ISO 27001:2022 Bilaga A Kontroll 8.20

Nätverkssäkerhet

Boka en demo

botten,vy,av,moderna,skyskrapor,i,affärer,distrikt,mot,blått

Nätverkssäkerhet är en kritisk komponent i en organisations informationssäkerhet strategi.

Det måste hanteras med omsorg och noggrannhet för att säkerställa säkerheten för all data.

ISO 27001:2022 Annex A 8.20 är en uppsättning omfattande protokoll som täcker nätverkssäkerhet som ett styrande koncept i alla dess former. Den bygger på vägledning från många viktiga informationssäkerhetskontroller från ISO 27001: 2022.

Syftet med ISO 27001:2022 bilaga A 8.20

ISO 27001:2022 Annex A 8.20 är en förebyggande och detektivkontroll som håller riskerna borta genom att implementera kontroller som säkrar en organisations IKT-nätverk uppifrån och ner. Detta görs genom att se till att nätverksaktiviteten loggas, uppdelas i fack och görs av auktoriserad personal.

Äganderätt till bilaga A 8.20

Bilaga A 8.20 täcker mer än bara den dagliga driften av back-end-nätverk, underhåll och diagnostiska verktyg och procedurer. Äganderätten till denna kontroll bör hänföras till organisationens Chief Information Security Officer (CISO) eller liknande.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 8.20 Överensstämmelse

Bilaga A 8.20 betonar två grundläggande aspekter av nätverkssäkerhet i sin allmänna vägledning:

  1. Att säkerställa informationssäkerhet är en högsta prioritet.

  2. Skydd mot obehörig åtkomst (särskilt när det handlar om länkade tjänster) är viktigt.

Bilaga A 8.20 kräver att organisationer uppnår sina två syften (ovan) genom att utföra följande:

  • Organisera data över ett nätverk baserat på typ och kategorisering för effektiv hantering och underhåll.

  • Se till att personal med dokumenterade jobbroller och ansvar underhåller nätverksutrustning.

  • Underhåll senaste data, inklusive versionskontrollerade dokument, på LAN- och WAN-nätverksdiagram och firmware/konfigurationsfiler för kritisk nätverksutrustning som routrar, brandväggar, åtkomstpunkter och switchar.

  • Skilja ansvar för organisationens nätverk från ordinarie IKT-system och applikationsdrift (enligt ISO 27001:2022 Annex A 5.3), inklusive uppdelningen av administrativ trafik från normal nätverkstrafik.

  • Säkerställ säker lagring och överföring av data över alla tillämpliga nätverk (inklusive de från tredje part) och se till att alla anslutna applikationer fungerar korrekt (se ISO 27001:2022 bilaga A 5.22, 8.24, 5.14 och 6.6).

  • Håll koll på och observera alla aktiviteter som påverkar den övergripande informationssäkerheten över hela nätverket, eller inom enskilda komponenter (se ISO 27001:2022 Annex A 8.16 och 8.15).

  • Samordna nätverkshanteringen för att passa in i företagets vanliga affärsprocesser. Säkerställ noggrannhet och effektivitet för att nå målen.

  • Se till att alla system och applikationer som kräver användning är autentiserade före drift.

  • Filtrera all trafik som passerar genom nätverket genom att ställa in en sekvens av föreskrifter, principer för innehållsfiltrering och dataföreskrifter.

  • Se till att all utrustning som ansluts till nätverket är synlig, äkta och kan hanteras av IKT-personal.

  • Behåll förmågan att separera viktiga affärsundernätverk i händelse av en säkerhetsincident.

  • Tillfälligt stoppa eller inaktivera nätverksprotokoll som har brutits eller blivit opålitliga eller svaga.

Bifogade kontroller i bilaga A

  • ISO 27001:2022 bilaga A 5.14

  • ISO 27001:2022 bilaga A 5.22

  • ISO 27001:2022 bilaga A 5.3

  • ISO 27001:2022 bilaga A 6.6

  • ISO 27001:2022 bilaga A 8.15

  • ISO 27001:2022 bilaga A 8.16

  • ISO 27001:2022 bilaga A 8.24

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.20 ersätter ISO 27001:2013 bilaga A 13.1.1 (Nätverkskontroller) i den reviderade 2022-standarden.

Bilaga A 8.20 kräver ett grundligt tillvägagångssätt för nätverkssäkerhet, och erbjuder flera viktiga råd för att täcka element som:

  • Isolera undernätverk.

  • Underhålla synliga enheter.

  • Firmware-poster.

  • Filtrera trafik.

  • Avbryta protokoll.

  • Kategorisering av nätverksinformation.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

Smakämnen ISMS.online-plattform hjälper till i alla skeden av ISO 27001:2022-implementeringen, från att utföra riskbedömningsaktiviteter till att utforma policyer, procedurer och instruktioner för att uppfylla standardens specifikationer.

ISMS.online erbjuder en metod för att dokumentera upptäckter och dela dem med teammedlemmar online. Dessutom ger det möjlighet att generera och spara checklistor för alla aktiviteter relaterade till ISO 27001, så att du enkelt kan övervaka utvecklingen av din organisations säkerhetssystem.

ISMS.online förenklar processen att demonstrera efterlevnad av ISO 27001-kriteriet för organisationer via dess automatiserade verktygsuppsättning.

Hör av dig idag för att anordna en demonstration.

Vår senaste framgång med att uppnå ISO 27001, 27017 & 27018 certifiering berodde till stor del på ISMS.online.

Karen Burton
Säkerhetsanalytiker, Trivs hälsa

Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer