ISO 27001:2022 Bilaga A Kontroll 5.11

Återlämnande av tillgångar

Boka en demo

affärer,möte,i,ett,modernt,kontor

ISO 27001:2022 Kontroll 5.11 i bilaga A föreskriver att personal och andra intressenter måste återlämna alla tillgångar som ägs av organisationen vid byte av anställning, kontrakt eller avtal.

Vid uppsägning av anställning, kontrakt eller avtal förväntas anställda och externa användare lämna tillbaka all information och organisationstillgångar.

Anställda, entreprenörer och andra måste vara skyldiga att ersätta alla tillgångar. Denna skyldighet skulle ingå i relevanta avtal med personal, entreprenörer och andra.

En solid, dokumenterad process bör hantera återlämnandet av tillgångar. Denna process kan dokumenteras för varje individ eller leverantör som går igenom den. Bilaga A.6.5 för personalsäkerhet, bilaga 6.6 för sekretessavtal och bilaga A.5.20 för leverantörsverksamhet anpassar detta till exitkontroller.

Organisationer måste ha skriftliga policyer som definierar vilka tillgångar som ska återlämnas vid uppsägning och personal för att bekräfta mottagandet och säkerställa inventering och redovisning av tillgångar.

Vad är syftet med bilaga A 5.11?

Följande är exempel på informationstillgångar för en organisation:

  • Fysiska dokument.

  • Digitala filer och databaser.

  • Programvara.

  • Även immateriella föremål som affärshemligheter och immateriella rättigheter.

Ett företags informationstillgångar kan vara värdefulla på många sätt. Detta inkluderar att innehålla känslig information om sina kunder, anställda eller andra intressenter som dåliga aktörer kan utnyttja för ekonomisk vinning eller identitetsstöld. Förutom finansiell, forsknings- och operativ information skulle de kunna ge dina konkurrenter en konkurrensfördel om de kunde få tillgång till den.

Av denna anledning måste alla tillgångar och tillgångar för anställda och entreprenörer som säger upp sin anställning hos en organisation återlämnas.

Som en del av exitprocessen måste tillgångar returneras enligt processen om inte annat överenskommits och dokumenterats:

  • I bilaga A.5 beskrivs de åtgärder som ska vidtas om utebliven återlämning registreras som en säkerhetshändelse.

  • För att säkerställa fortsatt skydd, periodiska tillgångsrevisioner är också nödvändiga för att säkerställa att förfarandet för återlämnande av tillgångar är idiotsäkert.
Hoppa till ämne

Ändring av anställningsstatus enligt ISO 27001:2022 bilaga a 5.11

Som en del av att ändra eller säga upp anställning, kontrakt eller avtal skyddar kontroll 5.11 organisationens tillgångar. Obehöriga personer är förbjudna att behålla organisationstillgångar (inklusive utrustning, information, programvara etc.) enligt denna bilaga A-kontroll.

Du måste se till att dina anställda och entreprenörer inte tar känslig information genom att identifiera potentiella hot och övervaka användarens aktivitet innan de lämnar.

När en individ sägs upp hindrar denna bilaga A-kontroll dem från att komma åt IT-system och nätverk. En formell uppsägningsprocess bör upprättas av organisationer så att individer inte längre kan komma åt några IT-system. Du kan uppnå detta genom att återkalla alla behörigheter, inaktivera konton och ta bort åtkomst till byggnadslokaler.

Det är nödvändigt att upprätta rutiner för att säkerställa att alla anställda, entreprenörer och andra relevanta parter returnerar alla tillgångar som inte längre behövs för affärsändamål. Dessa tillgångar bör ersättas så snart som möjligt.

Organisationer bör också kontrollera individens arbetsområde för att säkerställa att all känslig information har returnerats.

Tänk till exempel:

  • Organisationens utrustning (bärbara datorer och flyttbara media) samlas in vid separation.

  • När kontraktet slutförts måste entreprenörer lämna tillbaka all utrustning och information.

Att bygga en exitprocess och vad du behöver göra

En organisation måste formalisera sin ändrings- eller uppsägningsprocess, vilket inkluderar att returnera alla tidigare utgivna fysiska och elektroniska tillgångar som ägs eller anförtros den.

Eventuella åtkomsträttigheter, konton, digitala certifikat och lösenord bör också tas bort som en del av processen. Denna formalisering är särskilt kritisk när en förändring eller uppsägning inträffar oväntat, som dödsfall eller avgång. Obehörig åtkomst till organisationens tillgångar kan leda till en dataintrång om det inte förhindras.

En säker avyttrings-/returprocess bör säkerställa att alla tillgångar redovisas.

ISO 27001:2022 kräver att organisationen identifierar och dokumenterar all information och tillhörande tillgångar som ska returneras, inklusive:

  1. Användarslutpunktsenheter.

  2. Bärbara lagringsenheter.

  3. Specialutrustning.

  4. Autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv.

  5. Fysiska kopior av information.

Efter uppsägningen ska användaren fylla i en formell checklista som innehåller alla föremål som behöver returneras eller kasseras. Denna checklista bör innehålla alla nödvändiga underskrifter för att bekräfta att tillgångarna har återlämnats eller kasserats på rätt sätt.

Vilka är ändringarna och skillnaderna från ISO 27001:2013?

ISO 27001:2013 uppdaterades i oktober 2022 till ISO 27001:2022.

Bilaga A kontroll 5.11 är inte ny utan en modifiering av bilaga A kontroll 8.1.4 – återlämnande av tillgångar.

I genomföranderiktlinjerna är kontrollerna i bilaga A i huvudsak desamma, med liknande språk och fraser. Dock, ISO 27001:2022s bilaga A kontroll 5.11 har en attributtabell som låter användare matcha den med vad de implementerar. Kontroll 5.11 i ISO 27001:2022 specificerar vilka tillgångar som kan återlämnas vid slutet av anställningen eller uppsägning av kontrakt.

Exempel på dessa inkluderar:

  • Användarslutpunktsenheter.

  • Bärbara lagringsenheter.

  • Specialutrustning.

  • Autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv.

  • Fysiska kopior av information.

I ISO 27001:2013-versionen är denna lista inte tillgänglig.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur påverkar dessa förändringar dig?

ISO 27001:2022 är en uppdatering av 2013 års standard. Den kommitté som övervakar standarden har inte gjort några väsentliga ändringar.

Hur ISMS.online Hjälp

Du kan implementera och hantera ett ISO 27001/27001 ledningssystem för informationssäkerhet med ISMS.online, oavsett din erfarenhet av standarden.

Den perfekta blandningen av kunskap och teknik för tidig ISO 27001-framgång. ISMS.online innehåller en policy och ett verktyg för Kapitalförvaltning.

Med vårt system guidas du steg för steg genom att konfigurera ett ISMS och hantera det:

  • ISMS.online tillhandahåller en steg-för-steg-guide för att implementera ISO 27001/27002 i alla organisationer.

  • Ett riskbedömningsverktyg som guidar dig genom riskidentifieringen och riskbedömningsprocessen.

  • Vi erbjuder en policypaket som kan anpassas för att passa dina behov online.

  • Att hantera dokument och register som en del av ditt ISMS är enklare med ett dokumentkontrollsystem.

  • Bättre beslutsfattande genom automatisk rapportering.

  • Med vår molnbaserade plattform kommer du att kunna dokumentera bevis på överensstämmelse med ISO 27001 ramverk med en checklista över dina processer.

Hör av dig idag för att boka en demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer