Syftet med ISO 27001:2022 bilaga A 5.3 – åtskillnad av arbetsuppgifter i form av funktionell åtskillnad är att etablera ett ledningsramverk som ska användas för att initiera och kontrollera implementering och drift av informationssäkerhet inom ett företag.
Enligt ISO 27001:2022 Bilaga A kontroll 5.3, tidigare känd som 6.1.2 i ISO 27001:2013, separeras motstridiga uppgifter och motstridiga ansvarsområden.
En organisation bör överväga och implementera lämplig åtskillnad av arbetsuppgifter som en del av riskbedömningen och behandlingsprocessen. Även om mindre organisationer kan ha svårt med detta, bör principen tillämpas så mycket som möjligt och korrekt styrning och kontroller införas för informationstillgångar med högre risk/högre värde.
För att minska sannolikheten för otillåten eller oavsiktlig ändring eller missbruk av organisationens tillgångar måste motstridiga skyldigheter och ansvarsområden separeras.
Nästan varje organisation har en uppsättning policyer och rutiner som styr dess interna verksamhet. Dessa policyer och procedurer är tänkta att dokumenteras, men så är inte alltid fallet.
Det finns en risk att anställda blir förvirrade om sina ansvarsområden om P&P:erna inte är transparenta eller väl kommunicerade. Detta blir ännu mer problematiskt när anställda har överlappande eller motstridiga ansvarsområden.
Ibland kan konflikter uppstå när anställda har ansvar som är relaterade till en viss uppgift som är liknande eller olika. Som ett resultat kan anställda göra samma sak två gånger eller utföra olika funktioner som tar bort andras ansträngningar. Detta slöser företagets resurser och minskar produktiviteten, vilket påverkar företagets resultat och moral negativt.
Det här problemet kan undvikas genom att säkerställa att din organisation inte upplever motstridiga ansvarsområden och att veta varför och vad du kan göra för att förhindra dem. För det mesta innebär detta att separera arbetsuppgifter så att olika personer sköter olika organisatoriska roller.
I ISO 27001 syftar Control 5.3 Segregation of Duties till att skilja motstridiga uppgifter åt. Detta minskar risken för bedrägerier och fel och kringgår informationssäkerhet kontroller.
I enlighet med ISO 27001, bilaga A Kontroll 5.3 beskriver implementeringsriktlinjerna för åtskillnad av organisatoriska uppgifter och uppgifter.
Genom att delegera deluppgifter till olika individer skapar denna princip ett system av kontroller och avvägningar som kan minska sannolikheten för att fel och bedrägerier ska inträffa.
Kontrollen är utformad för att förhindra en enskild person från att kunna begå, dölja och motivera otillbörliga handlingar och därigenom minska risken för bedrägerier och fel. Det förhindrar också att en enda person åsidosätter informationssäkerhetskontroller.
I de fall en anställd har alla de rättigheter som krävs för uppgiften är det mer sannolikt att bedrägerier och fel uppstår. Detta beror på att en person kan utföra allt utan några kontroller. Det finns dock en minskad risk för betydande skada eller ekonomisk förlust från en anställd när ingen enskild person har alla de rättigheter som krävs för en viss uppgift.
I avsaknad av korrekt åtskillnad av uppgifter och ansvar kan bedrägeri, missbruk, obehörig åtkomst och andra säkerhetsproblem uppstå.
Dessutom krävs åtskillnad av arbetsuppgifter för att minska riskerna för samarbete mellan individer. Dessa risker ökar när otillräckliga kontroller förhindrar eller upptäcker maskopi.
Som en del av ISO 27001:2022 organisationen bör avgöra vilka uppgifter och ansvarsområden som behövs att separeras och implementera åtgärdsbara separationskontroller.
Närhelst sådana kontroller inte är möjliga, särskilt för små organisationer med ett begränsat antal anställda, kan aktivitetsövervakning, revisionsspår, och ledningstillsyn kan användas. Med hjälp av automatiserade verktyg kan större organisationer identifiera och separera roller för att förhindra att motstridiga roller tilldelas.
ISO 27001:2022:s bilaga A-kontroll 5.3 Uppdelning av uppgifter är en reviderad version av ISO 27001:2013:s bilaga A kontroll 6.1.2 Uppdelning av uppgifter.
Bilaga A 5.3 ISO 27001:2022 och bilaga A 6.1.2 ISO 27001:2013 beskriver samma grundläggande egenskaper hos kontrollen "Segregation of duties". Den senaste versionen definierar dock ett antal aktiviteter som kräver segregering under implementeringen.
Bland dessa aktiviteter finns:
a) initiera, godkänna och verkställa en förändring;
b) begära, godkänna och implementera åtkomsträttigheter;
c) designa, implementera och granska kod;
d) utveckla mjukvara och administrera produktionssystem;
e) använda och administrera applikationer;
f) använda applikationer och administrera databaser;
g) designa, granska och säkerställa informationssäkerhetskontroller.
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
| Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
| Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Flera personer är ansvariga för åtskillnaden av arbetsuppgifter i ISO 27001, till att börja med en ledande befattningshavare. Denna person ansvarar för att den initiala riskbedömning har ägt rum.
Som ett resultat av detta bör andra grupper av kvalificerade medarbetare tilldelas processer som gäller olika delar av organisationen. Ordning för att förhindra att oseriösa anställda undergräver företagets säkerhet sker vanligtvis genom att tilldela uppgifter till andra arbetsenheter och avdelningsfördelning av IT-relaterad drift och underhållsverksamhet.
Arbetsfördelningen kan inte fastställas korrekt utan en effektiv riskhantering strategi, en lämplig kontrollmiljö och ett lämpligt IT-revisionsprogram.
ISO 27001:2022 kräver bara att du uppdaterar dina ISMS-processer för att återspegla de förbättrade Annex A-kontrollerna, och om ditt team inte kan hantera detta kan ISMS.online göra det.
Utöver DPIA och andra relaterade bedömningar av personuppgifter, liksom LIA, tillhandahåller ISMS.online enkla, praktiska ramverk och mallar för informationssäkerhet.
Med ISMS.online, kan du dokumentera procedurer och checklistor för informationssäkerhetshanteringssystem för att säkerställa överensstämmelse med ISO 27001, vilket automatiserar implementeringsprocessen.
ISMS.online låter dig:
Genom att använda vår molnbaserade plattform kan du centralt hantera checklistor, interagera med kollegor och använda en omfattande uppsättning verktyg för att hjälpa din organisation att skapa och underhålla en ISMS.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
