ISO 27001:2022 Bilaga A Kontroll 8.1

Användarens slutpunktsenheter

Boka en demo

fokuserad,grupp,mångsidig,arbete,kollegor,ha,ett,möte,tillsammans

Övergången till fjärrarbete och det ökade beroendet av mobila enheter har varit fördelaktigt för de anställdas produktivitet och kostnadsbesparingar för organisationer. Tyvärr är användarslutpunkter som bärbara datorer, mobiltelefoner och surfplattor mottagliga för cyberhot. Cyberkriminella utnyttjar ofta dessa enheter för att få olaglig tillgång till företagsnätverk och äventyra konfidentiell information.

Cyberbrottslingar kan försöka rikta in sig på anställda med nätfiske och övertala dem att ladda ner en bifogad fil som är infekterad med skadlig programvara, som kan användas för att sprida skadlig programvara i företagets nätverk. Detta kan leda till förlust av tillgänglighet, integritet eller konfidentialitet för informationstillgångar.

A undersökning av 700 IT-proffs avslöjade att 70 % av organisationerna upplevde ett intrång i sina informationstillgångar och IT-infrastruktur på grund av en attack på användarenheter 2020.

ISO 27001: 2022 Bilaga A Kontroll 8.1 beskriver steg som organisationer kan vidta för att säkerställa att deras informationstillgångar som lagras eller bearbetas på användarens slutpunktsenheter är skyddade från kompromiss, förlust eller stöld. Detta inkluderar att upprätta, underhålla och implementera relevanta policyer, procedurer och tekniska åtgärder.

Syftet med ISO 27001:2022 bilaga A 8.1

ISO 27001: 2022 Bilaga A 8.1 tillåter företag att skydda och upprätthålla säkerhet, konfidentialitet, integritet och tillgänglighet för informationstillgångar som lagras på eller är tillgängliga från slutpunktsanvändarenheter. Detta uppnås genom att upprätta lämpliga policyer, rutiner och kontroller.

Äganderätt till bilaga A 8.1

Smakämnen Chef för informationssäkerhet bör ta ansvar för att säkerställa överensstämmelse med kraven i ISO 27001:2022 bilaga A Kontroll 8.1, vilket kräver skapandet och underhållet av organisationsomfattande policy, procedurer och tekniska åtgärder.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 8.1 Överensstämmelse

Organisationer måste, enligt ISO 27001:2022 Annex Al 8.1, skapa en policy som täcker säker konfiguration och användning av användarens slutpunktsenheter.

Personalen måste göras medveten om denna policy, som omfattar:

  • Vilken typ av data, särskilt när det gäller säkerhetsnivå, kan bearbetas, sparas eller användas i användarens slutpunkter?

  • Enheter måste registreras.

  • Fysiskt skydd av enheter är obligatoriskt.

  • Det är förbjudet att installera program på enheter.

  • Regler för installation av programvara på enheter och uppdatering av programvara måste följas.

  • Reglerna som styr anslutningen av användarens slutpunktsenheter till det offentliga nätverket eller till nätverk som är belägna utanför platsen.

  • Åtkomstkontroller.

  • De lagringsmedier som innehåller informationstillgångar måste vara krypterade.

  • Enheter ska skyddas mot intrång av skadlig programvara.

  • Enheter kan inaktiveras eller blockeras från användning, och data som lagras i dem kan raderas på distans.

  • Back-up planer och protokoll bör finnas på plats.

  • Regler för användning av webbapplikationer och tjänster.

  • Analysera slutanvändarnas beteende för att få insikter i hur de interagerar med systemet.

  • Flyttbara lagringsmedia, såsom USB-enheter, kan användas med stor effekt. Dessutom kan fysiska portar, t.ex. USB-portar, inaktiveras.

  • Segregationsfunktioner kan användas för att hålla organisationens informationstillgångar åtskilda från andra tillgångar som sparats på användarenheten.

Organisationer bör tänka på att förbjuda lagring av känsliga data på användarens slutpunktsenheter via tekniska kontroller, enligt den allmänna råden.

Inaktivering av lokala lagringsfunktioner som SD-kort kan vara en av de tekniska kontrollerna som används.

Organisationer bör implementera Configuration Management som beskrivs i ISO 27001:2022 Annex A Control 8.9 och använda automatiserade verktyg.

Kompletterande vägledning om användaransvar

Personalen bör informeras om säkerheten åtgärder för användarens slutpunktsenheter och deras skyldigheter att följa dem. Dessutom bör de förstå sin roll i genomförandet av dessa åtgärder och procedurer.

Organisationer bör instruera personalen att följa följande regler och processer:

  • När en tjänst inte längre behövs eller en session har avslutats ska användare logga ut och avsluta tjänsten.

  • Personal bör inte lämna sina enheter utan tillsyn. När den inte används ska personalen säkerställa säkerheten av sina enheter genom att använda fysiska åtgärder som nyckellås och tekniska åtgärder som starka lösenord.

  • Personal bör iaktta extra försiktighet när de använder slutpunktsenheter som innehåller konfidentiell data på offentliga platser som saknar säkerhet.

  • Användarens slutpunktsenheter måste skyddas mot stöld, särskilt på farliga platser som hotellrum, mötesrum eller kollektivtrafik.

Organisationer bör utforma ett speciellt system för att hantera förlust eller stöld av användarens slutpunktsenheter. Detta system måste konstrueras med hänsyn till juridiska, avtalsmässiga och säkerhetsmässiga behov.

Kompletterande vägledning om användning av personliga enheter (BYOD)

Att tillåta personal att använda sina egna enheter för arbetsrelaterade aktiviteter kan spara pengar för organisationer, men det utsätter konfidentiell data för potentiella risker.

ISO 27001:2022 bilaga A 8.1 föreslår fem saker för organisationer att ta hänsyn till när de tillåter personal att använda sina personliga enheter för arbetsrelaterade aktiviteter:

  1. Tekniska åtgärder såsom mjukvaruverktyg bör införas för att separera personlig och affärsmässig användning av enheter, för att skydda organisationens information.

  2. Personal kan ha tillgång till sin egen enhet under förutsättning att de samtycker till följande:

    • Personalen erkänner sin plikt att fysiskt skydda enheter och uppfylla viktiga programuppdateringar.

    • Personalen samtycker till att inte hävda några äganderätter över företagets data.

    • Personalen håller med om att data i enheten kan raderas på distans om den försvinner eller blir stulen, i enlighet med juridiska riktlinjer för personlig information.

  3. Sätt upp riktlinjer för rättigheter till immateriella rättigheter som genereras med hjälp av användarens slutpunktsprylar.

  4. När det gäller de lagstadgade begränsningarna för sådan åtkomst, hur personalens privata enheter kommer att nås.

  5. Att tillåta personal att använda sina individuella prylar kan medföra juridiskt ansvar som orsakas av tillämpningen av programvara från tredje part på dessa prylar. Företag bör reflektera över de programvarulicensavtal de har med sina leverantörer.

Kompletterande vägledning om trådlösa anslutningar

Organisationer bör skapa och upprätthålla metoder för:

  • Konfigurering av de trådlösa anslutningarna på enheterna bör göras med försiktighet. Se till att varje anslutning är säker och pålitlig.

  • Trådlösa eller trådbundna anslutningar, med bandbredd för att följa ämnesspecifika policyer, måste användas.

Ytterligare vägledning om bilaga A 8.1

När anställda tar ut sina slutpunktsenheter ur organisationen kan data som lagras på dem löpa större risk att äventyras. Följaktligen måste organisationer implementera olika skyddsåtgärder för enheter som används utanför deras lokaler.

ISO 27001:2022 bilaga A 8.1 varnar organisationer för två risker förknippade med trådlösa anslutningar som kan leda till förlust av data:

  1. Trådlösa anslutningar med begränsad kapacitet kan leda till att säkerhetskopieringen av data går sönder.

  2. Användarslutpunkter kan ibland tappa anslutningen till det trådlösa nätverket och schemalagda säkerhetskopieringar kan vackla. För att säkerställa datasäkerhet och tillförlitlighet bör regelbundna säkerhetskopieringar göras och anslutningen till det trådlösa nätverket bör övervakas regelbundet.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.1 ersätter ISO 27001:2013 bilaga A 6.2.1 och bilaga A 12.2.8 i den reviderade 2022 års standard.

Strukturella skillnader

Till skillnad från ISO 27001:2022 som har en enda kontroll som täcker användarens slutpunktsenheter (8.1), innehöll ISO 27001:2013 två separata kontroller: policy för mobila enheter (bilaga A, kontroll 6.2.1) och obevakad användarutrustning (kontroll 11.2.8) ).

Medan ISO 27001:2022 bilaga A Kontroll 8.1 täcker alla användarens slutpunktsenheter som bärbara datorer, surfplattor och mobiltelefoner, riktade 2013-versionen endast till mobila enheter.

ISO 27001:2022 föreskriver ytterligare krav på användaransvar

Båda versionerna av avtalet kräver en viss nivå av personligt ansvar från användarna; 2022-versionen har dock ett extra krav:

  • Personal bör iaktta extra försiktighet när de använder endpoint-enheter som innehåller känsliga uppgifter i offentliga utrymmen som kan vara osäkra.

ISO 27001:2022 är mer omfattande när det gäller BYOD

Jämfört med 2013 introducerar bilaga A 8.1 2022 tre nya krav för BYOD (Bring Your Own Device)-användning av personal:

  1. Det är nödvändigt att upprätta policyer rörande immateriella rättigheter för skapelser gjorda med användarens slutpunktsenheter. Sådan policy måste vara korrekt och tydlig och säkerställa att alla relevanta parter erkänner sina rättigheter och skyldigheter.

  2. Med tanke på de juridiska begränsningarna för åtkomst till personalens privata enheter, hur kommer detta att hanteras?

  3. Att tillåta personal att använda sina egna enheter kan resultera i juridiskt ansvar på grund av användningen av programvara från tredje part på dessa enheter. Organisationer bör tänka på de programvarulicensavtal som de har med sina leverantörer.

ISO 27001:2022 kräver en mer detaljerad ämnesspecifik policy

I jämförelse med ISO 27001:2013 måste organisationer nu implementera en policy som är specifik för varje ämne på användarenheter.

ISO 27001:2022 bilaga A 8.1 är mer omfattande och innehåller tre nya element som ska inkluderas:

  1. Analys av slutanvändarnas beteende gjordes.

  2. USB-enheter är ett utmärkt sätt att överföra data, och fysiska USB-portar kan inaktiveras för att förhindra sådana överföringar.

  3. Segregering av organisationens informationstillgångar kan uppnås genom att dra nytta av tekniska möjligheter. Detta gör att tillgångarna kan separeras från andra tillgångar som lagras på användarenheten.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.online är mjukvaran för ISO 27001:2022 för ledningssystem. Det underlättar efterlevnaden av standarden och hjälper organisationer att anpassa sina säkerhetspolicyer och rutiner.

Denna molnbaserad plattform erbjuder ett komplett utbud av verktyg för att hjälpa företag att skapa ett ISMS (Information Security Management System) som följer ISO 27001.

Kontakta oss nu för att arrangera en demonstration.

Vi kände att vi hade
det bästa av båda världar. Vi var
kunna använda vår
befintliga processer,
& Adoptera, Anpassa
innehåll gav oss nytt
djup till vårt ISMS.

Andrew Bud
Grundare, iproov

Boka din demo

Säg hej till ISO 27001 framgång

Få 81 % av arbetet gjort åt dig och bli certifierad snabbare med ISMS.online

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer