ISO 27001:2022 Annex A 6.7, Remote Working ger vägledning om hur organisationer bör ha en policy på plats för att säkerställa säker åtkomst till informationssystem och nätverk när de arbetar på distans. Den rekommenderar vidare genomförandet av en ledningssystem för informationssäkerhet som inkluderar procedurer för att skydda fjärråtkomst.
Distansarbete har blivit en mer utbredd trend, eftersom tekniken har utvecklats för att göra det möjligt för anställda att arbeta på distans utan att påverka produktiviteten och effektiviteten. Icke desto mindre kommer detta med risk för datasäkerhetsproblem.
Som företagare är det nödvändigt att skydda immateriella rättigheter från cyberbrottslingar och säkerställa datasäkerheten mot hackare. Genom att vidta åtgärder kan man skydda sig mot cyberbrottslighet och garantera informationssäkerheten.
Fjärrarbete kan innebära en rad säkerhetsrisker som måste åtgärdas, till exempel:
Fjärrarbete kan vara fördelaktigt och ge större tillgång till konfidentiella data och system. Ändå kommer det med flera säkerhetsöverväganden.
Fjärrarbete, om det inte övervakas på rätt sätt, kan vara sårbart för säkerhetsproblem som hackning, skadlig programvara, obehörig åtkomst och mer. Detta är särskilt fallet om anställda inte är närvarande i en säker miljö.
Distansarbete kan också ha en effekt på ett företags fysisk säkerhet. Eftersom personal inte längre är närvarande på kontoret eller en byggnad kan de kanske inte upptäcka några misstänkta aktiviteter.
Distansarbete kan utgöra en risk för sekretessen. Till exempel kan anställda få tillgång till konfidentiell information utan tillstånd från företaget.
Anställda kan enkelt få tillgång till konfidentiell företagsdata från den offentliga webben. Dessutom finns det till och med webbplatser där personal kan ladda upp konfidentiell information för allmänheten.
Distansarbete kan ha en effekt på en organisations integritet. Till exempel, om personal arbetar hemifrån, kan de vara mer benägna att inte lägga undan sina personliga tillhörigheter.
Den här egenskapen kan innehålla konfidentiell information som kan äventyra ett företags integritet.
Fjärrarbete kan utgöra en fara för ett företags data. Anställda kan till exempel få tillgång till företagsinformation på distans, och denna data kan lagras på flera platser.
Om anställda lämnar arbetsplatsen och tar med sig sin enhet, hämtning av data lagrad på datorer, servrar och Mobil enheter kan visa sig vara mer utmanande.
Arbetaren kan göra fel eller agera i ond tro med enheten och riskera datasäkerheten.
Syftet med ISO 27001:2022 bilaga A 6.7 är att garantera att personal på distans har de nödvändiga åtkomstkontrollerna på plats för att skydda konfidentialitet, integritet och tillgänglighet av konfidentiell eller proprietär information, procedurer och system från obehörig åtkomst eller avslöjande av obehöriga personer.
Organisationer måste säkerställa informationssäkerheten när personal arbetar på distans. Därför bör de utfärda en skräddarsydd policy för distansarbete som anger tillämpliga villkor och gränser för datasäkerhet. Denna policy bör spridas till all personal, inklusive instruktioner om hur man använder fjärråtkomsttekniker säkert och säkert.
Denna policy kommer sannolikt att ta itu med:
Det är viktigt att fastställa en tydlig system för att rapportera incidenter, inklusive rätt kontaktinformation. Detta kan hjälpa till att förhindra säkerhetsintrång eller andra incidenter.
Policyn bör också omfatta kryptering, brandväggar, uppdateringar av antivirusprogram och anställdas instruktioner om hur man säkert använder fjärranslutningar.
För att följa bilaga A 6.7 bör organisationer som erbjuder distansarbete utfärda en policy för distansarbete som specificerar relaterade regler och begränsningar.
Policyn bör utvärderas regelbundet, särskilt när teknik eller lagstiftning förändras.
All personal, entreprenörer och enheter som är involverade i distansarbete bör informeras om policyn.
Policyn bör dokumenteras, göras tillgänglig för intressenter, såsom tillsynsmyndigheter och revisorer, och hållas uppdaterad.
Organisationer måste se till att de har nödvändiga skyddsåtgärder för att säkra känslig eller konfidentiell information som överförs eller lagras elektroniskt under fjärroperationer.
I enlighet med bilaga A 6.7 bör följande beaktas:
Riktlinjer och åtgärder som ska beaktas bör omfatta:
ISO 27001:2022 Annex A 6.7 är en anpassning av Annex A 6.2.2 från ISO 27001:2013 och inte ett nytt element.
ISO 27001:2022 bilaga A 6.7 och 6.2.2 delar många likheter, även om nomenklaturen och formuleringen skiljer sig åt. I ISO 27001:2013 kallas 6.2.2 för distansarbete, medan 6.7 kallas för distansarbete. Denna förändring återspeglas i den nya versionen av standarden, som ersätter distansarbete med distansarbete.
I bilaga A 6.7 till ISO 27001:2022 beskriver standarden vad som kvalificeras som distansarbete, inklusive distansarbete – det ursprungliga kontrollnamnet i ISO 27001:2013-versionen.
Version 2022 av implementeringsriktlinjerna är i stort sett lika, även om språket och termerna skiljer sig åt. För att garantera att användarna av standarden förstår används ett användarvänligt språk.
Vissa tillägg gjordes i bilaga A 6.7, och några strykningar gjordes i 6.2.2.
ISO 27001:2022 ger uttalanden om syfte och attributtabeller för varje kontroll, vilket hjälper användarna att förstå och omsätta kontrollerna mer effektivt.
ISO 27001:2013-versionen saknar dessa två komponenter.
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Den primära uppgiften att utforma en informationssäkerhetspolicy för distansanställda ligger hos organisationens informationssäkerhetsansvarige. Ändå bör även andra intressenter involveras i processen.
IT- och HR-chefer är gemensamt ansvariga för att policyn implementeras och upprätthålls och att medarbetarna förstår och följer den.
Om du har ett leverantörshanteringsprogram är det troligt att den person som ansvarar för att hantera entreprenörer och leverantörer kommer att ansvara för att utforma en säkerhetspolicy för externa anställda på den avdelningen.
ISO 27001:2022 förblir i stort sett oförändrad; Därför behöver du helt enkelt se till att dina informationssäkerhetsprocesser följer den nya versionen.
Att ändra vissa kontroller och förtydliga vissa krav var den viktigaste förändringen. Bilaga A 6.7 hade den mest betydande effekten – om man lägger ut verksamhet eller anställer personer på distans måste man se till att de har lämpliga säkerhetsåtgärder.
Om din organisation redan har en ISO 27001-certifiering, kommer processen du använder för att hantera informationssäkerhet att uppfylla de nya reglerna.
Om du vill förnya din ISO 27001 certifiering behöver du inte vidta några åtgärder. Se bara till att dina rutiner fortfarande överensstämmer med den nya standarden.
Om du börjar från början är det nödvändigt att överväga hur du ska skydda ditt företags data och information mot cyberattacker och andra risker.
Det är viktigt att ta cyberrisker på allvar och hantera dem som en del av den övergripande affärsplanen, snarare än att bara betrakta dem som ett problem för IT- eller säkerhetsavdelningar.
Smakämnen ISMS.online-plattform hjälper till med varje aspekt av ISO 27001:2022-implementeringen, från att utföra riskbedömningsaktiviteter till att utforma policyer, procedurer och direktiv för att uppfylla standardens specifikationer.
ISMS.online tillhandahåller en plattform för att dokumentera och dela resultat med kollegor. Dessutom gör det att du kan generera och lagra checklistor över alla nödvändiga uppgifter för implementering av ISO 27001, vilket gör att du enkelt kan övervaka din organisations säkerhetsåtgärder.
Vi förser organisationer med en uppsättning automatiserade verktyg för att göra det enkelt att demonstrera överensstämmelse med ISO 27001.
Kontakta oss nu för att boka en demonstration.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo