ISO 27001:2022 Annex A 5.10 beskriver reglerna för acceptabel användning och procedurer för hantering av information och andra tillgångar.
Dessa bör identifieras, dokumenteras och implementeras.
Syftet med dessa policyer är att fastställa tydliga instruktioner om hur personalen ska agera vid hantering av informationstillgångar, vilket garanterar konfidentialitet, tillförlitlighet och tillgänglighet för organisationens datasäkerhetstillgångar.
Den godtagbara användningen av Informationstillgångar Policy (AUA) gäller för alla medlemmar i organisationen och alla tillgångar som ägs eller drivs av dem. Denna policy är tillämplig för all användning, inklusive kommersiella ändamål, av informationstillgångar.
Exempel på informationstillgångar inkluderar:
Att använda information och andra relaterade tillgångar kräver att de tillämpas på ett sätt som inte äventyrar tillgängligheten, pålitligheten eller sundheten hos data, tjänster eller resurser. Det innebär också att använda dem på sätt som inte strider mot lagar eller företagets policyer.
Huvudsyftet med denna kontroll är att se till att information och relaterade tillgångar skyddas, används och hanteras korrekt.
ISO 27001:2022 bilaga A Kontroll 5.10 säkerställer att policyer, procedurer och tekniska kontroller finns på plats för att hindra användare från att felaktigt hantera informationstillgångar.
Denna kontroll syftar till att skapa en struktur för organisationer för att garantera att information och andra resurser skyddas, används och hanteras på lämpligt sätt. Det innebär att se till att lämpliga policyer och rutiner finns på alla nivåer i organisationen, samt att implementera dem regelbundet.
Genomförande av kontroll 5.10 utgör en del av ditt ISMS och säkerställer att ditt företag har de nödvändiga kraven på plats för att skydda sina IT-tillgångar, såsom:
För att uppfylla ISO 27001:2022s kontroll 5.10-behov är det absolut nödvändigt att personal, både intern och extern, som använder eller har tillgång till organisationens data och ytterligare resurser är medvetna om företagets informationssäkerhetsförutsättningar.
De ansvariga bör hållas till svars för eventuella databehandlingsresurser de använder.
All personal som är associerad med hanteringen av information och andra relaterade tillgångar bör vara medvetna om organisationens policy för lämplig användning. Det är viktigt att alla inblandade är informerade om riktlinjerna.
All personal som arbetar med information och tillhörande tillgångar bör göras medvetna om företagets policy för acceptabel användning. Som en del av den specifika användningspolicyn bör personalen förstå exakt vad som förväntas av dem när det gäller dessa resurser.
Policyn bör klargöra att:
Särskild policy som hänför sig till ämnet bör ange att all personal måste följa företagets direktiv och protokoll:
Utarbeta förfaranden för acceptabel användning under hela informationens livscykel, i linje med dess kategorisering och identifierade risker. Tänk på följande:
Smakämnen 2022-versionen av ISO 27001 släpptes i oktober 2022; det är en förbättrad version av ISO 27001:2013.
Bilaga A 5.10 i ISO 27001:2022 är inte ny; det är en blandning av kontroller 8.1.3 och 8.2.3 från ISO 27001:2013.
Kärnan och implementeringsriktlinjerna i bilaga A 5.10 liknar dem för kontrollerna 8.1.3 och 8.2.3, men bilaga A 5.10 kombinerar både acceptabel användning av och hantering av tillgångar till en kontroll för användarvänligheten.
I bilaga A 5.10 lades ytterligare en punkt till 8.2.3, som avser godkännande av förfogande av information och eventuella relaterade tillgångar, samt den eller de rekommenderade raderingsmetoderna.
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 Bilaga A Kontroll.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Denna policy anger reglerna för korrekt användning av företagets information och tillhörande tillgångar, såsom datorer, nätverk och system, e-post, filer och lagringsmedia. Alla anställda och entreprenörer måste följa den.
Denna policy tjänar till att:
Syftet med denna policy är att sätta upp direktiv för lämpligt beteende och att detaljera konsekvenserna av att bryta mot dem, för att skapa en säker och respektfull atmosfär för alla.
Säkerställa att företagets data och andra relaterade tillgångar endast används av giltiga affärsskäl. Se till att personalen följer alla lagar och förordningar om informationssäkerhet och försvara företagets information och andra relaterade tillgångar från risker som härrör från inom eller utanför företaget.
Smakämnen Information Security Officer (ISO) har till uppgift att utforma, utföra och upprätthålla den acceptabla användningen av informationsresurser.
ISO kommer att vara ansvarig för att övervaka användningen av informationsresurser i hela organisationen för att garantera att data används på ett sätt som säkerställer säkerhet och datanoggrannhet, bevarar konfidentialitet för privat eller känslig information, förhindrar missbruk och obehörig åtkomst till datorresurser, och eliminerar all onödig exponering eller ansvar för organisationen.
Den nya ISO 27001:2022-standarden är en revidering, så du behöver inte göra många ändringar för att vara kompatibel med den.
Se vår guide om ISO 27001:2022 för att lära dig mer om konsekvenserna av bilaga A 5.10 för din verksamhet och hur du visar efterlevnad.
ISMS.online gör ISO 27001 implementering enkel, med en omfattande steg-för-steg checklista. Den här guiden tar dig genom hela processen, från att definiera ditt ISMS-omfång till att identifiera risker och implementera kontroller.
Denna modell skapar ett ramverk för att sätta upp, använda, driva, observera, utvärdera, upprätthålla och utveckla ett Information Security Management System (ISMS).
Genomförande av ISO 27001-standard kan vara en omfattande strävan, men ISMS.online tillhandahåller en omfattande, one-stop-lösning för att göra processen mycket enklare.
Vårt förstklassiga programvara för ledningssystem för informationssäkerhet erbjuder ett okomplicerat sätt att förstå vad som måste åstadkommas och hur man ska gå vidare.
Vi gör det enkelt att hantera dina efterlevnadsbehov. Vi eliminerar besväret och stressen med att uppfylla dina krav.
Hör av dig idag för att reservera en demonstration.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo