ISO 27001 – Bilaga A Kontroller

Införande av kontroller i bilaga A

Det finns 114 bilaga A-kontroller, indelade i 14 kategorier. Hur du svarar på kraven mot dem när du bygger ditt ISMS beror på din organisations särdrag.

Ett användbart sätt att förstå bilaga A är att se den som en katalog över säkerhetskontroller. Baserat på dina riskbedömningar väljer du de som är tillämpliga för din organisation, med hänsyn till dina specifika risker.

Hjälp finns till hands med ISMS.online

114 Annex A-kontrollerna kan låta överväldigande men hjälp finns till hands. ISMS.online-plattformen är byggd på exakt samma sätt som ISO 27001-standarden vilket gör det enkelt för dig att följa och förstå vad du behöver göra. Dessutom ger vi dig steg-för-steg-vägledning för att bli ISO 27001-certifierad första gången, med 100 % framgång.

Bilaga A Kontroller

Bilaga A.5 – Informationssäkerhetspolicyer

Bilaga A.5.1 handlar om ledningsriktning för informationssäkerhet. Syftet med denna bilaga är att hantera inriktning och stöd för informationssäkerhet i linje med organisationens krav.

Bilaga A.6 – Organisation av informationssäkerhet

Bilaga A.6.1 handlar om intern organisation. Målet i detta bilaga A-område är att upprätta ett ledningsramverk för att initiera och kontrollera implementeringen och driften av informationssäkerhet inom organisationen.

Bilaga A.6.2 handlar om mobila enheter och distansarbete. Målet i detta bilaga A-område är att upprätta ett förvaltningsramverk för att säkerställa säkerheten för distansarbete och användning av mobila enheter.

Bilaga A.7 – Säkerhet för mänskliga resurser

Bilaga A.7.1 handlar om före anställning. Syftet i denna bilaga är att säkerställa att anställda och entreprenörer förstår sitt ansvar och är lämpliga för de roller som de övervägs för.

Bilaga A.7.2 – Syftet med denna bilaga är att säkerställa att anställda och entreprenörer är medvetna om och fullgör sitt ansvar för informationssäkerhet under anställning.

Bilaga A.7.3 handlar om uppsägning och byte av anställning. Målet i denna bilaga är att skydda organisationens intressen som en del av processen att byta och avsluta anställning.

Bilaga A.8 – Kapitalförvaltning

Bilaga A.8.1 handlar om ansvar för tillgångar. Målet i bilagan är identitet informationstillgångar inom ramen för ledningssystemet och definiera lämpliga skyddsansvar.

Bilaga A.8.2 handlar om informationsklassificering. Syftet med denna bilaga är att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen (och intressenter såsom kunder).

Bilaga A.8.3 handlar om mediehantering. Syftet med denna bilaga är att förhindra obehörigt avslöjande, ändring, borttagande eller förstörelse av information som lagras på media.

Bilaga A.9 – Tillträdeskontroll

Bilaga A.9.1 handlar om affärskraven för åtkomstkontroll. Syftet med denna bilaga är att begränsa tillgången till informations- och informationsbehandlingsanläggningar.

Bilaga A.9.2 handlar om användaråtkomsthantering. Syftet med denna bilaga A-kontroll är att säkerställa att användare har behörighet att få åtkomst till system och tjänster samt att förhindra obehörig åtkomst.

Bilaga A.9.3 handlar om användarens ansvar. Syftet med denna bilaga A-kontroll är att göra användarna ansvariga för att skydda sin autentiseringsinformation.

Bilaga A.9.4 handlar om system- och applikationsåtkomstkontroll. Syftet med denna bilaga är att förhindra obehörig åtkomst till system och applikationer.

Bilaga A.10 – Kryptografi

Bilaga A.10.1 handlar om kryptografiska kontroller. Syftet med denna bilaga är att säkerställa korrekt och effektiv användning av kryptografi för att skydda informationens konfidentialitet, äkthet och/eller integritet.

Bilaga A.11 – Fysisk säkerhet och miljösäkerhet

Bilaga A.11.1 handlar om att säkerställa säkra fysiska och miljömässiga områden. Syftet med denna bilaga är att förhindra obehörig fysisk åtkomst, skada och störning av organisationens informations- och informationsbehandlingsanläggningar.

Bilaga A.11.2 handlar om utrustning. Syftet med denna bilaga kontroll är att förhindra förlust, skada och stöld eller kompromettering av tillgångar och avbrott i organisationens verksamhet.

Bilaga A.12 – Driftsäkerhet

Bilaga A.12.1 handlar om operativa rutiner och ansvar. Syftet med detta område i bilaga A är att säkerställa korrekt och säker drift av informationsbehandlingsanläggningar.

Bilaga A.12.2 handlar om skydd mot skadlig programvara. Målet här är att säkerställa att informations- och informationsbehandlingsanläggningar är skyddade mot skadlig programvara.

Bilaga A.12.3 handlar om backup. Målet här är att skydda mot förlust av data.

Bilaga A.12.4 handlar om loggning och övervakning. Målet i detta bilaga A-område är att registrera händelser och generera bevis.

Bilaga A.12.5 handlar om kontroll av operativ programvara. Målet i detta bilaga A-område är att säkerställa driftssystemens integritet.

Bilaga A.12.6 handlar om teknisk sårbarhetshantering. Målet i denna bilaga A-kontroll är att förhindra utnyttjande av tekniska sårbarheter.

Bilaga A.12.7 handlar om informationssystem och revisionshänsyn. Målet i detta bilaga A-område är att minimera inverkan av revisionsverksamhet på operativa system.

Bilaga A.13 – Kommunikationssäkerhet

Bilaga A.13.1 handlar om nätverkssäkerhetshantering. Syftet med denna bilaga är att säkerställa skyddet av information i nätverk och dess stödjande informationsbehandlingsanläggningar.

Bilaga A.13.2 handlar om informationsöverföring. Målet i denna bilaga är att upprätthålla säkerheten för information som överförs inom organisationen och med alla externa enheter, t.ex. en kund, leverantör eller annan intresserad part.

Bilaga A.14 – Systemförvärv, utveckling och underhåll

Bilaga A.14.1 handlar om säkerhetskrav på informationssystem. Målet inom detta bilagaområde är att säkerställa att informationssäkerhet är en integrerad del av informationssystem över hela livscykeln. Detta inkluderar även kraven på informationssystem som tillhandahåller tjänster över publika nät.

Bilaga A.15 – Leverantörsrelationer

Bilaga A.15.1 handlar om informationssäkerhet i leverantörsrelationer. Målet här är att skydda organisationens värdefulla tillgångar som är tillgängliga för eller påverkas av leverantörer.

Bilaga A.15.2 handlar om leverantörstjänstutvecklingsledning. Målet i denna bilaga A-kontroll är att säkerställa att en överenskommen nivå av informationssäkerhet och leverans av tjänster upprätthålls i linje med leverantörsavtal.

Bilaga A.16 – Hantering av incidenter med informationssäkerhet

Bilaga A.16.1 handlar om hantering av informationssäkerhetsincidenter, händelser och svagheter. Målet inom detta bilagaområde är att säkerställa ett konsekvent och effektivt förhållningssätt till livscykeln för incidenter, händelser och svagheter.

Bilaga A.17 – Informationssäkerhetsaspekter av Business Continuity Management

Bilaga A.17.1 handlar om informationssäkerhetskontinuitet. Målet i denna bilaga A-kontroll är att informationssäkerhetskontinuitet ska vara inbäddad i organisationens ledningssystem för affärskontinuitet.

Bilaga A.17.2 handlar om uppsägningar. Syftet med denna kontroll av bilaga A är att säkerställa tillgången till informationsbehandlingsanläggningar.

Bilaga A.18 – Efterlevnad

Bilaga A.18.1 handlar om efterlevnad av juridiska och avtalsmässiga krav. Målet är att undvika brott mot juridiska, lagstadgade, regulatoriska eller avtalsenliga skyldigheter relaterade till informationssäkerhet och eventuella säkerhetskrav.