ISO 27001:2022 Annex A 8.32 – Change Management

ISO 27001:2022 bilaga A Kontroll 8.32 beskriver bästa praxis för förändringshantering, vilket säkerställer att ändringar i informationssystem planeras, bedöms, auktoriseras, testas, dokumenteras och kommuniceras för att upprätthålla säkerhet, integritet och efterlevnad.

Boka en demo
Författare
Max Edwards
Uppdaterad 3 februari 2025
LinkedIn Twitter Twitter

ISO 27001 Annex A 8.32: Att kontrollera förändringar för informationssäkerhet

Ändras till informationssystem, som att byta ut en nätverksenhet, skapa en ny databasinstans eller uppgradera programvara, är ofta nödvändiga för att förbättra prestandan, minska kostnaderna och öka effektiviteten.

Om de inte utförs korrekt kan ändringar av informationsbehandlingsanläggningar och system äventyra de uppgifter som lagras eller behandlas i dem.

ISO 27001: 2022 Bilaga A 8.32 undersöker hur organisationer kan inrätta och utföra förändringshanteringsprocedurer för att övervaka, undersöka och hantera förändringar av informationsbehandlingsfaciliteter och system.

Syftet med ISO 27001:2022 bilaga A 8.32

ISO 27001:2022 bilaga A Kontroll 8.32 tillåter organisationer att skydda informationstillgångar samtidigt som de gör ändringar i informationsbehandlingssystem och -anläggningar. Det gör det genom att sätta upp, genomföra och hantera regler och rutiner för förändringshantering.

Äganderätt till bilaga A 8.32

Chief Information Security Officers, med expertis hos domänen, bör ansvara för att utforma och genomdriva ändringskontrollprocedurer som gäller för alla stadier av informationssystemets livscykel, i enlighet med ISO 27001:2022 bilaga A Kontroll 8.32.



Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Allmän vägledning om ISO 27001:2022 bilaga A 8.32 Överensstämmelse

Alla ändringar av informationssystem, såväl som implementeringen av nya system, bör följa en fastställd uppsättning bestämmelser och förfaranden. Detaljerna för dessa ändringar måste uttryckligen anges och dokumenteras. Dessutom måste de genomgå bedömnings- och kvalitetssäkringsprocesser.

Organisationer bör fördela ledningsuppgifter till den mest lämpliga ledningen och fastställa de nödvändiga procedurerna för att säkerställa att alla förändringar är i linje med ändringskontrollföreskrifter och standarder.

ISO 27001:2022 bilaga A Kontroll 8.32 räknar upp nio komponenter som ska ingå i ändringshanteringsproceduren:

  1. Organisationer bör kartlägga och bedöma den potentiella effekten av föreslagna ändringar, med hänsyn till alla beroenden.
  2. Implementera behörighetskontroller för ändringar. Se till att alla ändringar är godkända av lämplig personal. Se till att endast behörig personal har tillgång till systemet och att alla ändringar är korrekt dokumenterade.
  3. Meddela tillämpliga inom och utanför grupper om de föreslagna ändringarna.
  4. Säkerställ att ISO 27001:2022 bilaga A 8.29 följs genom att utveckla och utföra tester och acceptanstester för modifieringar.
  5. Genomförandet av förändringarna och deras praktiska införande kommer att tas om hand.
  6. Upprätta nöd- och beredskapsplaner och -procedurer, inklusive ett reservförfarande.
  7. Upprätthålla register över alla ändringar och kopplade aktiviteter, som omfattar de 1-6 som nämns ovan.
  8. För att säkerställa överensstämmelse med bilaga A 5.37 i ISO 27001:2022, ses driftsdokumentation och användarprocedurer regelbundet över och ändras vid behov.
  9. IKT-kontinuitetsplaner och återställnings- och svarsprocedurer måste utvärderas och uppdateras för att anpassas till ändringarna.

Organisationer bör sträva efter att införliva förändringskontrollprocedurer för programvara och IKT-infrastruktur så mycket som möjligt.

Kompletterande vägledning om bilaga A 8.32

Förändringar i produktionsmiljön, t.ex. operativsystem och databaser, kan äventyra tillämpningens integritet och tillgänglighet, särskilt överföringen av programvara från utveckling till produktion.

Organisationer bör vara försiktiga med de potentiella resultaten av att ändra programvara i sin produktionsmiljö. Oförutsedda återverkningar kan uppstå, så försiktighet bör iakttas.

Organisationer bör köra tester på IKT-komponenter i en säker, separat miljö, borta från utveckling och produktion.

Organisationer kan få mer kontroll över ny programvara och skydda den verkliga data som används för testning med patchar och service pack, vilket ger ett extra lager av skydd.



Efterlevnad behöver inte vara komplicerat.

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.32 ersätter de fyra avsnitten i ISO 27001:2013 Bilaga A 12.1.2, 14.2.2, 14.2.3 och 14.2.4.

I ISO 27001:2013 var rutinerna för förändringskontroll mer specificerade än de kommer att vara 2022.

Tre nyckelskillnader kan identifieras mellan de två versionerna.

ISO 27001:2013-versionen var mer detaljerad i termer av vad "ändringsförfarande" borde innebära

ISO 27001:2022 och ISO 27001:2013 versionerna anger båda på ett icke uttömmande sätt vad som ska ingå i ett ändringsförfarande.

2013 års utgåva innehöll komponenter som inte nämns i 2022 års variant:

  • Identifiera och granska säkerhetskritisk kod för att åtgärda eventuella svagheter.
  • Organisationer bör behålla versionskontroll för alla programvaruändringar.
  • Organisationer bör skapa och registrera en lista över hårdvaru- och mjukvarukomponenter som kräver ändring och uppdatering.

ISO 27001:2013-versionen adresserade "Ändringar av operativa plattformar"

Bilaga A 14.2.3 i ISO 27001:2013 beskriver hur organisationer kan minska de negativa effekterna och störningarna på affärsverksamheten som kan komma från förändringar av operativsystem.

Som jämförelse innehåller ISO 27001:2022 inga krav på modifieringar.

ISO 27001:2013 Adresserade "Ändringar av programvarupaket"

Bilaga A 14.2.4, adresserad till "Ändringar av programvarupaket" i ISO 27001:2013, detta ingår inte i ISO 27001:2022-versionen.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYAHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYAInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYAIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYAFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYASystemintegration
Tekniska kontrollerBilaga A 8.10NYAInformationsradering
Tekniska kontrollerBilaga A 8.11NYADatamaskning
Tekniska kontrollerBilaga A 8.12NYAFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYAÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYAWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYASäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

Vår molnplattform erbjuder en stark struktur av informationssäkerhetsåtgärder, vilket gör att du kan bocka av din ISMS-process när du utvecklas, vilket garanterar att den uppfyller ISO 27000k-kriterierna.

ISMS.online kan hjälpa dig att uppnå certifiering effektivt och med minimala resurser. När den används på rätt sätt kan den vara en stor tillgång för att uppnå detta mål.

Kontakta oss nu för att schemalägga en demonstration.

Hoppa till ämnet

Max Edwards

Max arbetar som en del av ISMS.online-marknadsföringsteamet och ser till att vår webbplats uppdateras med användbart innehåll och information om allt som rör ISO 27001, 27002 och efterlevnad.

ISMS-plattformstur

Intresserad av en ISMS.online-plattformsturné?

Starta din gratis 2-minuters interaktiva demo nu och upplev magin med ISMS.online i aktion!

Prova det gratis

Vi är ledande inom vårt område

Användare älskar oss
Grid Leader – våren 2025
Momentum Leader – våren 2025
Regional ledare - våren 2025 Storbritannien
Regional ledare - EU våren 2025
Bästa Est. ROI Enterprise – våren 2025
Kommer troligtvis att rekommendera företag – våren 2025

"ISMS.Online, enastående verktyg för regelefterlevnad"

-Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

-Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

- Ben H.

SOC 2 är här! Stärk din säkerhet och bygg kundernas förtroende med vår kraftfulla efterlevnadslösning idag!