- Se ISO 27002:2022 Kontroll 5.35 för mer information.
- Se ISO 27001:2013 bilaga A 18.2.1 för mer information.
Kontroll 5.35 Förklarat: Genomföra oberoende granskningar av informationssäkerhet
Informationssäkerhet är en grundläggande komponent i en organisations policy för datahantering.
Det är viktigt att företag ser till att deras data är säkra, eftersom detta är en nyckelfaktor för att undvika obehagliga konsekvenser. Att se till att informationen är säker och säker hjälper till att förhindra potentiella problem.
Det är absolut nödvändigt att undvika varje känsla av självbelåtenhet, och därför måste regelbundna oberoende granskningar genomföras för att bedöma organisationens hantering av de människor, processer och tekniker som är involverade i att upprätthålla en framgångsrik informationssäkerhetsoperation.
Syftet med ISO 27001:2022 bilaga A 5.35
Organisationer bör genomföra oberoende granskningar med planerade intervaller och när större operativa förändringar inträffar, för att garantera att deras policy för informationssäkerhetshantering förblir intakt, enligt ISO 27001:2022 bilaga A Kontroll 5.35 för att säkerställa att:
- De har förmågan att uppfylla adekvata krav.
- De strävar efter att uppnå rätt mål.
- Deras prestation är effektiv; de fungerar som de är designade.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Äganderätt till bilaga A 5.35
ISO 27001: 2022 Bilaga A Kontroll 5.35 fokuserar främst på operativa angelägenheter, så ägandet bör innehas av Chief Operating Officer (COO) or Chief Information Security Officer (CISO) om någon är närvarande.
Allmän vägledning om ISO 27001:2022 bilaga A 5.35
Målet för ledningen är att utforma och utföra procedurer som möjliggör separata granskningar av deras informationssäkerhetspraxis.
Granskningar bör fokusera på att identifiera områden för förbättringar i en organisations strategi för informationssäkerhet, inklusive:
- Informationssäkerhetspolicy.
- Policyer skräddarsydda för specifika ämnen.
- Tillhörande kontroller.
En person utanför organisationen utan personligt intresse i frågan bör göra en granskning. Detta kan vara någon inom organisationen eller en oberoende tredje part, till exempel:
- Internrevisorer ansvarar för att bedöma effektiviteten av ett företags interna kontrollsystem och rutiner.
- Oberoende avdelningschefer.
- Tredjepartsorganisationer kan anlitas för att tillhandahålla tjänster.
Den som genomför granskningen bör ha den nödvändiga operativa kompetensen för att göra en giltig bedömning av sina resultat. När det gäller intern personal bör deras arbetsroll inte hindra dem från att leverera en berättigad och giltig bedömning.
Granskningens resultat bör noggrant loggas, behållas och rapporteras till de chefer som begärde det, och i vissa fall till personal eller ägare på C-nivå.
Granskare bör bedöma huruvida informationssäkerhetspraxis är förenlig med organisationens fastställda mål och krav, som beskrivs i informationssäkerhetspolicyn och eventuella ämnesspecifika policyer.
Periodiska granskningar kan kompletteras med ad hoc. Fem skäl för sådana recensioner kan identifieras:
- Eventuella ändringar i lagar, riktlinjer eller föreskrifter som påverkar organisationens informationssäkerhetsverksamhet ska följas.
- Betydande händelser som påverkar informationssäkerheten, såsom dataförlust och intrång, uppstår.
- En ny satsning etableras eller större omvandlingar görs i den befintliga verksamheten.
- Företaget tar över en ny produkt eller tjänst som har informationssäkerhetsimplikationer eller förändrar en befintlig produkt eller tjänst.
- Betydande förändringar utförs i organisationens bank av informationssäkerhetskontroller, regelverk och processer.
Kompletterande vägledning om bilaga A 5.35
ISO/IEC 27007 och ISO/IEC TS 27008 ger ytterligare råd om att utföra oberoende granskningar.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 5.35 ersätter ISO 27001:2013 Bilaga A 18.1.2 (Oberoende granskning av informationssäkerhet).
ISO 27001:2022 Annex A 5.35 erbjuder samma allmänna instruktioner som ISO 27001:2013 Annex A 18.1.2, men går utöver det för att ge specifika exempel på när en organisation bör göra ad-hoc-bedömningar utöver sina regelbundna granskningar.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.
ISO 27001:2022 Organisationskontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
ISO 27001:2022 Personkontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
ISO 27001:2022 Fysiska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
ISO 27001:2022 Tekniska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
| Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Fallstudier
MIRACL förvandlar förtroende till en konkurrensfördel med ISO 27001-certifiering
Läs fallstudie
Fallstudier
Xergys verktyg Proteus genererar tillväxt genom ISO 27001-efterlevnad med hjälp av ISMS.online
Läs fallstudieHur ISMS.online Hjälp
ISMS.online förenklar och accelererar implementeringen av ISO 27001:2022 genom sin molnbaserad plattform. Det erbjuder ett sofistikerat ramverk för inspelning ledningssystem för informationssäkerhet rutiner och checklistor för att garantera efterlevnad av accepterade standarder.
Genom att använda ISMS.online kan du:
- Få tillgång till ett omfattande bibliotek med ISO 27001-standarder och riktlinjer;
- Skapa en detaljerad rapport över ditt företags nuvarande säkerhetsstatus;
- Designa och implementera ett säkerhetsledningssystem som möter ditt företags behov;
- Övervaka och se över dina säkerhetssystem löpande.
Kontakta oss nu för att arrangera en demonstration.
Hoppa till ämnet
