ISO 27001:2022 Bilaga A Kontroll 5.1

Informationssäkerhetspolicyer

Boka en demo

företag,man,använder,mobil,smart,telefon,,upptagen,arbetar,på,bärbar dator

Som en del av ISO 27001:2022 specificerar bilaga A 5.1 att organisationer måste ha en informationssäkerhet policydokument på plats. Det här är att skydda sig mot informationssäkerhetshot.

Företagens behov, såväl som tillämpliga förordningar och lagstiftning, måste beaktas när policyer utvecklas.

Ett policydokument för informationssäkerhet är i huvudsak ett kompendium av bilaga A-kontroller som förstärker organisationens centrala uttalanden om säkerhet och gör dem tillgängliga för intressenter.

I 2022 års version av standarden bör policyer också inkluderas i utbildnings-, tränings- och medvetenhetsprogrammet, som beskrivs i People Controls A.6.3.

Organisationspolicyer anger de principer som medlemmar och nyckelparter som leverantörer måste följa. Dessa policyer bör ses över regelbundet och uppdateras vid behov.

Vad är informationssäkerhetspolicyer?

An informationssäkerhetspolicy syftar till att ge anställda, ledning och externa parter (t.ex. kunder och leverantörer) ett ramverk för att hantera elektronisk information, inklusive datornätverk.

En säkerhetspolicy ska definieras, godkännas av ledningen, publiceras och kommuniceras till anställda och relevanta externa parter.

Förutom att minska risken för dataförlust på grund av interna och externa hot, informationssäkerhetspolicyn säkerställer att alla anställda förstår sin roll i att skydda organisationens data.

Förutom att uppfylla standarder som t.ex ISO 27001 , kan en informationssäkerhetspolicy också visa efterlevnad av lagar och förordningar.

Informationssäkerhetshot och cybersäkerhet förklaras

Cybersäkerhet hot inkluderar företagsspioner och hacktivister, terroristgrupper, fientliga nationalstater och kriminella organisationer. Dessa hot syftar till att olagligt komma åt data, störa digital verksamhet eller skada information.

Hot mot cybersäkerhet och informationssäkerhet inkluderar:

  • Virus, spionprogram och andra skadliga program betraktas som skadlig programvara.

  • Ett e-postmeddelande som verkar komma från en pålitlig källa men innehåller länkar och bilagor som installerar skadlig programvara på din dator.

  • Virus hindrar användare från att komma åt sina data tills de betalar en lösensumma.

  • Processen att manipulera människor till att avslöja känslig information kallas social ingenjörskonst.

  • Nätfiske-e-postmeddelanden som verkar komma från högprofilerade individer i en organisation kallas valattacker.
Hoppa till ämne
Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Hur fungerar ISO 27001:2022 Annex A 5.1?

Informationssäkerhetspolicyer är utformade för att skydda ditt företags känsliga information från stöld och obehörig åtkomst.

In i enlighet med ISO 27001, Bilagakontroll A 5.1 vägleder syftet och genomförandet av att upprätta en informationssäkerhetspolicy i en organisation.

En övergripande informationssäkerhetspolicy krävs av Bilaga A Kontroll 5.1 för organisationer att hantera sin informationssäkerhet. Ledningen ska godkänna riktlinjerna som ska ses över regelbundet om förändringar sker i informationssäkerhetsmiljön.

Det lämpliga tillvägagångssättet är att träffas regelbundet, minst en gång i månaden, med ytterligare möten vid behov. Förutom att dela policyer med interna och externa intressenter måste ledningen godkänna eventuella ändringar innan de implementeras.

Komma igång och uppfylla kraven i bilaga A 5.1

A detaljerad driftprocedur som beskriver hur informationssäkerhetspolicyn ska implementeras bör baseras på och stöds av en informationssäkerhetspolicy.

Policyn bör godkännas av toppen ledning och kommuniceras till personal och intressenter.

Förutom att ge vägledning till organisationens tillvägagångssätt för att hantera informationssäkerheten kan policyn användas för att utveckla mer detaljerade operativa rutiner.

Som krävs av ISO/IEC 27000 standarder, är en policy väsentlig för att etablera och underhålla ett informationssäkerhetshanteringssystem (ISMS). En väldefinierad policy förblir kritisk även om organisationen inte har för avsikt att göra det implementera ISO 27001 eller någon annan formell certifiering.

Informationssäkerhetspolicyer bör ses över regelbundet för att säkerställa deras fortsatta lämplighet, tillräcklighet och effektivitet.

När förändringar görs i verksamheten, dess risker, teknik, lagstiftning eller regelverk, eller om säkerhetsbrister, händelser eller incidenter indikerar att policyändringar behövs.

Vilka är ändringarna och skillnaderna från ISO 27001:2013?

Som en del av ISO 27001 revision 2013, denna kontroll slår samman bilaga A kontroller 5.1.1 Policyer för informationssäkerhet och 5.1.2 Granskning av policyer för informationssäkerhet.

Bilaga A kontroll 5.1 tum ISO 27001:2022 har uppdaterats med en beskrivning av dess syfte och utökade implementeringsvägledning, samt en attributtabell som gör det möjligt för användare att förena bilaga A-kontroller med industriterminologi.

Enligt bilaga A 5.1 bör informationssäkerhet och ämnesspecifika policyer definieras, godkännas av ledningen, publiceras, kommuniceras till och godkännas av lämplig personal.

En organisations informationssäkerhetspolicy bör beakta storleken, typen och känsligheten hos informationstillgångar, branschstandarder och tillämpliga myndighetskrav.

Enligt punkt 5.1.2 i ISO 27001:2013 är syftet med bilaga A att säkerställa att informationssäkerhetspolicyer regelbundet utvärderas om förändringar i informationssäkerhetsmiljön uppstår.

Enligt ISO 27001: 2013 och ISO 27001: 2022 ska högsta ledningen ta fram en säkerhetspolicy som är godkänd av högsta ledningen och beskriver hur organisationen ska skydda sin data. Ändå täcker båda versionerna av försäkringarna olika krav.

Jämförande analys av bilaga A 5.1 Riktlinjer för genomförande

Enligt ISO 27001:2013 bör informationssäkerhetspolicyer uppfylla följande krav:

  • Affärsstrategin.

  • Kontrakt, förordningar och lagstiftning.

  • En beskrivning av den aktuella och projicerade hotmiljön för informationssäkerhet.

Informationssäkerhetspolicyer bör innehålla följande uttalanden:

  • Alla aktiviteter som rör informationssäkerhet bör vägledas genom en definition av informationssäkerhet, mål och principer.

  • Informationssäkerhetshanteringsansvar tilldelas definierade roller på ett generellt och specifikt sätt.

  • Processen för att hantera avvikelser och undantag.

Däremot har ISO 27001:2022 mer omfattande krav.

Som en del av informationssäkerhetspolicyn bör följande krav beaktas:

  • Strategi och krav för verksamheten.

  • Lagar, förordningar och avtal.

  • Informationssäkerhetsrisker och hot som finns idag och i framtiden.

Uttalanden om följande bör ingå i informationssäkerhetspolicyn:

  • Definition av informationssäkerhet.

  • Ett ramverk för att fastställa mål för informationssäkerhet.

  • Informationssäkerhetsprinciper bör vägleda all verksamhet.

  • Ett åtagande att följa alla tillämpliga krav på informationssäkerhet.

  • Ett pågående engagemang för att förbättra ledningssystem för informationssäkerhet.

  • Rollbaserad ansvarsfördelning för informationssäkerhetshantering.

  • Undantag och undantag hanteras i enlighet med dessa rutiner.

Dessutom reviderades ISO 27001:2022 för att inkludera ämnesspecifika policyer för informationssäkerhetsincidenthantering, tillgångshantering, nätverkssäkerhet, incidenthantering och säker utveckling som ämnesspecifika policyer. I syfte att skapa en mer holistisk ram togs några av kraven i ISO 27001:2013 bort eller slogs samman.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.Online hjälper

Med ISMS.online, kommer du att ha tillgång till en komplett uppsättning verktyg och resurser för att hjälpa dig att hantera ditt eget ISO 27001 Information Security Management System (ISMS), oavsett om du är nykomling eller redan certifierad.

Dessutom tillhandahåller ISMS.online automatiserade processer för att hjälpa till att förenkla hela granskningsprocessen. Dessa processer sparar avsevärda mängder admintid jämfört med andra arbetsmetoder.

Du kommer att få ett försprång med ISO 27001-policyer och kontroller från ISMS.online.

Intuitiva arbetsflöden, verktyg, ramverk, policyer och kontroller, handlingsbar dokumentation och vägledning, såväl som handlingsbar vägledning gör det enkelt att implementera ISO 27001 genom att definiera omfattningen, identifiera risker och implementera kontroller baserat på våra algoritmer – oavsett om de skapas från grunden eller baserat på branschmallar för bästa praxis.

Kontakta oss idag för att schema en demo.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Metod med säkrade resultat
100 % ISO 27001 framgång

Din enkla, praktiska, tidsbesparande väg till första gången ISO 27001 efterlevnad eller certifiering

Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer