ISO 27001:2022 Bilaga A Kontroll 8.9

Systemintegration

Boka en demo

närbild,bild,afrikansk,man,händer,skriva,på,bärbar dator,tangentbord.

Syftet med ISO 27001:2022 bilaga A 8.9

Konfigurationer, antingen som en enskild konfigurationsfil eller en samling konfigurationer kopplade samman, avgör hur hårdvara, mjukvara och nätverk hanteras.

Som ett exempel kommer en brandväggs konfigurationsfil att innehålla de baslinjeattribut som enheten använder för att hantera trafiken som kommer in i och lämnar en organisations nätverk, såsom blockeringslistor, portvidarebefordran, virtuella LAN och VPN-information.

Konfigurationshantering är en viktig del av alla organisationer Kapitalförvaltning strategi. Konfigurationer är avgörande för att säkerställa att ett nätverk fungerar som det ska, och för att skydda enheter från icke godkända ändringar eller olämpliga ändringar av underhållspersonal och/eller leverantörer.

Äganderätt till bilaga A 8.9

Konfigurationshantering är en administrativ uppgift som är tillägnad att underhålla och observera tillgångsrelaterad data och information som finns på olika enheter och applikationer. Därför bör ägandet ligga i händerna på Chef för IT eller motsvarande.

Hoppa till ämne

Vägledning om ISO 27001:2022 bilaga A 8.9 Överensstämmelse

Organisationer måste skapa och införa policyer för konfigurationshantering för både nya och befintliga system och hårdvara. Interna kontroller bör omfatta nyckelelement som säkerhetskonfigurationer, hårdvara med konfigurationsfiler och eventuell tillämplig programvara eller system.

ISO 27001: 2022 Bilaga A 8.9 kräver att organisationer överväger alla relevanta roller och plikter när de upprättar en konfigurationspolicy, inklusive att tilldela äganderätt till konfigurationer på enhet-för-enhet eller applikation-för-applikation.

Vägledning om standardmallar

Organisationer bör sträva efter att använda standardiserade mallar för att säkra all hårdvara, mjukvara och system när det är praktiskt möjligt. Dessa mallar bör:

  • Försök att använda fritt tillgängliga leverantörsspecifika instruktioner och instruktioner med öppen källkod för att optimalt konfigurera hård- och mjukvarutillgångar.

  • Se till att enheten, applikationen eller systemet följer minimisäkerhetskraven.

  • Samarbeta med företagets större informationssäkerhet aktiviteter, inklusive alla tillämpliga ISO-bestämmelser.

  • Ta hänsyn till organisationens speciella affärsbehov – särskilt med avseende på säkerhetsinställningar – samt möjligheten att applicera eller hantera en mall när som helst.

  • Med jämna mellanrum, granska system- och maskinvaruuppdateringarna och alla aktuella säkerhetshot för att säkerställa optimal prestanda.

Vägledning om säkerhetskontroller

Säkerhet är av yttersta vikt när man tillämpar konfigurationsmallar eller ändrar befintliga i enlighet med ovanstående riktlinjer.

När man överväger mallar som ska implementeras i hela företaget bör organisationer sträva efter att minska potentiella risker för informationssäkerhet genom att:

  • Begränsa mängden personal med administrativ befogenhet till minsta möjliga kvantitet.

  • Inaktivera alla identiteter som inte används eller inte behövs.

  • Spåra åtkomst till underhållsprogram, verktyg och interna inställningar noggrant.

  • Se till att klockorna är koordinerade för att registrera konfigurationen korrekt och hjälpa eventuella framtida sonder.

  • Byt genast alla standardlösenord eller säkerhetsinställningar som tillhandahålls med alla enheter, tjänster eller program.

  • Implementera en förinställd utloggningsperiod för alla enheter, system eller applikationer som har varit inaktiva under en förutbestämd tidsperiod.

  • Säkerställ överensstämmelse med ISO 27001:2022 bilaga A 5.32 för att garantera att alla licenskrav har uppfyllts.

Vägledning om hantering och övervakning av konfigurationer

Organisationen är skyldig att behålla och registrera konfigurationer, tillsammans med en historik över eventuella ändringar eller nya inställningar, i linje med ISO 27001:2022 Annex A 8.32 Change Management-processen.

Loggar bör innehålla information som beskriver:

  • Vem innehar tillgången.

  • Registrera tiden för den senaste konfigurationsändringen.

  • Denna version av konfigurationsmallen som är i kraft.

  • Förklara all data som är relevant för tillgångens koppling till konfigurationer på andra prylar/system.

Organisationer bör använda ett brett spektrum av metoder för att hålla koll på hur konfigurationsfiler fungerar över deras nätverk, till exempel:

  • Automatisering.

  • Specialiserade program för konfigurationsunderhåll är tillgängliga för användning. Dessa program möjliggör effektiv och effektiv hantering av inställningar.

  • Fjärrsupportverktyg som automatiskt fyller i konfigurationsdata för varje enhet.

  • Verktyg för hantering av företagsenheter och programvara skapas för att observera stora mängder konfigurationsdata samtidigt.

  • BUDR-programvaran tillhandahåller automatiska säkerhetskopior av konfigurationer till en säker plats och kan fjärråterställa mallar eller på plats återställa mallar till felaktiga eller komprometterade enheter.

Organisationer bör använda specialiserad programvara för att övervaka eventuella ändringar i en enhets konfiguration, vidta snabba åtgärder för att antingen godkänna eller återställa transformationen till dess ursprungliga status.

Bifogade kontroller i bilaga A

  • ISO 27001:2022 bilaga A 5.32

  • ISO 27001:2022 bilaga A 8.32

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.9 finns inte i ISO 27001:2013, eftersom det är ett nytt tillägg i 2022 års revision.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.Online ger ett heltäckande synsätt på ISO 27001 implementering. Det erbjuder ett fullservicepaket som säkerställer att hela processen hanteras snabbt och effektivt. Den tillhandahåller alla nödvändiga verktyg, resurser och vägledning för att göra det möjligt för organisationer att implementera standarden med tillförsikt.

Detta webbaserade system tillåter dig att visa att din Information Security Management System (ISMS) uppfyller de accepterade standarderna, med väl genomtänkta processer, rutiner och checklistor.

Kontakta oss nu för att arrangera en demonstration.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer