ISO 27001:2022 Bilaga A Kontroll 8.3

Begränsning av informationsåtkomst

Boka en demo

medarbetare,arbete,modernt,studio.produktion,chefer,team,arbetande,nytt,projekt.ungt,företag

Syftet med ISO 27001:2022 bilaga A 8.3

En organisations informationssäkerhetspolicy är starkt beroende av intern och extern tillgång till information.

ISO 27001: 2022 Bilaga A 8.3 är en förebyggande åtgärd till hantera risker genom att fastställa regler och rutiner för att förhindra obehörig åtkomst/missbruk av en organisations information och IKT-tillgångar.

Äganderätt till bilaga A 8.3

ISO 27001:2022 Annex A 8.3 handlar om en organisations förmåga att reglera tillgången till information. Det säkerställer att information endast är tillgänglig för behörig personal.

Äganderätten till information och datasäkerhetspraxis bör ligga hos Chef för informationssäkerhet (eller deras organisatoriska motsvarighet). Denna person tar fullt ansvar för organisationens övergripande säkerhetssyn.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 8.3

För att upprätthålla effektiv kontroll över information och IKT-tillgångar bör organisationer ta ett ämnesspecifikt tillvägagångssätt för informationsåtkomst och stödja åtkomstbegränsningsåtgärder, såsom:

  1. Blockera anonym åtkomst till information, inklusive bred allmän åtkomst:

  2. Säkerställ korrekt underhåll av system för att reglera åtkomst och eventuella tillhörande affärsapplikationer eller procedurer.

  3. Ställ in dataåtkomst på individuell nivå.

  4. Beskriv dataåtkomsträttigheterna mellan grupper som validerar operationer, såsom läsa, skriva, ta bort och köra.

  5. Behåll kapaciteten att dela upp viktiga processer och applikationer med en mängd olika fysiska och digitala åtkomstbegränsningar.

Vägledning om dynamisk åtkomsthantering

ISO 27001:2022 bilaga A 8.3 rekommenderar att man använder ett dynamiskt tillvägagångssätt för tillgång till information.

Dynamisk åtkomsthantering har många positiva effekter på organisatoriska aktiviteter som involverar delning eller utnyttjande av intern data med externa användare, vilket resulterar i snabbare incidentlösning.

Tekniker för dynamisk åtkomsthantering skyddar en mängd olika informationstyper, från vanliga dokument till e-postmeddelanden och databasinformation. Dessutom kan de appliceras på enskilda filer, vilket gör att organisationer kan ha en exakt kontroll över sina data.

Organisationer bör ta hänsyn till detta när:

  • Granulär kontroll behövs för att avgöra vilka mänskliga och icke-mänskliga användare som kan komma åt informationen vid varje given tidpunkt.

  • Det finns ett behov av att dela data med externa enheter (t.ex. leverantörer eller statliga myndigheter).

  • En "realtids" strategi för datahantering och distribution innebär att övervaka och hantera dataanvändning när det händer.

  • Skydda data mot obehöriga ändringar, distribution eller utskrift.

  • Det är viktigt att övervaka tillgången till och ändringar av information, särskilt när den är känslig.
Dynamisk åtkomsthantering är särskilt fördelaktig för organisationer som kräver observation och bevarande av data från början till förstörelse, inklusive:

  • Ett användningsfall eller en serie användningsfall kan beskrivas för att tillämpa regler för dataåtkomst baserat på variablerna nedan:

    • Plats

    • Ansökan

    • Identitet

    • Anordning

  • Beskriv en process inklusive data drift och övervakning, samt upprättande av ett heltäckande rapporteringssystem baserat på en tillförlitlig teknisk infrastruktur.

Alla försök att skapa ett effektivt system för åtkomstkontroll bör resultera i att data skyddas av:

  1. Att säkerställa dataåtkomst är resultatet av en framgångsrik autentisering.

  2. En grad av begränsad åtkomst, beroende på typen av data och dess förmåga att påverka kontinuitet i verksamheten, måste sättas på plats.

  3. Utskriftsbehörigheter.

  4. Kryptering.

  5. Omfattande revisionsloggar att register vem som har tillgång till uppgifter och syftet med uppgifternas användning ska föras.

  6. En procedur för varningar som flaggar all olämplig användning av data, inklusive (men inte begränsat till) obehörig åtkomst, distribution och försök att radera.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.3 ersätter ISO 27001:2013 Bilaga A 9.4.1 (Information Access Restriction), representerar en stor förändring i hur ISO ser på informationsåtkomsthantering.

Detta dynamiska tillvägagångssätt, som inte nämndes i ISO 27001:2013 Annex A 9.4.1, tar hänsyn till informationssäkerhetens föränderliga karaktär.

ISO 27001:2022 bilaga 8.3 innehåller en mängd vägledningsnoteringar om dynamisk åtkomsthantering som inte finns i ISO 27001:2013-utgåvan. Följaktligen bör organisationer se över dessa förslag ämne för ämne när de söker certifiering.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.Online är den främsta programvaran för ledningssystem för ISO 27001 som underlättar efterlevnaden av ISO 27001 och gör det möjligt för företag att anpassa sina säkerhetspolicyer och rutiner till standarden.

Denna molnbaserad plattform förser organisationer med en komplett uppsättning verktyg för att hjälpa dem att bygga ett Information Security Management System (ISMS) som är kompatibelt med ISO 27001:2022.

Vi har byggt vår plattform från grunden och samarbetat med internationella informationssäkerhetsspecialister. Vi har designat det för att vara intuitivt och enkelt för användare som saknar teknisk expertis inom Information Security Management System (ISMS).

Kontakta oss nu för att arrangera en demonstration.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer