- Se ISO 27002:2022 Kontroll 8.8 för mer information.
- Se ISO 27001:2013 bilaga A 12.6.1 för mer information.
- Se ISO 27001:2013 bilaga A 18.2.3 för mer information.
Syftet med ISO 27001:2022 bilaga A 8.8
Inget datornätverk, system, mjukvara eller enhet är helt säker. Att driva ett modernt LAN eller WAN innebär sårbarheter som en del av processen, så det är viktigt för organisationer att acceptera sin närvaro och sträva efter att minska de potentiella riskerna.
ISO 27001:2022 Annex A 8.8 ger en mängd råd för att hjälpa organisationer att skydda sina nätverk mot intern och extern exploatering av sårbarheter. Den använder sig av procedurer och riktlinjer från flera andra ISO 27001: 2022 Bilaga A Kontroller, särskilt de för Change Management (se bilaga A 8.32) och Åtkomstkontroll .
Äganderätt till bilaga A 8.8
ISO 27001:2022 Annex A 8.8 behandlar teknisk och administrativ hantering av programvara, system och IKT-tillgångar. Den föreskriver ett heltäckande tillvägagångssätt för mjukvaruhantering, Kapitalförvaltningoch granskning av nätverkssäkerhet.
Den person som har det yttersta ansvaret för underhållet av organisationens ICT-infrastruktur, såsom IT-chefen eller motsvarande, bör vara ägare av ISO 27001:2022 Annex A 8.8.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vägledning om att identifiera sårbarheter
Innan man utför sårbarhetskontroller är det viktigt att skaffa en heltäckande och aktuell lista över fysiska och digitala tillgångar (se bilaga A 5.9 och 5.14) som ägs och drivs av organisationen.
Programvarutillgångsdata bör omfatta:
- Versionsnummer som för närvarande är i drift.
- Där programvaran distribueras över gården.
- Leverantörsnamn.
- Applikationsnamn.
Organisationer bör sträva efter att identifiera tekniska sårbarheter genom att:
- Det är viktigt att tydligt definiera vem i organisationen som är ansvarig för sårbarhetshantering från en teknisk synvinkel, som uppfyller sina olika funktioner, som inkluderar (men är inte begränsade till):
- Övervakning.
- Uppdaterar.
- Kapitalförvaltning.
- Riskbedömning.
- Inom organisationen vem är ansvarig för mjukvaran.
- Håll ett register över applikationer och verktyg för att identifiera tekniska svagheter.
- Be leverantörer och leverantörer att avslöja eventuella mottagligheter med nya system och hårdvara när de tillhandahåller dem (enligt bilaga A 5.20 i ISO 27001:2022), och tydligt specificera så mycket i alla tillämpliga kontrakt och serviceavtal.
- Använd verktyg för sårbarhetsskanning och korrigeringsmöjligheter.
- Utför periodiska, dokumenterade penetrationstester, antingen av intern personal eller av en autentiserad tredje part.
- Var medveten om potentialen för underliggande programmatiska sårbarheter när du använder tredje parts kodbibliotek eller källkod (se ISO 27001:2022 bilaga A 8.28).
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vägledning om offentlig verksamhet
Organisationer bör skapa policyer och procedurer som upptäcker sårbarheter i alla sina produkter och tjänster och få bedömningar av dessa sårbarheter relaterade till deras utbud.
ISO råder organisationer att vidta åtgärder för att identifiera eventuella sårbarheter och att motivera tredje part att delta i sårbarhetshanteringsaktiviteter genom att erbjuda bounty-program (där potentiella utnyttjanden eftersträvas och rapporteras till organisationen i utbyte mot en belöning).
Organisationer bör göra sig tillgängliga för allmänheten genom forum, offentliga e-postadresser och forskning så att de kan utnyttja allmänhetens samlade kunskap för att skydda sina produkter och tjänster.
Organisationer bör granska alla korrigerande åtgärder som vidtagits och överväga att lämna ut relevant information till berörda individer eller organisationer. Dessutom bör de samarbeta med specialiserade säkerhetsorganisationer för att sprida kunskap om sårbarheter och attackvektorer.
Organisationer bör tänka på att tillhandahålla ett valfritt automatiskt uppdateringssystem som kunder kan välja att använda eller inte, enligt deras affärsbehov.
Vägledning om att utvärdera sårbarheter
Korrekt rapportering är avgörande för att säkerställa snabba och effektiva korrigerande åtgärder när säkerhetsrisker upptäcks.
Organisationer bör bedöma sårbarheter genom att:
- Granska rapporterna noggrant och avgör vilka åtgärder som är nödvändiga, såsom att ändra, uppdatera eller eliminera påverkade system och/eller utrustning.
- Nå en lösning som tar hänsyn till andra ISO-kontroller (särskilt de som är relaterade till ISO 27001:2022) och erkänner risknivån.
Vägledning om att motverka sårbarheter i programvara
Sårbarheter i mjukvara kan effektivt hanteras med ett proaktivt tillvägagångssätt för programuppdateringar och patchhantering. Att säkerställa regelbundna uppdateringar och patchar kan hjälpa till att skydda ditt system från potentiella hot.
Organisationer bör se till att behålla befintliga programvaruversioner innan de gör några ändringar, utföra grundliga tester på alla ändringar och tillämpa dessa på en angiven kopia av programvaran.
När sårbarheter har identifierats bör organisationer vidta åtgärder för att åtgärda dem:
- Sikta på att snabbt och effektivt åtgärda alla säkerhetsbrister.
- Om det är möjligt, observera de organisatoriska protokollen för förändringsledning (se ISO 27001:2022 bilaga A 8.32) och incidenthantering (se ISO 27001:2022 bilaga A 5.26).
- Tillämpa endast patchar och uppdateringar från tillförlitliga, certifierade källor, särskilt för programvara och utrustning från tredje part:
- Organisationer bör utvärdera data till hands för att avgöra om det är nödvändigt att tillämpa automatiska uppdateringar (eller komponenter av dem) på köpt mjukvara och hårdvara.
- Innan du installerar, testa eventuella uppdateringar för att förhindra oväntade problem i en livemiljö.
- Ge högsta prioritet åt att ta itu med högrisk och viktiga affärssystem.
- Se till att korrigerande åtgärder är framgångsrika och äkta.
I händelse av att ingen uppdatering är tillgänglig, eller några hinder för att installera en (t.ex. kostnadsrelaterad), bör organisationer överväga andra metoder, som:
- Begär vägledning från leverantören om en tillfällig åtgärd medan korrigerande ansträngningar intensifieras.
- Stäng av alla nätverkstjänster som påverkas av sårbarheten.
- Implementera säkerhetskontroller vid viktiga gateways, såsom trafikregler och filter, för att skydda nätverket.
- Öka övervakningen i proportion till den risk som är förknippad med detta.
- Se till att alla berörda parter är medvetna om felet, inklusive leverantörer och köpare.
- Fördröja uppdateringen och utvärdera riskerna, särskilt notera eventuella driftskostnader.
Bifogade kontroller i bilaga A
- ISO 27001:2022 bilaga A 5.14
- ISO 27001:2022 bilaga A 5.20
- ISO 27001:2022 bilaga A 5.9
- ISO 27001:2022 bilaga A 8.20
- ISO 27001:2022 bilaga A 8.22
- ISO 27001:2022 bilaga A 8.28
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Kompletterande vägledning om bilaga A 8.8
Organisationer bör upprätthålla en revisionsspår av alla relevanta sårbarhetshanteringsaktiviteter för att hjälpa till med korrigerande åtgärder och föra fram protokoll i händelse av ett säkerhetsintrång.
Att regelbundet utvärdera och granska hela processen för sårbarhetshantering är ett utmärkt sätt att förbättra prestandan och proaktivt identifiera eventuella sårbarheter.
Om organisationen anlitar en molntjänstleverantör bör de säkerställa att leverantörens tillvägagångssätt för sårbarhetshantering är kompatibel med deras egen och bör inkluderas i det bindande tjänsteavtalet mellan båda parter, inklusive eventuella rapporteringsförfaranden (se ISO 27001:2022 bilaga A 5.32) .
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 8.8 ersätter två Annex A-kontroller från ISO 27001:2013, dessa är:
- 12.6.1 – Hantering av tekniska sårbarheter
- 18.2.3 – Översyn av teknisk efterlevnad
ISO 27001:2022 Annex A 8.8 introducerar en ny, distinkt metod för sårbarhetshantering än den som finns i ISO 27001:2013. Det är en anmärkningsvärd avvikelse från den tidigare standarden.
ISO 27001:2013 Annex A 12.6.1 fokuserade främst på att införa korrigerande åtgärder när en sårbarhet upptäcks, medan bilaga A 18.2.3 endast gäller tekniska medel (till stor del penetrationstestning).
ISO 27001:2022 Annex A 8.8 introducerar nya avsnitt som handlar om en organisations offentliga ansvar, metoder för att identifiera sårbarheter och molnleverantörernas roll för att hålla sårbarheter till ett minimum.
ISO 27001:2022 lägger stor vikt vid sårbarhetshanteringens roll inom andra områden (såsom förändringshantering) och uppmuntrar till ett holistiskt tillvägagångssätt, med flera andra kontroller och informationssäkerhetsprocesser.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
Vår plattformen är användarvänlig och rakt på sak. Det är avsett för alla i organisationen, inte bara teknikkunniga personer. Vi rekommenderar att involvera personal från alla nivåer i verksamheten konstruera ditt ISMS eftersom detta hjälper till att skapa ett system som håller.
Ta kontakt nu för att arrangera en demonstration.