Som en del av ISO 27001:2022 specificerar bilaga A 5.1 att organisationer måste ha en informationssäkerhet policydokument på plats. Det här är att skydda sig mot informationssäkerhetshot.
Företagens behov, såväl som tillämpliga förordningar och lagstiftning, måste beaktas när policyer utvecklas.
Ett policydokument för informationssäkerhet är i huvudsak ett kompendium av bilaga A-kontroller som förstärker organisationens centrala uttalanden om säkerhet och gör dem tillgängliga för intressenter.
I 2022 års version av standarden bör policyer också inkluderas i utbildnings-, tränings- och medvetenhetsprogrammet, som beskrivs i People Controls A.6.3.
Organisationspolicyer anger de principer som medlemmar och nyckelparter som leverantörer måste följa. Dessa policyer bör ses över regelbundet och uppdateras vid behov.
An informationssäkerhetspolicy syftar till att ge anställda, ledning och externa parter (t.ex. kunder och leverantörer) ett ramverk för att hantera elektronisk information, inklusive datornätverk.
En säkerhetspolicy ska definieras, godkännas av ledningen, publiceras och kommuniceras till anställda och relevanta externa parter.
Förutom att minska risken för dataförlust på grund av interna och externa hot, informationssäkerhetspolicyn säkerställer att alla anställda förstår sin roll i att skydda organisationens data.
Förutom att uppfylla standarder som t.ex ISO 27001 , kan en informationssäkerhetspolicy också visa efterlevnad av lagar och förordningar.
Cybersäkerhet hot inkluderar företagsspioner och hacktivister, terroristgrupper, fientliga nationalstater och kriminella organisationer. Dessa hot syftar till att olagligt komma åt data, störa digital verksamhet eller skada information.
Hot mot cybersäkerhet och informationssäkerhet inkluderar:
Informationssäkerhetspolicyer är utformade för att skydda ditt företags känsliga information från stöld och obehörig åtkomst.
In i enlighet med ISO 27001, Bilagakontroll A 5.1 vägleder syftet och genomförandet av att upprätta en informationssäkerhetspolicy i en organisation.
En övergripande informationssäkerhetspolicy krävs av Bilaga A Kontroll 5.1 för organisationer att hantera sin informationssäkerhet. Ledningen ska godkänna riktlinjerna som ska ses över regelbundet om förändringar sker i informationssäkerhetsmiljön.
Det lämpliga tillvägagångssättet är att träffas regelbundet, minst en gång i månaden, med ytterligare möten vid behov. Förutom att dela policyer med interna och externa intressenter måste ledningen godkänna eventuella ändringar innan de implementeras.
A detaljerad driftprocedur som beskriver hur informationssäkerhetspolicyn ska implementeras bör baseras på och stöds av en informationssäkerhetspolicy.
Policyn bör godkännas av toppen ledning och kommuniceras till personal och intressenter.
Förutom att ge vägledning till organisationens tillvägagångssätt för att hantera informationssäkerheten kan policyn användas för att utveckla mer detaljerade operativa rutiner.
Som krävs av ISO/IEC 27000 standarder, är en policy väsentlig för att etablera och underhålla ett informationssäkerhetshanteringssystem (ISMS). En väldefinierad policy förblir kritisk även om organisationen inte har för avsikt att göra det implementera ISO 27001 eller någon annan formell certifiering.
Informationssäkerhetspolicyer bör ses över regelbundet för att säkerställa deras fortsatta lämplighet, tillräcklighet och effektivitet.
När förändringar görs i verksamheten, dess risker, teknik, lagstiftning eller regelverk, eller om säkerhetsbrister, händelser eller incidenter indikerar att policyändringar behövs.
Som en del av ISO 27001 revision 2013, denna kontroll slår samman bilaga A kontroller 5.1.1 Policyer för informationssäkerhet och 5.1.2 Granskning av policyer för informationssäkerhet.
Bilaga A kontroll 5.1 tum ISO 27001:2022 har uppdaterats med en beskrivning av dess syfte och utökade implementeringsvägledning, samt en attributtabell som gör det möjligt för användare att förena bilaga A-kontroller med industriterminologi.
Enligt bilaga A 5.1 bör informationssäkerhet och ämnesspecifika policyer definieras, godkännas av ledningen, publiceras, kommuniceras till och godkännas av lämplig personal.
En organisations informationssäkerhetspolicy bör beakta storleken, typen och känsligheten hos informationstillgångar, branschstandarder och tillämpliga myndighetskrav.
Enligt punkt 5.1.2 i ISO 27001:2013 är syftet med bilaga A att säkerställa att informationssäkerhetspolicyer regelbundet utvärderas om förändringar i informationssäkerhetsmiljön uppstår.
Enligt ISO 27001: 2013 och ISO 27001: 2022 ska högsta ledningen ta fram en säkerhetspolicy som är godkänd av högsta ledningen och beskriver hur organisationen ska skydda sin data. Ändå täcker båda versionerna av försäkringarna olika krav.
Enligt ISO 27001:2013 bör informationssäkerhetspolicyer uppfylla följande krav:
Informationssäkerhetspolicyer bör innehålla följande uttalanden:
Däremot har ISO 27001:2022 mer omfattande krav.
Som en del av informationssäkerhetspolicyn bör följande krav beaktas:
Uttalanden om följande bör ingå i informationssäkerhetspolicyn:
Dessutom reviderades ISO 27001:2022 för att inkludera ämnesspecifika policyer för informationssäkerhetsincidenthantering, tillgångshantering, nätverkssäkerhet, incidenthantering och säker utveckling som ämnesspecifika policyer. I syfte att skapa en mer holistisk ram togs några av kraven i ISO 27001:2013 bort eller slogs samman.
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Med ISMS.online, kommer du att ha tillgång till en komplett uppsättning verktyg och resurser för att hjälpa dig att hantera ditt eget ISO 27001 Information Security Management System (ISMS), oavsett om du är nykomling eller redan certifierad.
Dessutom tillhandahåller ISMS.online automatiserade processer för att hjälpa till att förenkla hela granskningsprocessen. Dessa processer sparar avsevärda mängder admintid jämfört med andra arbetsmetoder.
Du kommer att få ett försprång med ISO 27001-policyer och kontroller från ISMS.online.
Intuitiva arbetsflöden, verktyg, ramverk, policyer och kontroller, handlingsbar dokumentation och vägledning, såväl som handlingsbar vägledning gör det enkelt att implementera ISO 27001 genom att definiera omfattningen, identifiera risker och implementera kontroller baserat på våra algoritmer – oavsett om de skapas från grunden eller baserat på branschmallar för bästa praxis.
Kontakta oss idag för att schema en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo