ISO 27001:2022 Bilaga A Kontroll 5.2

Informationssäkerhetsroller och ansvar

Boka en demo

från, ovan, av, grupp, av, mångsidig, kollegor, i, formella, kläder

Det är lätt för dig att följa ISO 27001:2022 Annex 5.2 när du arbetar med ISMS.online.

Denna bilaga A 5.2 fastställer ett ramverk för att initiera och kontrollera informationssäkerhet inom organisationen.

Kontrollen som beskrivs i Bilaga A – Roller och ansvar för informationssäkerhet – är en viktig komponent i ISO 27001:2022.

Detta är en viktig komponent i ledningssystem för informationssäkerhet (ISMS), särskilt om du försöker uppnå ISO 27001-certifiering. Låt oss undersöka dessa krav och vad de betyder mer i detalj.

Vad är syftet med ISO 27001:2022 bilaga A 5.2?

I enlighet med bilaga A 5.2, fastställer detta avsnitt en definierad, godkänd och förstådd struktur för implementering, drift och hantering av informationssäkerhet inom organisationen.

Den formella organisationsstrukturen tilldelar ansvaret för informationssäkerheten till alla anställda.

Hoppa till ämne

ISO 27001:2022 Bilaga A 5.2 Förklarat

I enlighet med ISO 27001 , Bilaga A 5.2 behandlar implementering, drift och förvaltning av en organisations roller och ansvar för informationssäkerhet.

Som anges i bilaga A 5.2 måste alla inblandade tydligt definiera och förstå informationssäkerhetsansvar och roller. Tillgångar tilldelas vanligtvis en utsedd ägare som ansvarar för deras vård dagligen.

A ett dedikerat team kan hantera informationssäkerhet, eller ytterligare ansvar kan tilldelas specifika anställda beroende på organisationens storlek och resurser.

Definiera roller och ansvar för informationssäkerhet

Det måste finnas en tydlig definition och fördelning av allt informationssäkerhetsansvar.

Som en del av informationssäkerhetsansvaret finns generella ansvarsområden (t.ex. ansvaret för att skydda information) och specifika uppgifter (t.ex. ansvaret att ge särskilda tillstånd).

Om ansvarsområden behöver definieras är det viktigt att överväga ägandet eller grupperingarna av informationstillgångar.

Många typer av affärsroller kan vara relevanta för informationssäkerheten, inklusive avdelningschefer, ägare av affärsprocesser, anläggningschefer, personalchefer och internrevisorer.

Ett robust informationssäkerhetssystem beror på flera faktorer: chefen för organisationen, informationssäkerhetschefen (CISO), IT-tjänstledningen (ITSM), systemägarna och alla systemanvändare.

As del av sin revision, kommer revisorn att söka försäkran om att organisationen tydligt har definierat vem som ansvarar för vilka funktioner och att de har gjort det proportionellt och adekvat baserat på dess storlek och karaktär.

Som ett resultat är det i allmänhet inte möjligt att ha heltidsroller kopplade till dessa roller och ansvarsområden i mindre organisationer. Därför är det avgörande att klargöra specifika informationssäkerhetsansvar inom befintliga jobbroller. VD:ar och Operations Directors kan vara motsvarigheten till CISOs, Chief Information Security Officers, med övergripande ansvar för alla informationssäkerhetssystem. CTO kan äga informationstillgångar relaterade till teknologi.

Skapa en kultur av informationssäkerhet i din organisation

En stark säkerhetskultur uppmuntrar användare att följa säkerhetsregler och -procedurer. Varje system har inneboende faror, och det är upp till användarna att minska dessa risker.

Till se till att varje anställd förstår vad de är ansvariga för när det gäller att skydda data, system och nätverk, denna bilaga A-kontroll måste åtgärdas för att den ska bli framgångsrik.

Hur man uppfyller kraven i bilaga A 5.2 och vad som är inblandat

Det är viktigt att formalisera och dokumentera rollfördelningen, t.ex. i en tabell eller ett organisationsschema, så att bilaga A-kontrollen kan uppfyllas:

  • Ansvar och ansvar för informationssäkerhet bör tilldelas specifika ledningsroller eller jobbfunktioner.

  • För att säkerställa att informationssäkerhet ägnas lämplig uppmärksamhet från ledningen, bör denna bilaga A-kontroll ge klarhet angående de olika roller och ansvarsområden inom organisationen.

  • Ytterligare utbildning bör ges till enskilda platser och bearbetningsanläggningar om det behövs för att hjälpa till att fullgöra dessa skyldigheter.

Organisationer bör tilldela och förstå tydliga roller, ansvarsområden och befogenheter. Roller och ansvar måste dokumenteras, kommuniceras och tillämpas konsekvent i hela organisationen för att säkerställa adekvat åtskillnad av arbetsuppgifter.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Vad ISMS.online kan göra för dig

För att uppfylla ISO 27001:2022-kraven behöver du bara uppgradera ditt säkerhetshanteringssystems processer för att återspegla de förbättrade kontrollerna. Om ditt interna team inte kan hantera detta kan ISMS.online hjälpa dig.

Vårt molnbaserade programvara gör det enkelt att hantera dina ISMS-lösningar från en plats.

Med vår lättanvända applikation kan du spåra allt som behövs för att säkerställa ISO 2K7-överensstämmelse.

Genom att använda vårt intuitiva arbetsflöde och verktyg, inklusive ramverk, policyer, kontroller, handlingsbar dokumentation och vägledning, ISO 27001 implementering är förenklat.

Med vår plattform, kan du enkelt definiera omfattningen av ISMS, identifiera risker och implementera kontroller.

För att lära dig mer om hur ISMS.online kan hjälpa dig att uppnå dina ISO 2K7-mål, ring oss på +44 (0)1273 041140.

Hör av dig idag för att boka en demo.

Jag har gjort ISO 27001 den hårda vägen så jag värdesätter verkligen hur mycket tid det sparade oss på att uppnå ISO 27001-certifiering.

Carl Vaughan
Infosec Lead, MetCloud

Boka din demo

Säg hej till ISO 27001 framgång

Få 81 % av arbetet gjort åt dig och bli certifierad snabbare med ISMS.online

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer