ISO 27001:2022, bilaga A kontroll 5.4, ledningsansvar täcker ledningens behov av att säkerställa att all personal håller sig till alla ämnesspecifika policyer för informationssäkerhet och förfaranden som definieras i organisationens fastställda informationssäkerhetspolicy.
Anställda och entreprenörer bör vara medvetna om och uppfylla sina informationssäkerhetsansvar enligt beskrivningen i denna bilaga.
Bilaga A Kontroll 5.4 beskriver hur anställda och entreprenörer tillämpar informationssäkerhet enligt organisationens policyer och rutiner.
De ansvarsområden som läggs på chefer bör innefatta krav på att:
Det är chefers ansvar att se till att säkerhetsmedvetenhet och samvetsgrannhet genomsyrar hela organisationen och att skapa en lämplig "säkerhetskultur".
An informationssäkerhetspolicy är ett formellt dokument som ger ledningsriktning, mål och principer för att skydda en organisations information. För att säkerställa tilldelningen av resurser på lämpligt sätt måste en effektiv informationssäkerhetspolicy skräddarsys för en organisations specifika behov och stödjas av ledningen.
Den anger hur företaget ska skydda sitt informationstillgångar och hur anställda ska hantera känsliga uppgifter.
bro informationssäkerhetspolicyer utvecklas av högsta ledningen i samarbete med IT-säkerhetspersonal och härleds från lagar, förordningar och bästa praxis.
Ett ramverk för att definiera roller och ansvar och en översynsperiod bör också inkluderas i policyerna.
Bilaga A Kontroll 5.4 syftar till att säkerställa att ledningen är medveten om sitt ansvar för informationssäkerhet.
Det tar åtgärder för att säkerställa att alla anställda är medvetna om detta ansvar.
Information är en värdefull tillgång som måste skyddas mot förlust, skada eller missbruk. Ledningen måste säkerställa att lämpliga åtgärder vidtas för att skydda denna tillgång. För att uppnå detta måste ledningen se till att all personal följer organisationens policy för informationssäkerhet, aktuella policyer och procedurer.
Kontroll 5.4 i bilaga A definierar ledningsansvar avseende informationssäkerhet i en organisation utifrån ISO 27001:s ramverk.
Ledningen måste vara med på informationssäkerhetsprogrammet och alla anställda och entreprenörer måste känna till informationssäkerhetspolicyn och följa den. Säkerhetspolicyer, ämnesspecifika policyer och procedurer bör aldrig undantas från obligatorisk efterlevnad av någon anställd eller entreprenör.
En organisations policyer, standarder och procedurer för informationssäkerhet måste efterlevas av ledningen för att följa denna bilaga A-kontroll.
Att få ledningens stöd och buy-in är det första steget.
För att visa engagemang måste ledningen följa alla dess policyer och rutiner. Till exempel om utbildning i säkerhetsmedvetenhet krävs årligen, bör chefer genomföra dessa kurser själva.
Oavsett befattning måste alla i företaget vara medvetna om vikten av informationssäkerhet. Som det står i företagets ISMS-program måste alla förstå sin roll i att upprätthålla säkerheten för känsliga uppgifter. Detta inkluderar styrelsen, chefer och chefer samt anställda.
ISO 27001:2022 bilaga A 5.4 Ledningsansvar var tidigare känt som Kontroll 7.2.1 Ledningsansvar. Det är inte en nyligen tillagd kontroll utan en mer robust tolkning av motsvarande kontroll i ISO 27001: 2013.
Det finns några skillnader mellan bilaga A, kontroll 5.4 och kontroll 7.2.1. Dessa skillnader finns dokumenterade i implementeringsvägledningen för båda.
Det är ledningens ansvar att se till att anställda och entreprenörer följer följande standarder:
En organisation måste:
Ledningen bör stödja informationssäkerhetspolicyer, procedurer och kontroller i bilaga A.
Kontroll 5.4 i bilaga A är mer användarvänlig och kräver att ledningen ser till att anställda och entreprenörer följer följande riktlinjer:
A) Informeras om deras ansvar och roller inom informationssäkerhet innan tillgång ges till organisationens information.
B) Ta emot riktlinjer som anger den förväntade nivån av informationssäkerhet i deras specifika roller.
C) Uppfylla organisationens informationssäkerhetspolicy och ämnesspecifika policyer.
D) Bli medveten om deras roll och ansvar när det gäller informationssäkerhet.
E) Efterlevnad av arbetsplatsregler, inklusive organisationens datasäkerhetspolicy och arbetssätt.
F) Fortlöpande utbilda dig om kunskaper och kvalifikationer inom informationssäkerhet.
G) I fall av överträdelser av informationssäkerhetspolicyer, ämnesspecifika policyer eller procedurer ("whistleblowing") bör anställda ges en konfidentiell kommunikationskanal. En anonym rapporteringsmöjlighet eller bestämmelser som säkerställer att rapporterarens identitet är känd endast för dem som behöver hantera dessa rapporter är möjliga.
H) Säkerställ tillräckliga resurser och tid för projektplanering för att implementera säkerhetsrelaterade processer och bilaga A-kontroller.
Smakämnen ISO 27001:2022-standarden kräver uttryckligen att arbetare och entreprenörer har tillgång till nödvändiga resurser och projektplaneringstid för att implementera säkerhetsrelaterade procedurer och kontroller.
ISO 27001:2013 och ISO 27001:2022 använder olika formuleringar för vissa implementeringsriktlinjer. Till exempel anger riktlinje C från 2013 att anställda och entreprenörer ska vara "motiverade" att anta ISMS-policyer; 2022 används dock ordet "mandat".
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 Bilaga A Kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
| Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
| Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Enkelt uttryckt ser ett företags ledning till att ett ISMS (Informationssäkerhetshanteringssystem) är på plats.
En informationssäkerhetschef som är kvalificerad, erfaren och ansvarig för att utveckla, implementera, hantera och kontinuerligt förbättra ISMS bör utses.
Vid implementering av en ISO 27001-justerat ISMS, är en viktig utmaning att hålla reda på dina informationssäkerhetskontroller. Vårt system gör denna process enkel.
Vårt team förstår vikten av att skydda din organisations data och rykte. Följaktligen förenklar vår molnbaserade plattform implementering av ISO 27001, gör att du kan etablera ett robust ramverk för informationssäkerhetskontroller och hjälper dig att snabbt och enkelt uppnå certifiering.
Använda ISMS.online, kan du snabbt få ISO 27001-certifiering och hantera den i efterhand. Vår plattform har olika användarvänliga funktioner och verktygssatser som sparar tid och säkerställer att du skapar ett robust ISMS.
Kontakta oss idag för att schema en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
