ISO 27001:2022 Bilaga A Kontroll 5.14

Informationsöverföring

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

Syftet med ISO 27001:2022 Annex A 5.14 är att säkerställa säkerheten för alla användarenheter.

Detta innebär att åtgärder måste vidtas för att skydda enheterna från skadlig programvara och andra hot, samt för att upprätthålla konfidentialitet, integritet och tillgänglighet för de data som lagras på dem.

ISO 27001: 2022 Bilaga A Kontroll 5.14 ger organisationer mandat att installera nödvändiga regler, procedurer eller kontrakt för att upprätthålla datasäkerhet när de delas internt eller skickas till externa parter.

Ägarskap till ISO 27001:2022 bilaga A Kontroll 5.14

Uppbackning och acceptans av ledande befattningshavare är väsentligt för utformningen och genomförandet av regler, protokoll och kontrakt.

Det är dock absolut nödvändigt att ha samverkan och specialistkunskaper från olika aktörer inom organisationen, såsom juridisk personal, IT-personal och toppmästare.

Det juridiska teamet bör säkerställa att organisationen ingår överföringsavtal som följer ISO 27001:2022 bilaga A Kontroll 5.14. Dessutom bör IT-teamet vara aktivt involverat i att specificera och utföra kontroller för att skydda data, såsom anges i 5.14.

Hoppa till ämne

100 % av våra användare uppnår ISO 27001-certifiering första gången

Börja din resa idag
Boka din demo

Allmän vägledning om ISO 27001:2022 bilaga A 5.14

För att säkerställa överensstämmelse med 5.14 krävs att regler, förfaranden och avtal skapas, inklusive en dataöverföringspolicy som är specifik för ämnet, och som ger data under överföring en lämplig skyddsnivå enligt den klassificering den tilldelas.

Säkerhetsnivån bör stå i proportion till vikten och känsligheten hos de uppgifter som skickas. ISO 27001:2022 Annex A 5.14 kräver också att organisationer ingår överföringsavtal med mottagande tredje part för att säkerställa säker överföring av data.

ISO 27001:2022 bilaga A Kontroll 5.14 kategoriserar överföringstyper i tre grupper:

Innan du går vidare med att detaljera de specifika kraven för varje typ av överföring, ISO 27001: 2022 Bilaga A Kontroll 5.14 beskriver de element som måste finnas i alla förordningar, förfaranden och kontrakt som hänför sig till alla tre överföringar i allmänhet:

  • Organisationer måste fastställa lämpliga kontroller baserat på klassificeringsnivån för information för att skydda den under transport från obehörig åtkomst, ändring, avlyssning, duplicering, förstörelse och övergrepp mot tjänsteförbud.

  • Organisationer måste hålla reda på spårbarhetskedjan under transporten och upprätta och utföra kontroller för att garantera spårbarheten av data.

  • Ange vem som är inblandad i dataöverföringen och ge deras kontaktuppgifter, såsom dataägare och säkerhetspersonal.

  • Vid dataintrång ska ansvar fördelas.

  • Implementera ett märkningssystem för att hålla reda på artiklar.

  • Se till att transfertjänsten är tillgänglig.

  • Riktlinjer angående metoder för informationsöverföring bör utvecklas enligt specifika ämnen.

  • Riktlinjer för att lagra och kassera alla affärsdokument, inklusive meddelanden, måste följas.

  • Undersök vilken inverkan eventuella tillämpliga lagar, förordningar eller andra skyldigheter kan ha på överföringen.

Kompletterande vägledning om elektronisk överföring

ISO 27001:2022 Bilaga A Kontroll 5.14 beskriver de specifika innehållskraven för regler, förfaranden och avtal som är kopplade till de tre typerna av överföringar. Minimikraven för innehåll måste följas för alla tre.

Regler, avtal och förfaranden bör ta hänsyn till följande överväganden vid överföring av information elektroniskt:

  • Identifiering och motverkan av angrepp med skadlig programvara är av största vikt. Det är viktigt att du använder den senaste tekniken för att upptäcka och förhindra attacker från skadlig programvara.

  • Säkerställa säkerhet för konfidentiell information finns i de skickade bilagorna.

  • Se till att kommunikation skickas till lämpliga mottagare genom att undvika risken att skicka till felaktig e-postadress, adress eller telefonnummer.

  • Skaffa tillstånd innan du börjar använda några offentliga kommunikationstjänster.

  • Striktare autentiseringsmetoder bör användas när data skickas via offentliga nätverk.

  • Att införa begränsningar för användningen av e-kommunikationstjänster, t.ex. förbjuda automatisk vidarebefordran.

  • Rekommendera personalen att undvika att använda tjänster för kortmeddelanden eller snabbmeddelanden för att dela känslig data, eftersom innehållet kan ses av obehöriga personer i allmänna utrymmen.

  • Ge personal och andra intresserade råd om de skyddsrisker som faxmaskiner kan utgöra, såsom obehörig åtkomst eller missvisande meddelanden till vissa nummer.

Kompletterande vägledning om överföring av fysisk lagringsmedia

När information delas fysiskt bör regler, förfaranden och avtal innehålla:

  • Parterna ansvarar för att meddela varandra om överföring, utsändning och mottagande av information.

  • Se till att meddelandet adresseras korrekt och skickas på rätt sätt.

  • Bra förpackning eliminerar risken för skador på innehållet under transporten. Till exempel ska förpackningen vara beständig mot värme och fukt.

  • Ledningen har kommit överens om en pålitlig, auktoriserad budlista.

  • En översikt över kuriridentifieringsstandarder.

  • För känslig och kritisk information bör manipuleringssäkra påsar användas.

  • Det är viktigt att verifiera kurirernas identitet.

  • Denna lista över tredje parter, klassificerade efter deras servicenivå, tillhandahåller transport- eller budtjänster och har godkänts.

  • Anteckna leveranstid, auktoriserad mottagare, vidtagna säkerhetsåtgärder och bekräftelse på mottagande på destinationen i en logg.

Kompletterande vägledning om verbal överföring

Personalen måste göras medveten om riskerna förknippade med informationsutbyte inom organisationen eller överföring av data till externa parter, i enlighet med ISO 27001:2022 bilaga A Kontroll 5.14. Dessa risker inkluderar:

  • De bör avstå från att diskutera konfidentiella frågor i osäkra offentliga kanaler eller på offentliga platser.

  • Man bör inte lämna röstmeddelanden med konfidentiell information på grund av risken för uppspelning av personer som inte är auktoriserade, samt risken för omdirigering till tredje part.

  • Individer, både personal och andra tillämpliga tredje parter, bör screenas innan de beviljas tillträde till samtal.

  • Rum som används för konfidentiella samtal bör förses med nödvändig ljudisolering.

  • Innan en känslig dialog inleds bör en ansvarsfriskrivning utfärdas.

Ändringar och skillnader från ISO 27001:2013?

ISO 27001:2022 bilaga A 5.14 ersätter ISO 27001:2013 Bilaga A 13.2.1, 13.2.2 och 13.2.3.

De två kontrollerna har en viss likhet, men två stora skillnader gör kraven för 2022 mer betungande.

Specifika krav för elektriska, fysiska och verbala överföringar

Avsnitt 13.2.3 i 2013 års version behandlade de särskilda kraven på överföring av data via elektroniska meddelanden.

Den tog dock inte specifikt upp överföring av information genom verbala eller fysiska medel.

Som jämförelse är 2022-versionen exakt i sin identifiering av tre typer av informationsöverföring och beskriver det nödvändiga innehållet för var och en av dem individuellt.

ISO 27001:2022 ställer strängare krav för elektronisk överföring

Avsnitt 13.2.3 i 2022 års version ställer strängare krav på innehållet i avtal om elektroniska meddelanden.

Organisationer måste specificera och verkställa nya regler för digitala överföringar i form av regler, procedurer och kontrakt för ISO 27001:2022.

Till exempel bör organisationer varna sin personal från att använda SMS-tjänster när de överför känslig information.

Detaljerade krav för fysiska överföringar

2022-versionen inför strängare regler för fysisk överföring av lagringsmedia. Till exempel är den mer noggrann i sin autentisering av kurirer och skydd mot olika former av skador.

Strukturella förändringar

I 2013 års version gjordes en uttrycklig hänvisning till de nödvändiga kraven i avtal om informationsöverföring. Men "Reglerna" och "Procedurerna" beskrevs inte i detalj.

För ISO 27001:2022 anges specifika kriterier för var och en av de tre tillvägagångssätten.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Implementering av ISO 27001:2022 kan göras enklare med vår steg-för-steg checklista. Den guidar dig genom hela processen från att definiera omfattningen av ditt ISMS till identifiera risker och genomförande av kontroller.

Boka din demonstration idag. Tider finns tillgängliga sju dagar i veckan, så boka in din kl en tid som fungerar för dig.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer