbarhet" och "minst funktionalitet". ” är avgörande.
- Genomföra en säkerhetsorienterad designgranskning för att upptäcka eventuella informationssäkerhetsproblem och se till att säkerhetsåtgärder är etablerade och uppfyller säkerhetsbehoven.
- Det är viktigt att dokumentera och erkänna säkerhetsåtgärder som inte uppfyller kraven.
- Systemhärdning är avgörande för säkerheten i alla system.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Vilka kriterier ska man tänka på när man utformar säkra tekniska principer?
Organisationer bör ta hänsyn till följande punkter när de sätter upp principer för säkra systemteknik:
- Kravet att samordna kontroller i bilaga A med särskild säkerhetsarkitektur är oumbärligt.
- En organisations befintliga tekniska säkerhetsinfrastruktur, inklusive infrastruktur för publika nyckel, identitetshantering och förebyggande av dataläckage.
- Kan organisationen konstruera och upprätthålla den valda tekniken.
- Kostnaden och den tid som krävs för att uppfylla säkerhetskraven, med hänsyn till deras komplexitet, måste beaktas.
- Det är viktigt att följa nuvarande bästa praxis.
Vägledning om tillämpning av säkra systemtekniska principer
ISO 27001:2022 Annex A 8.27 anger att organisationer kan använda säkra tekniska principer när de sätter upp följande:
- Feltolerans och andra motståndskraftsstrategier är viktiga. De hjälper till att säkerställa att systemen förblir i drift trots att oväntade händelser inträffar.
- Segregation genom virtualisering är en teknik som kan användas.
- Säkerhetssäkring, se till att systemen förblir säkra och ogenomträngliga för skadlig störning.
Säker virtualiseringsteknik kan minska risken för avlyssning mellan applikationer som körs på samma enhet.
Det framhålls att manipulationssystem kan upptäcka både logisk och fysisk manipulation av informationssystem, vilket förhindrar obehörig åtkomst till data.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 8.27 ersätter ISO 27001:2013 bilaga A 14.2.5 i den reviderade 2022-standarden.
2022-versionen innehåller mer omfattande krav än 2013-versionen, såsom:
- Jämfört med 2013 ger 2022 års version vägledning om vad säkra tekniska principer bör omfatta.
- Till skillnad från 2013 års iteration tar versionen från 2022 hänsyn till de kriterier som organisationer bör ta hänsyn till när de konstruerar säkra systemtekniska principer.
- 2022-versionen ger vägledning om principen om noll förtroende, som inte ingick i 2013 års version.
- 2022-utgåvan av dokumentet innehåller rekommendationer för säkra tekniska tekniker, till exempel "säkerhet genom design", som inte fanns i 2013 års version.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
Vår steg-för-steg checklista gör implementeringen av ISO 27001 till en lek. Vår komplett efterlevnadslösning för ISO/IEC 27001:2022 guidar dig genom processen från början till slut.
När du loggar in kan du förvänta dig upp till 81 % framsteg.
Denna lösning är heltäckande och okomplicerad.
Nå ut nu för att boka en demonstration.