ISO 27001:2022 Bilaga A 5.14 – Informationsöverföring

Ägarskap till ISO 27001:2022 bilaga A Kontroll 5.14

Uppbackning och acceptans av ledande befattningshavare är väsentligt för utformningen och genomförandet av regler, protokoll och kontrakt.

Det är dock absolut nödvändigt att ha samverkan och specialistkunskaper från olika aktörer inom organisationen, såsom juridisk personal, IT-personal och toppmästare.

Det juridiska teamet bör säkerställa att organisationen ingår överföringsavtal som följer ISO 27001:2022 bilaga A Kontroll 5.14. Dessutom bör IT-teamet vara aktivt involverat i att specificera och utföra kontroller för att skydda data, såsom anges i 5.14.

Allmän vägledning om ISO 27001:2022 bilaga A 5.14

För att säkerställa överensstämmelse med 5.14 krävs att regler, förfaranden och avtal skapas, inklusive en dataöverföringspolicy som är specifik för ämnet, och som ger data under överföring en lämplig skyddsnivå enligt den klassificering den tilldelas.

Säkerhetsnivån bör stå i proportion till vikten och känsligheten hos de uppgifter som skickas. ISO 27001:2022 Annex A 5.14 kräver också att organisationer ingår överföringsavtal med mottagande tredje part för att säkerställa säker överföring av data.

ISO 27001:2022 bilaga A Kontroll 5.14 kategoriserar överföringstyper i tre grupper:

• Elektronisk överföring.
• Mått förvarings media överföra.
• Verbal överföring.

Innan du går vidare med att detaljera de specifika kraven för varje typ av överföring, ISO 27001: 2022 Bilaga A Kontroll 5.14 beskriver de element som måste finnas i alla förordningar, förfaranden och kontrakt som hänför sig till alla tre överföringar i allmänhet:

• Organisationer måste fastställa lämpliga kontroller baserat på klassificeringsnivån för information för att skydda den under transport från obehörig åtkomst, ändring, avlyssning, duplicering, förstörelse och övergrepp mot tjänsteförbud.
• Organisationer måste hålla reda på spårbarhetskedjan under transporten och upprätta och utföra kontroller för att garantera spårbarheten av data.
• Ange vem som är inblandad i dataöverföringen och ge deras kontaktuppgifter, såsom dataägare och säkerhetspersonal.
• Vid dataintrång ska ansvar fördelas.
• Implementera ett märkningssystem för att hålla reda på artiklar.
• Se till att transfertjänsten är tillgänglig.
• Riktlinjer angående metoder för informationsöverföring bör utvecklas enligt specifika ämnen.
• Riktlinjer för att lagra och kassera alla affärsdokument, inklusive meddelanden, måste följas.
• Undersök vilken inverkan eventuella tillämpliga lagar, förordningar eller andra skyldigheter kan ha på överföringen.

Kompletterande vägledning om elektronisk överföring

ISO 27001:2022 Bilaga A Kontroll 5.14 beskriver de specifika innehållskraven för regler, förfaranden och avtal som är kopplade till de tre typerna av överföringar. Minimikraven för innehåll måste följas för alla tre.

Regler, avtal och förfaranden bör ta hänsyn till följande överväganden vid överföring av information elektroniskt:

• Identifiering och motverkan av angrepp med skadlig programvara är av största vikt. Det är viktigt att du använder den senaste tekniken för att upptäcka och förhindra attacker från skadlig programvara.
• Säkerställa säkerhet för konfidentiell information finns i de skickade bilagorna.
• Se till att kommunikation skickas till lämpliga mottagare genom att undvika risken att skicka till felaktig e-postadress, adress eller telefonnummer.
• Skaffa tillstånd innan du börjar använda några offentliga kommunikationstjänster.
• Striktare autentiseringsmetoder bör användas när data skickas via offentliga nätverk.
• Att införa begränsningar för användningen av e-kommunikationstjänster, t.ex. förbjuda automatisk vidarebefordran.
• Rekommendera personalen att undvika att använda tjänster för kortmeddelanden eller snabbmeddelanden för att dela känslig data, eftersom innehållet kan ses av obehöriga personer i allmänna utrymmen.
• Ge personal och andra intresserade råd om de skyddsrisker som faxmaskiner kan utgöra, såsom obehörig åtkomst eller missvisande meddelanden till vissa nummer.

Kompletterande vägledning om överföring av fysisk lagringsmedia

När information delas fysiskt bör regler, förfaranden och avtal innehålla:

• Parterna ansvarar för att meddela varandra om överföring, utsändning och mottagande av information.
• Se till att meddelandet adresseras korrekt och skickas på rätt sätt.
• Bra förpackning eliminerar risken för skador på innehållet under transporten. Till exempel ska förpackningen vara beständig mot värme och fukt.
• Ledningen har kommit överens om en pålitlig, auktoriserad budlista.
• En översikt över kuriridentifieringsstandarder.
• För känslig och kritisk information bör manipuleringssäkra påsar användas.
• Det är viktigt att verifiera kurirernas identitet.
• Denna lista över tredje parter, klassificerade efter deras servicenivå, tillhandahåller transport- eller budtjänster och har godkänts.
• Anteckna leveranstid, auktoriserad mottagare, vidtagna säkerhetsåtgärder och bekräftelse på mottagande på destinationen i en logg.

Kompletterande vägledning om verbal överföring

Personalen måste göras medveten om riskerna förknippade med informationsutbyte inom organisationen eller överföring av data till externa parter, i enlighet med ISO 27001:2022 bilaga A Kontroll 5.14. Dessa risker inkluderar:

• De bör avstå från att diskutera konfidentiella frågor i osäkra offentliga kanaler eller på offentliga platser.
• Man bör inte lämna röstmeddelanden med konfidentiell information på grund av risken för uppspelning av personer som inte är auktoriserade, samt risken för omdirigering till tredje part.
• Individer, både personal och andra tillämpliga tredje parter, bör screenas innan de beviljas tillträde till samtal.
• Rum som används för konfidentiella samtal bör förses med nödvändig ljudisolering.
• Innan en känslig dialog inleds bör en ansvarsfriskrivning utfärdas.

Ändringar och skillnader från ISO 27001:2013?

ISO 27001:2022 bilaga A 5.14 ersätter ISO 27001:2013 Bilaga A 13.2.1, 13.2.2 och 13.2.3.

De två kontrollerna har en viss likhet, men två stora skillnader gör kraven för 2022 mer betungande.

Specifika krav för elektriska, fysiska och verbala överföringar

Avsnitt 13.2.3 i 2013 års version behandlade de särskilda kraven på överföring av data via elektroniska meddelanden.

Den tog dock inte specifikt upp överföring av information genom verbala eller fysiska medel.

Som jämförelse är 2022-versionen exakt i sin identifiering av tre typer av informationsöverföring och beskriver det nödvändiga innehållet för var och en av dem individuellt.

ISO 27001:2022 ställer strängare krav för elektronisk överföring

Avsnitt 13.2.3 i 2022 års version ställer strängare krav på innehållet i avtal om elektroniska meddelanden.

Organisationer måste specificera och verkställa nya regler för digitala överföringar i form av regler, procedurer och kontrakt för ISO 27001:2022.

Till exempel bör organisationer varna sin personal från att använda SMS-tjänster när de överför känslig information.

Detaljerade krav för fysiska överföringar

2022-versionen inför strängare regler för fysisk överföring av lagringsmedia. Till exempel är den mer noggrann i sin autentisering av kurirer och skydd mot olika former av skador.

Strukturella förändringar

I 2013 års version gjordes en uttrycklig hänvisning till de nödvändiga kraven i avtal om informationsöverföring. Men "Reglerna" och "Procedurerna" beskrevs inte i detalj.

För ISO 27001:2022 anges specifika kriterier för var och en av de tre tillvägagångssätten.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Hur ISMS.online hjälper

Implementering av ISO 27001:2022 kan göras enklare med vår steg-för-steg checklista. Den guidar dig genom hela processen från att definiera omfattningen av ditt ISMS till identifiera risker och genomförande av kontroller.

Boka din demonstration idag. Tider finns tillgängliga sju dagar i veckan, så boka in din kl en tid som fungerar för dig.