ISO 27001:2022 Bilaga A förklaras

Vad är bilaga A och vad har förändrats?

Bilaga A i ISO 27001 är en del av standarden som listar en uppsättning sekretessbelagda säkerhetskontroller som organisationer använder för att visa överensstämmelse med ISO 27001 6.1.3 (Riskbehandling för informationssäkerhet) och dess tillhörande tillämplighetsförklaring (se nedan).

Den innehöll tidigare 114 kontroller uppdelade i 14 kategorier, som täckte ett brett spektrum av ämnen som åtkomstkontroll, kryptografi, fysisk säkerhet och incidenthantering.

Efter lanseringen av ISO 27002:2022 (Informationssäkerhet, cybersäkerhet och integritetsskyddskontroller) den 15 februari 2022 har ISO 27001:2022 anpassat sina bilaga A-kontroller.

Den nya versionen av standarden bygger på en sammandragen uppsättning av 93 Annex A-kontroller, inklusive 11 nya kontroller.

Totalt 24 kontroller slogs samman från två, tre eller fler säkerhetskontroller från 2013 års version, och 58 kontroller från ISO 27002:2013 reviderades för att anpassas till den nuvarande cybersäkerhets- och informationssäkerhetsmiljön.

Vad är ett uttalande om tillämplighet?

Innan du fortsätter är det värt att införa ett uttalande om tillämplighet (SoA) eftersom detta beskriver en organisations tillvägagångssätt för att implementera specificerade bilaga A-kontroller.

A Statement of Applicability (SoA) i ISO 27001 2022 är ett dokument som listar de kontroller i bilaga A som en organisation kommer att implementera för att uppfylla kraven i standarden. Det är ett obligatoriskt steg för alla som planerar att genomföra ISO 27001-certifiering.

Din SoA bör innehålla fyra huvudelement:

• En lista över alla kontroller som är nödvändiga för att uppfylla alternativen för behandling av informationssäkerhetsrisker, inklusive de som finns i bilaga A.
• Ett uttalande som beskriver varför alla ovanstående kontroller har inkluderats.
• Bekräftelse av genomförande.
• Organisationens motivering för att utelämna någon av kontrollerna i bilaga A.

De nya ISO 27001:2022 kontrollkategorierna förklaras

Bilaga A-kontrollerna i ISO 27001:2013 var tidigare indelade i 14 kategorier. ISO 27001 2022 antar ett liknande kategoriskt tillvägagångssätt för informationssäkerhet som fördelar processer mellan fyra toppkategorier.

Kontroller i bilaga a har nu grupperats i fyra kategorier

ISO 27001:2022 bilagans kontroller har omstrukturerats och konsoliderats för att återspegla aktuella säkerhetsutmaningar. De centrala ISMS-hanteringsprocesserna förblir oförändrade, men kontrolluppsättningen i bilaga A har uppdaterats för att återspegla mer moderna risker och tillhörande kontroller.

• organisations~~POS=TRUNC
• Personer
• Mått
• Teknologisk

Varje kontroll har dessutom tilldelat en attributionstaxonomi. Varje kontroll har nu en tabell med en uppsättning föreslagna attribut, och bilaga A till ISO 27002:2022 tillhandahåller en uppsättning rekommenderade associationer.

Dessa gör att du snabbt kan anpassa ditt kontrollval till vanliga branschspråk och internationella standarder. Användningen av attribut stödjer arbete som många företag redan gör inom sin riskbedömning och Statement of Applicability (SoA).

Till exempel kan cybersäkerhetskoncept som liknar NIST- och CIS-kontroller urskiljas, och de operativa kapaciteterna relaterade till andra standarder kan kännas igen.

Organisatoriska kontroller

• Antal kontroller: 37
• Kontrollnummer: ISO 27001 bilaga A 5.1 till 5.37

Organisationskontroller omfattar föreskrifter och åtgärder som dikterar en organisations övergripande attityd till dataskydd över ett brett spektrum av frågor. Dessa kontroller inkluderar policyer, regler, processer, procedurer, organisationsstrukturer och mer.

Människor kontroller

• Antal kontroller: 8
• Kontrollnummer: ISO 27001 bilaga A 6.1 till 6.8

Personkontroller gör det möjligt för företag att reglera den mänskliga komponenten i sitt informationssäkerhetsprogram genom att definiera hur personal interagerar med data och varandra. Dessa kontroller omfattar säker personalhantering, personalsäkerhet och medvetenhet och utbildning.

Fysiska kontroller

• Antal kontroller: 14
• Kontrollnummer: ISO 27001 bilaga A 7.1 till 7.13

Fysiska skyddsåtgärder är åtgärder som används för att säkerställa säkerheten för materiella tillgångar. Dessa kan innefatta inträdessystem, gäståtkomstprotokoll, processer för avyttring av tillgångar, protokoll för lagringsmedium och tydliga skrivbordspolicyer. Sådana skyddsåtgärder är väsentliga för att bevara konfidentiell information.

Tekniska kontroller

• Antal kontroller: 34
• Kontrollnummer: ISO 27001 bilaga A 8.1 till 8.34

Tekniska begränsningar dikterar de cybernetiska/digitala regleringar och förfaranden som företag bör anta för att utföra en skyddad, kompatibel IT-infrastruktur, från autentiseringstekniker till inställningar, BUDR-strategier och informationsloggning.

Varför är bilaga A viktig för min organisation?

ISO 27001-standarden är formulerad på ett sådant sätt att organisationer av alla former och storlekar kan uppfylla kraven i standarden samtidigt som de följer den grundläggande premissen att implementera och upprätthålla omfattande informationssäkerhetspraxis.

Organisationer har olika alternativ för att uppnå och bibehålla överensstämmelse med ISO 27001, beroende på arten av deras verksamhet och omfattningen av deras databehandlingsaktiviteter.

Bilaga A ger organisationer en enkel uppsättning vägledning för att skapa en välstrukturerad informationssäkerhetsplan som passar deras exklusiva kommersiella och operativa behov.

Bilaga A fungerar som ett tids- och resursbesparande verktyg för den initiala certifieringen och efterföljande efterlevnadsprocesser och ger underlag för revisioner, processöversikter och strategisk planering. Det kan användas som ett internt styrdokument (dvs. en riskhanteringsplan) som beskriver en formell strategi för informationssäkerhet.

Förstå riskbehandling i ISO 27001 6.1.3

ISO 27001-krav 6.1.3 handlar om att upprätta och underhålla en process för riskbedömning av informationssäkerhet som inkluderar riskacceptans och bedömningskriterier.

ISO 27001 6.1.3 fungerar som en kanal för organisationer att garantera att deras informationssäkerhetsriskprocedurer, inklusive deras riskhanteringsalternativ, överensstämmer med ISO:s rekommenderade standarder, i strävan efter certifiering.

Riskbehandling som koncept

Certifierade och kompatibla organisationer hanterar risker på flera sätt. Riskhantering är inte begränsad till de kurativa åtgärder som krävs för att minska risken. Efter att ha identifierat en risk förväntas organisationer att:

• Acceptera risken.
• Behandla risken.
• Minska risken.
• Överför risken.
• Undvik risken.

ISO 27001 6.1.3 uppmanar organisationer att utarbeta en riskhanteringsplan, inklusive sign-off av riskägare, och bred acceptans för vad ISO anser vara "återstående risker".

Denna process börjar med identifieringen av risker förknippade med förlust av konfidentialitet, integritet och tillgänglighet av information. Organisationen måste sedan välja lämpliga behandlingsalternativ för informationssäkerhetsrisk baserat på riskbedömningsresultaten.

Andra faktorer

Som ett styrande krav är ISO 27001 6.1.3 inte den yttersta auktoriteten för riskhantering. Stora organisationer integrerar ofta säkerhetsprotokoll från andra ackrediteringsenheter (NIST, SOC2:s Trust Service Criteria).

Organisationer måste dock prioritera kontroller i bilaga A under hela certifierings- och efterlevnadsprocessen – ISO-revisorer instrueras att identifiera äktheten och relevansen av ISO-regleringar som vanligt, som sådant bör detta vara en organisations förstahandsval när man skapar en ISO 27001- ledningssystem för informationssäkerhet.

Särskilda tredjepartsdatastandarder inom den offentliga och privata sektorn – såsom National Health Service's Data Security and Protection Toolkit (DSPT) – kräver en anpassning av informationssäkerhetsstandarder mellan organisationer och de offentliga enheter som de samverkar med.

ISO 27001 6.1.3 tillåter organisationer att samordna sin riskhanteringsoperation med ett flertal externa kriterier, vilket möjliggör omfattande efterlevnad av de datasäkerhetsåtgärder som de kan tänkas ställas inför.

Vilka kontroller i bilaga A ska jag inkludera?

Det är viktigt att bedöma ditt företags exklusiva informationssäkerhetsrisker innan du bestämmer vilka kontroller som ska införas och väljer kontroller som hjälper till att dämpa identifierbara risker.

Förutom riskhantering kan kontroller också väljas på grund av en företags- eller affärsavsikt eller mål, ett lagligt krav eller för att uppfylla avtalsmässiga och/eller regulatoriska skyldigheter.

Dessutom är organisationer skyldiga att illustrera varför de inte har integrerat vissa kontroller i sin SOA – det finns t.ex. ingen nödvändighet att införliva kontroller som adresserar fjärr- eller hybridarbete om det inte är en policy som din institution tillämpar, men en revisor måste fortfarande vara presenteras med dessa uppgifter när du utvärderar dina certifierings-/efterlevnadsuppgifter.

Hur ISMS.online kan hjälpa

ISMS.online-plattformen, tillsammans med vår inbyggda vägledning och förkonfigurerade ISMS, gör det möjligt för organisationer att utan ansträngning demonstrera överensstämmelse med varje bilaga A-kontroll. Vi är här för att hjälpa dig oavsett om du är ny på ISO 27001 eller måste övergå till ditt befintliga ISMS för att anpassas till 2022 års version av standarden.

Vår steg-för-steg checklista guidar dig genom hela processen och ger tydlig överblick över framsteg och utestående krav. Vår programvara underlättar kartläggningen av din organisations informationssäkerhetskontroller mot varje aspekt av ditt ISMS.

Boka en plattformsdemo idag och upplev fördelarna med vår lösning själv.