ISO 27001:2022 Bilaga A Kontroll 8.8

Hantering av tekniska sårbarheter

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

Syftet med ISO 27001:2022 bilaga A 8.8

Inget datornätverk, system, mjukvara eller enhet är helt säker. Att driva ett modernt LAN eller WAN innebär sårbarheter som en del av processen, så det är viktigt för organisationer att acceptera sin närvaro och sträva efter att minska de potentiella riskerna.

ISO 27001:2022 Annex A 8.8 ger en mängd råd för att hjälpa organisationer att skydda sina nätverk mot intern och extern exploatering av sårbarheter. Den använder sig av procedurer och riktlinjer från flera andra ISO 27001: 2022 Bilaga A Kontroller, särskilt de för Change Management (se bilaga A 8.32) och Åtkomstkontroll .

Äganderätt till bilaga A 8.8

ISO 27001:2022 Annex A 8.8 behandlar teknisk och administrativ hantering av programvara, system och IKT-tillgångar. Den föreskriver ett heltäckande tillvägagångssätt för mjukvaruhantering, Kapitalförvaltningoch granskning av nätverkssäkerhet.

Den person som har det yttersta ansvaret för underhållet av organisationens ICT-infrastruktur, såsom IT-chefen eller motsvarande, bör vara ägare av ISO 27001:2022 Annex A 8.8.

Hoppa till ämne

Vägledning om att identifiera sårbarheter

Innan man utför sårbarhetskontroller är det viktigt att skaffa en heltäckande och aktuell lista över fysiska och digitala tillgångar (se bilaga A 5.9 och 5.14) som ägs och drivs av organisationen.

Programvarutillgångsdata bör omfatta:

  • Versionsnummer som för närvarande är i drift.

  • Där programvaran distribueras över gården.

  • Leverantörsnamn.

  • Applikationsnamn.

Organisationer bör sträva efter att identifiera tekniska sårbarheter genom att:

  • Det är viktigt att tydligt definiera vem i organisationen som är ansvarig för sårbarhetshantering från en teknisk synvinkel, som uppfyller sina olika funktioner, som inkluderar (men är inte begränsade till):

  • Inom organisationen vem är ansvarig för mjukvaran.

  • Håll ett register över applikationer och verktyg för att identifiera tekniska svagheter.

  • Be leverantörer och leverantörer att avslöja eventuella mottagligheter med nya system och hårdvara när de tillhandahåller dem (enligt bilaga A 5.20 i ISO 27001:2022), och tydligt specificera så mycket i alla tillämpliga kontrakt och serviceavtal.

  • Använd verktyg för sårbarhetsskanning och korrigeringsmöjligheter.

  • Utför periodiska, dokumenterade penetrationstester, antingen av intern personal eller av en autentiserad tredje part.

  • Var medveten om potentialen för underliggande programmatiska sårbarheter när du använder tredje parts kodbibliotek eller källkod (se ISO 27001:2022 bilaga A 8.28).

Vägledning om offentlig verksamhet

Organisationer bör skapa policyer och procedurer som upptäcker sårbarheter i alla sina produkter och tjänster och få bedömningar av dessa sårbarheter relaterade till deras utbud.

ISO råder organisationer att vidta åtgärder för att identifiera eventuella sårbarheter och att motivera tredje part att delta i sårbarhetshanteringsaktiviteter genom att erbjuda bounty-program (där potentiella utnyttjanden eftersträvas och rapporteras till organisationen i utbyte mot en belöning).

Organisationer bör göra sig tillgängliga för allmänheten genom forum, offentliga e-postadresser och forskning så att de kan utnyttja allmänhetens samlade kunskap för att skydda sina produkter och tjänster.

Organisationer bör granska alla korrigerande åtgärder som vidtagits och överväga att lämna ut relevant information till berörda individer eller organisationer. Dessutom bör de samarbeta med specialiserade säkerhetsorganisationer för att sprida kunskap om sårbarheter och attackvektorer.

Organisationer bör tänka på att tillhandahålla ett valfritt automatiskt uppdateringssystem som kunder kan välja att använda eller inte, enligt deras affärsbehov.

Vägledning om att utvärdera sårbarheter

Korrekt rapportering är avgörande för att säkerställa snabba och effektiva korrigerande åtgärder när säkerhetsrisker upptäcks.

Organisationer bör bedöma sårbarheter genom att:

  • Granska rapporterna noggrant och avgör vilka åtgärder som är nödvändiga, såsom att ändra, uppdatera eller eliminera påverkade system och/eller utrustning.

  • Nå en lösning som tar hänsyn till andra ISO-kontroller (särskilt de som är relaterade till ISO 27001:2022) och erkänner risknivån.

Vägledning om att motverka sårbarheter i programvara

Sårbarheter i mjukvara kan effektivt hanteras med ett proaktivt tillvägagångssätt för programuppdateringar och patchhantering. Att säkerställa regelbundna uppdateringar och patchar kan hjälpa till att skydda ditt system från potentiella hot.

Organisationer bör se till att behålla befintliga programvaruversioner innan de gör några ändringar, utföra grundliga tester på alla ändringar och tillämpa dessa på en angiven kopia av programvaran.

När sårbarheter har identifierats bör organisationer vidta åtgärder för att åtgärda dem:

  • Sikta på att snabbt och effektivt åtgärda alla säkerhetsbrister.

  • Om det är möjligt, observera de organisatoriska protokollen för förändringsledning (se ISO 27001:2022 bilaga A 8.32) och incidenthantering (se ISO 27001:2022 bilaga A 5.26).

  • Tillämpa endast patchar och uppdateringar från tillförlitliga, certifierade källor, särskilt för programvara och utrustning från tredje part:

    • Organisationer bör utvärdera data till hands för att avgöra om det är nödvändigt att tillämpa automatiska uppdateringar (eller komponenter av dem) på köpt mjukvara och hårdvara.

  • Innan du installerar, testa eventuella uppdateringar för att förhindra oväntade problem i en livemiljö.

  • Ge högsta prioritet åt att ta itu med högrisk och viktiga affärssystem.

  • Se till att korrigerande åtgärder är framgångsrika och äkta.

I händelse av att ingen uppdatering är tillgänglig, eller några hinder för att installera en (t.ex. kostnadsrelaterad), bör organisationer överväga andra metoder, som:

  • Begär vägledning från leverantören om en tillfällig åtgärd medan korrigerande ansträngningar intensifieras.

  • Stäng av alla nätverkstjänster som påverkas av sårbarheten.

  • Implementera säkerhetskontroller vid viktiga gateways, såsom trafikregler och filter, för att skydda nätverket.

  • Öka övervakningen i proportion till den risk som är förknippad med detta.

  • Se till att alla berörda parter är medvetna om felet, inklusive leverantörer och köpare.

  • Fördröja uppdateringen och utvärdera riskerna, särskilt notera eventuella driftskostnader.

Bifogade kontroller i bilaga A

  • ISO 27001:2022 bilaga A 5.14

  • ISO 27001:2022 bilaga A 5.20

  • ISO 27001:2022 bilaga A 5.9

  • ISO 27001:2022 bilaga A 8.20

  • ISO 27001:2022 bilaga A 8.22

  • ISO 27001:2022 bilaga A 8.28

Kompletterande vägledning om bilaga A 8.8

Organisationer bör upprätthålla en revisionsspår av alla relevanta sårbarhetshanteringsaktiviteter för att hjälpa till med korrigerande åtgärder och föra fram protokoll i händelse av ett säkerhetsintrång.

Att regelbundet utvärdera och granska hela processen för sårbarhetshantering är ett utmärkt sätt att förbättra prestandan och proaktivt identifiera eventuella sårbarheter.

Om organisationen anlitar en molntjänstleverantör bör de säkerställa att leverantörens tillvägagångssätt för sårbarhetshantering är kompatibel med deras egen och bör inkluderas i det bindande tjänsteavtalet mellan båda parter, inklusive eventuella rapporteringsförfaranden (se ISO 27001:2022 bilaga A 5.32) .

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.8 ersätter två Annex A-kontroller från ISO 27001:2013, dessa är:

  • 12.6.1 – Hantering av tekniska sårbarheter

  • 18.2.3 – Översyn av teknisk efterlevnad

ISO 27001:2022 Annex A 8.8 introducerar en ny, distinkt metod för sårbarhetshantering än den som finns i ISO 27001:2013. Det är en anmärkningsvärd avvikelse från den tidigare standarden.

ISO 27001:2013 Annex A 12.6.1 fokuserade främst på att införa korrigerande åtgärder när en sårbarhet upptäcks, medan bilaga A 18.2.3 endast gäller tekniska medel (till stor del penetrationstestning).

ISO 27001:2022 Annex A 8.8 introducerar nya avsnitt som handlar om en organisations offentliga ansvar, metoder för att identifiera sårbarheter och molnleverantörernas roll för att hålla sårbarheter till ett minimum.

ISO 27001:2022 lägger stor vikt vid sårbarhetshanteringens roll inom andra områden (såsom förändringshantering) och uppmuntrar till ett holistiskt tillvägagångssätt, med flera andra kontroller och informationssäkerhetsprocesser.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

Vår plattformen är användarvänlig och rakt på sak. Det är avsett för alla i organisationen, inte bara teknikkunniga personer. Vi rekommenderar att involvera personal från alla nivåer i verksamheten konstruera ditt ISMS eftersom detta hjälper till att skapa ett system som håller.

Ta kontakt nu för att arrangera en demonstration.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Säg hej till ISO 27001 framgång

Få 81 % av arbetet gjort åt dig och bli certifierad snabbare med ISMS.online

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer