ISO 27001:2022 Bilaga A Kontroll 8.22

Segregering av nätverk

Boka en demo

shutterstock 1410209846 skalad

När cyberbrottslingar infiltrerar datorsystem, tjänster eller enheter, begränsar de sig inte till enbart dessa tillgångar.

De använder den första infiltrationen för att penetrera ett företags hela nätverk, få tillgång till känslig data eller för att utföra ransomware-attacker.

Cyberskurkar kan stjäla inloggningsuppgifterna för HR-personal på ett sjukhus efter en framgångsrik nätfiskeattack, vilket ger dem tillgång till HR-system.

Med hjälp av sin åtkomstpunkt kan angriparna passera nätverket och avslöja nätverk som innehåller konfidentiell patientdata. Detta intrång kan leda till förlust av data, orsaka avbrott i verksamheten eller till och med öppna dörren för en ransomware-attack.

Sjukhuset skulle kunna förhindra obehörig åtkomst till konfidentiell data och minska konsekvenserna av ett intrång genom att använda tekniker för nätverkssegmentering som brandväggar, virtuella nätverk eller serverisolering.

ISO 27001:2022 Annex A 8.22 beskriver hur företag kan tillämpa och bevara lämpliga nätverkssegregationsmetoder för att undvika risker för informationstillgångars tillgänglighet, integritet och konfidentialitet.

Syftet med ISO 27001:2022 bilaga A 8.22

ISO 27001:2022 Annex A 8.22 tillåter organisationer att dela upp sina IT-nätverk i delnätverk beroende på graden av känslighet och betydelse, och att begränsa överföringen av information mellan dessa olika delnätverk.

Organisationer kan använda detta för att stoppa skadlig programvara och virus från att resa från infekterade nätverk till de som innehåller känslig data.

Detta garanterar det organisationer säkra konfidentialitet, integritet och tillgänglighet för datatillgångar som lagras på viktiga undernät.

Äganderätt till bilaga A 8.22

Smakämnen Informationssäkerhetsansvarig bör hållas ansvarig för att följa ISO 27001:2022 bilaga A 8.22, som kräver segmentering av nätverk, enheter och system enligt risker och tillämpning av tekniker och procedurer för nätverkssegregering.

Hoppa till ämne
Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Allmän vägledning om ISO 27001:2022 bilaga A 8.22 Överensstämmelse

Organisationer bör sträva efter att uppnå jämvikt mellan operativa behov och säkerhetsproblem när de inför bestämmelser om nätverkssegregation.

ISO 27001: 2022 Bilaga A Kontroll 8.22 ger tre rekommendationer att ta hänsyn till när du ställer in nätverkssegregering.

Hur man separerar nätverket i mindre undernätverk

När de delar upp nätverket i mindre underdomäner bör organisationer överväga känsligheten och betydelsen av varje nätverksdomän. Beroende på denna bedömning kan nätverksunderdomäner märkas som "public domäner", "skrivbordsdomäner", "serverdomäner" eller "högrisksystem".

Organisationer bör ta hänsyn till affärsavdelningar som HR, marknadsföring och ekonomi i processen att segmentera sitt nätverk.

Organisationer kan också slå samman dessa två kriterier och tilldela nätverkssubdomäner i kategorier som "serverdomän som länkar till försäljningsavdelningen".

Säkerhetsgränser och åtkomstkontroll

Organisationer måste avgränsa gränserna för varje nätverksunderdomän uttryckligen. Om det ska finnas åtkomst mellan två olika nätverksdomäner bör denna anslutning begränsas på perimetrisk nivå genom användning av gateways som brandväggar eller filtrerande routrar.

Organisationer bör utvärdera säkerhetsbehoven för varje domän när de upprättar nätverksseparation och när de beviljar åtkomst via gateways.

Denna bedömning måste utföras i linje med policyn för åtkomstkontroll enligt ISO 27001:2022 bilaga A 5.15, med hänsyn till följande:

  • Klassificeringen som tilldelas informationstillgångar är på vilken nivå.

  • Vikten av informationen är av största vikt.

  • Kostnad och funktionalitet är viktiga faktorer när man bestämmer vilken gateway-teknik som ska användas.

Trådlösa nätverk

ISO 27001: 2022 Bilaga A 8.22 rekommenderar att organisationer följer följande praxis när de skapar nätverkssäkerhetsparametrar för trådlösa nätverk:

  • Utvärdera användningen av metoder för justering av radiotäckning för att dela upp trådlösa nätverk.

  • För känsliga nätverk kan organisationer ta alla försök till trådlös åtkomst som externa anslutningar och förbjuda åtkomst till interna nätverk tills gatewaykontrollen ger godkännande.

  • Personal bör endast använda sina egna enheter i enlighet med organisationens policy; nätverksåtkomsten till personal och gäster bör hållas åtskilda.

  • Besökare bör omfattas av samma regler för Wi-Fi-användning som teammedlemmar.

Kompletterande vägledning om ISO 27001:2022 bilaga A 8.22

Organisationer bör se till att alla affärspartnerskap är föremål för lämpliga säkerhetsåtgärder. Bilaga A 8.22 råder organisationer att vidta åtgärder för att skydda sina nätverk, IT-enheter och andra informationsfaciliteter när de kontaktar affärspartners.

Nätverk som är känsliga kan utsättas för en ökad risk för obehörig åtkomst. För att skydda sig mot detta bör organisationer vidta lämpliga åtgärder.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.22 ersätter ISO 27001:2013 Bilaga A 13.1.3 i den senaste ISO-revisionen.

I jämförelse med ISO 27001:2013 kräver ISO 27001:2022-revisionen följande av trådlösa nätverk:

  • Om personalen följer organisationens policy och endast använder sina egna enheter, bör den trådlösa nätverksåtkomst som tillhandahålls för personal och besökare hållas åtskilda.

  • Gäster bör omfattas av samma restriktioner och kontroller gällande Wi-Fi som personal.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.Online underlättar för dig att:

  • Dokument bearbetas enkelt med detta användarvänliga gränssnitt. Ingen mjukvaruinstallation krävs på din dator eller nätverk.

  • Effektivisera din riskbedömningsprocedur genom att automatisera den.

  • Uppnå enkelt efterlevnad genom att använda onlinerapporter och checklistor.

  • Håll ett register över din utveckling medan du arbetar mot certifiering.

ISMS.online tillhandahåller en omfattande uppsättning funktioner för att hjälpa organisationer och företag att möta branschen ISO 27002 och/eller ISO 27001:2022 ISMS-standard.

Ta kontakt med oss ​​för att anordna en demonstration.

Se hur vi kan hjälpa dig

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

100 % ISO 27001 framgång

Din enkla, praktiska, tidsbesparande väg till första gången ISO 27001 efterlevnad eller certifiering

Boka din demo
Metod med säkrade resultat

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer