Det är lätt för dig att följa ISO 27001:2022 Annex 5.2 när du arbetar med ISMS.online.
Denna bilaga A 5.2 fastställer ett ramverk för att initiera och kontrollera informationssäkerhet inom organisationen.
Kontrollen som beskrivs i Bilaga A – Roller och ansvar för informationssäkerhet – är en viktig komponent i ISO 27001:2022.
Detta är en viktig komponent i ledningssystem för informationssäkerhet (ISMS), särskilt om du försöker uppnå ISO 27001-certifiering. Låt oss undersöka dessa krav och vad de betyder mer i detalj.
I enlighet med bilaga A 5.2, fastställer detta avsnitt en definierad, godkänd och förstådd struktur för implementering, drift och hantering av informationssäkerhet inom organisationen.
Den formella organisationsstrukturen tilldelar ansvaret för informationssäkerheten till alla anställda.
Boka en 30 minuters chatt med oss så visar vi dig hur
I enlighet med ISO 27001 , Bilaga A 5.2 behandlar implementering, drift och förvaltning av en organisations roller och ansvar för informationssäkerhet.
Som anges i bilaga A 5.2 måste alla inblandade tydligt definiera och förstå informationssäkerhetsansvar och roller. Tillgångar tilldelas vanligtvis en utsedd ägare som ansvarar för deras vård dagligen.
A ett dedikerat team kan hantera informationssäkerhet, eller ytterligare ansvar kan tilldelas specifika anställda beroende på organisationens storlek och resurser.
Det måste finnas en tydlig definition och fördelning av allt informationssäkerhetsansvar.
Som en del av informationssäkerhetsansvaret finns generella ansvarsområden (t.ex. ansvaret för att skydda information) och specifika uppgifter (t.ex. ansvaret att ge särskilda tillstånd).
Om ansvarsområden behöver definieras är det viktigt att överväga ägandet eller grupperingarna av informationstillgångar.
Många typer av affärsroller kan vara relevanta för informationssäkerheten, inklusive avdelningschefer, ägare av affärsprocesser, anläggningschefer, personalchefer och internrevisorer.
Ett robust informationssäkerhetssystem beror på flera faktorer: chefen för organisationen, informationssäkerhetschefen (CISO), IT-tjänstledningen (ITSM), systemägarna och alla systemanvändare.
As del av sin revision, kommer revisorn att söka försäkran om att organisationen tydligt har definierat vem som ansvarar för vilka funktioner och att de har gjort det proportionellt och adekvat baserat på dess storlek och karaktär.
Som ett resultat är det i allmänhet inte möjligt att ha heltidsroller kopplade till dessa roller och ansvarsområden i mindre organisationer. Därför är det avgörande att klargöra specifika informationssäkerhetsansvar inom befintliga jobbroller. VD:ar och Operations Directors kan vara motsvarigheten till CISOs, Chief Information Security Officers, med övergripande ansvar för alla informationssäkerhetssystem. CTO kan äga informationstillgångar relaterade till teknologi.
En stark säkerhetskultur uppmuntrar användare att följa säkerhetsregler och -procedurer. Varje system har inneboende faror, och det är upp till användarna att minska dessa risker.
Till se till att varje anställd förstår vad de är ansvariga för när det gäller att skydda data, system och nätverk, denna bilaga A-kontroll måste åtgärdas för att den ska bli framgångsrik.
Det är viktigt att formalisera och dokumentera rollfördelningen, t.ex. i en tabell eller ett organisationsschema, så att bilaga A-kontrollen kan uppfyllas:
Organisationer bör tilldela och förstå tydliga roller, ansvarsområden och befogenheter. Roller och ansvar måste dokumenteras, kommuniceras och tillämpas konsekvent i hela organisationen för att säkerställa adekvat åtskillnad av arbetsuppgifter.
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
För att uppfylla ISO 27001:2022-kraven behöver du bara uppgradera ditt säkerhetshanteringssystems processer för att återspegla de förbättrade kontrollerna. Om ditt interna team inte kan hantera detta kan ISMS.online hjälpa dig.
Vårt molnbaserade programvara gör det enkelt att hantera dina ISMS-lösningar från en plats.
Med vår lättanvända applikation kan du spåra allt som behövs för att säkerställa ISO 2K7-överensstämmelse.
Genom att använda vårt intuitiva arbetsflöde och verktyg, inklusive ramverk, policyer, kontroller, handlingsbar dokumentation och vägledning, ISO 27001 implementering är förenklat.
Med vår plattform, kan du enkelt definiera omfattningen av ISMS, identifiera risker och implementera kontroller.
För att lära dig mer om hur ISMS.online kan hjälpa dig att uppnå dina ISO 2K7-mål, ring oss på +44 (0)1273 041140.
Hör av dig idag för att boka en demo.
Jag har gjort ISO 27001 den hårda vägen så jag värdesätter verkligen hur mycket tid det sparade oss på att uppnå ISO 27001-certifiering.