ISO 27001:2022 Bilaga A Kontroll 8.19

Installation av programvara på operativa system

Boka en demo

företag, företag, team, och, chef, i, ett, möte

Syftet med ISO 27001:2022 bilaga A 8.19

Operativ programvara kan kategoriseras som vilken programvara som helst som företaget använder för att utföra sin verksamhet, skild från program som används för testning eller utveckling.

Det är viktigt att programvara installeras och hanteras på ett nätverk enligt stränga regler för att minimera risker, öka effektiviteten och säkra interna och externa nätverk och tjänster.

Äganderätt till bilaga A 8.19

ISO 27001: 2022 Bilaga A 8.19 behandlar tekniska koncept relaterade till underhåll och förvaltning av operativa datorsystem. Därför bör ansvaret ligga på Chef för IT, eller likvärdig.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 8.19 Överensstämmelse

För att säkerställa säkerheten för ändringar och installationer på deras nätverk bör organisationer:

  • Se till att endast personal med erforderlig utbildning och kompetens utför mjukvaruuppdateringar (enligt ISO 27001:2022 bilaga A 8.5).

  • Se till att endast körbar kod av hög kvalitet är installerad; denna kod bör vara felfri och måste ha slutfört utvecklingsprocessen med framgång.

  • Installera och uppdatera programvaran först efter att patchen eller uppdateringen har testats framgångsrikt, och organisationen är säker på att inga konflikter eller problem kommer att uppstå.

  • Håll bibliotekssystemet uppdaterat.

  • Använd en 'konfiguration kontrollsystem" för att övervaka all operativ programvara inklusive programdokumentation.

  • Före eventuella uppdateringar eller installationer, kom överens om en "återställningsstrategi" för att garantera kontinuitet i verksamheten i händelse av ett oväntat fel eller konflikt.

  • Håll ett register över alla ändringar som gjorts i operativ programvara, ge en kort översikt över uppdateringen, de personer som är inblandade och en tidsstämpel.

  • Se till att all oanvänd programvara lagras säkert och förvaras med all nödvändig dokumentation, konfigurationsfiler, systemloggar och stödjande procedurer, om det skulle behövas i framtiden.

  • Genomför stränga regler för de programvarupaket som användare kan installera, baserat på principerna om "minsta privilegium" och i linje med tillämpliga roller och ansvarsområden.

Vägledning om leverantörsprogramvara

När det kommer till leverantörslevererad programvara (t.ex. programvara som används för att köra maskiner eller för ett unikt affärssyfte), är det viktigt att upprätthålla leverantörens riktlinjer för att säkerställa att den förblir i gott skick.

Det är viktigt att vara medveten om att även i fall av externt levererad och hanterad programvara eller programvarumoduler (dvs organisationen ansvarar inte för några uppdateringar), bör åtgärder vidtas för att garantera att tredjepartsuppdateringar inte undergräver organisationens nätverksintegritet.

Organisationer bör avstå från att använda overifierad leverantörsprogramvara såvida det inte är absolut nödvändigt och komma ihåg säkerhetskonsekvenserna av att använda föråldrade program snarare än att uppgradera till nyare, säkrare system.

Om en leverantör kräver åtkomst till en organisations nätverk för att installera eller uppdatera något, bör aktiviteten övervakas och auktoriseras enligt ISO 27001:2022 Annex A 5.22.

Kompletterande vägledning om bilaga A 8.19

Programvaran bör uppgraderas, installeras och korrigeras i linje med organisationens rutiner för förändringshantering, för att garantera överensstämmelse med resten av verksamheten.

Närhelst en patch identifieras som helt utrotar en sårbarhet (eller grupp av sårbarheter) eller hjälper till på något sätt för att förbättra organisationens informationssäkerhet processer bör sådana ändringar vanligtvis tillämpas (även om det fortfarande är nödvändigt att undersöka sådana förändringar på individuell basis).

Organisationer bör vid behov använda den senaste, aktivt underhållna versionen av programvara med öppen källkod. De bör också ta hänsyn till alla risker som är förknippade med att använda ounderhållen programvara i sin verksamhet.

Bifogade kontroller i bilaga A

  • ISO 27001:2022 bilaga A 5.22

  • ISO 27001:2022 bilaga A 8.5

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 Annex A 8.19 ersätter ISO 27001:2013 Annex A 12.5.1 (Programvaruinstallation på operativa system) och 12.6.2 (Begränsningar för programvaruinstallation) i den reviderade 2022-standarden.

ISO 27001:2022 Annex A 8.19 kombinerar de flesta av riktlinjerna i ISO 27001:2013 Annex A 12.5.1 och 12.6.2, med några nyckelbegrepp utarbetade och nya styrande principer tillagda:

  • Underhålla och hantera ett bibliotekssystem.

  • Regler som styr användningen av programvara med öppen källkod.

  • Säkerställ noggrann logisk övervakning av installation och underhåll av programvara från leverantören.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.online tillhandahåller en heltäckande lösning för implementering av ISO 27001:2022. Detta webbaserade system underlättar att visa att din ledningssystem för informationssäkerhet är kompatibel med de godkända standarderna genom användning av strömlinjeformade processer, procedurer och checklistor.

Denna plattformen gör inte bara implementeringen av ISO 27001 enkel men det fungerar också som en utmärkt resurs för att utbilda personal i bästa praxis och processer i relation till informationssäkerhet, samt för att registrera alla ansträngningar.

Fördelarna med att använda ISMS.online är många:

  • Denna plattform är användarvänlig och kan nås från vilken enhet som helst.

  • Det är lätt att justera för att passa dina behov.

  • Anpassa arbetsflöden och processer för att passa dina affärskrav.

  • Verktyg som gör det möjligt för ny personal att bli duktig snabbare.

  • Ett bibliotek med malldokument finns till hands, inklusive policyer, procedurer, planer och checklistor.

Kontakta oss nu för att arrangera en demonstration.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Metod med säkrade resultat
100 % ISO 27001 framgång

Din enkla, praktiska, tidsbesparande väg till första gången ISO 27001 efterlevnad eller certifiering

Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer