Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 5.14 – Informationsöverföring

När information överförs till interna eller externa parter skapar det en ökad risk för konfidentialitet, integritet, tillgänglighet och informationssäkerhet överförs. Kontroll 5.14 innebär de krav som organisationer måste uppfylla för att upprätthålla säkerheten för data när den delas internt eller när den strömmar ut ur organisationen till tredje part.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Syfte med kontroll 5.14

Kontroll 5.14 är en förebyggande typ av kontroll som kräver att organisationer inför lämpliga regler, procedurer och/eller avtal för att upprätthålla säkerheten för data när den delas inom en organisation eller när den överförs till tredje part.

Kontrollattribut 5.14

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Skydda #Asset Management #Skydd
#Integritet #Informationsskydd
#Tillgänglighet

Äganderätt till kontroll 5.14

Även om utvecklingen och implementeringen av regler, förfaranden och avtal kräver stöd och godkännande från högnivåledning, är samarbetet och expertisen mellan olika intressenter inom en organisation, inklusive det juridiska teamet, IT-personalen och den högsta ledningen, av avgörande betydelse. .

Till exempel bör det juridiska teamet säkerställa att organisationen ingår överföringsavtal med tredje part och att dessa avtal är i linje med kraven som specificeras i Kontroll 5.14. Likaså bör IT-teamet ta en aktiv del i att definiera och implementera kontroller för att upprätthålla datasäkerheten enligt 5.14.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Allmän vägledning om kontroll 5.14

Överensstämmelse med 5.14 innebär utveckling av regler, förfaranden och avtal, inklusive en ämnesspecifik policy för informationsöverföring, som ger data under överföring en skyddsnivå som är lämplig för den klassificering som tilldelas den informationen.

Med andra ord bör skyddsnivån överensstämma med nivån av kritik och känslighet för information som överförs.

Dessutom specificerar Control 5.14 att organisationer måste underteckna överföringsavtal med mottagande tredje part för att garantera säker överföring av data.

Kontroll 5.14 grupperar typerna av överföring i tre kategorier:

  • Elektronisk överföring
  • Fysisk lagringsmediaöverföring
  • Verbal överföring

Innan vi går vidare med att beskriva de specifika kraven för varje typ av överföring, listar Control 5.14 de element som måste inkluderas i alla regler, procedurer och avtal för alla tre typer av överföringar i allmänhet:

  • Organisationer måste definiera kontroller lämplig för klassificeringsnivån av informationen för att skydda informationen under överföring från obehörig åtkomst, modifiering, avlyssning, kopiering, förstörelse och överbelastningsattacker.
  • En organisation måste ha kontroll över spårbarhetskedjan medan den är i transit och måste definiera och implementera kontroller för att säkerställa spårbarhet av information.
  • Relevanta parter som är involverade i överföringen av information bör definieras och deras kontaktuppgifter bör tillhandahållas. Detta kan omfatta informationsägare och säkerhetsansvariga.
  • Tilldelning av ansvar vid dataintrång inträffar.
  • Använda ett märkningssystem.
  • Säkerställa tillgängligheten för överföringstjänsten.
  • Skapa ämnesspecifika riktlinjer för metoderna för informationsöverföring.
  • Riktlinjer för lagring och radering av alla affärsuppgifter, inklusive meddelanden.
  • Analys av vilken inverkan eventuella tillämpliga lagar, förordningar eller andra skyldigheter kan ha på överföringen.


klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


Kompletterande vägledning om elektronisk överföring

Efter att ha listat de minsta innehållskraven för regler, procedurer och avtal som är gemensamma för alla tre typerna av överföringar, listar Control 5.14 specifika innehållskrav för varje typ av överföring.

Regler, avtal och procedurer bör ta itu med följande frågor när information överförs elektroniskt:

  • Upptäckt och förebyggande av attacker med skadlig programvara.
  • Skydda känslig information som finns i de överförda bilagorna.
  • Se till att all kommunikation skickas till rätt mottagare och risk för att skicka kommunikation till felaktiga e-postadresser, adresser eller telefonnummer elimineras.
  • Skaffa förhandstillstånd innan du börjar använda några offentliga kommunikationstjänster.
  • Införande av striktare autentiseringsmetoder när data överförs via offentliga nätverk.
  • Att införa begränsningar för användningen av e-kommunikationstjänster som att förbjuda automatisk vidarebefordran.
  • Ge personalen råd om att inte använda tjänster för kortmeddelanden eller snabbmeddelanden för att dela känslig data eftersom detta innehåll kan ses av obehöriga personer i offentliga utrymmen.
  • Rådgivning till personal och andra relevanta parter om säkerhetsrisker presenteras av faxmaskiner såsom risken för obehörig åtkomst eller omdirigering av meddelanden till specifika nummer.

Kompletterande vägledning om överföring av fysisk lagringsmedia

När information delas via fysiska medel som papper, bör reglerna, procedurerna och avtalen omfatta följande:

  • Tilldelning av ansvar för meddelande om sändning, avsändning och mottagande.
  • Säkerställa korrekt adressering och transport av meddelandet.
  • Förpackningar eliminerar risken för skador på innehållet som kan uppstå när innehållet är under transport. Till exempel bör förpackningar vara tillräckligt bra för att inte påverkas av värme eller fukt.
  • En lista över pålitliga kurirer som godkänts och godkänts av ledningen.
  • Beskrivning av kuriridentifieringsstandarder.
  • Användning av manipuleringssäkra kontroller som väskor om informationens känslighet och kriticitet kräver det.
  • Rutiner för att verifiera ID:n för kurirer.
  • Godkänd lista över tredje parter som tillhandahåller transport- eller budtjänster beroende på klassificeringsnivån.
  • Föra loggregister över leveranstidpunkt, lista över auktoriserade mottagare, tillämpade skydd och kvitto på destinationen.

Kompletterande vägledning om verbal överföring

Kontroll 5.14 säger att när personal utbyter information inom organisationen eller när de överför data till externa parter ska de informeras om följande risker:

  • De bör undvika att ha konfidentiella samtal över osäkra offentliga kanaler eller i offentliga utrymmen.
  • De bör inte lämna röstmeddelanden som innehåller konfidentiell information med tanke på risken för uppspelning av obehöriga personer och risken för omdirigering av meddelandet till utomstående.
  • Varje individ, oavsett om det är anställda eller andra relevanta tredje parter, bör screenas innan de släpps in för att lyssna på konversationer.
  • Rum, där konfidentiella samtal äger rum, bör vara utrustade med lämpliga kontroller såsom ljudisolering.
  • De bör ge en ansvarsfriskrivning innan de har någon känslig konversation.


ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Ändringar och skillnader från ISO 27002:2013

27002:2022/5.14 ersätter 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Även om de två kontrollerna i viss mån liknar varandra, gör två viktiga skillnader 2022-versionens krav mer svåra.

Specifika krav för elektriska, fysiska och verbala överföringar

I 2013 års version, avsnitt 13.2.3 behandlade de specifika kraven för överföring av information via elektroniska meddelanden.

Den behandlade dock inte separat överföring av information via verbalt eller fysiskt sätt.

Däremot identifierar 2022-versionen tydligt tre typer av informationsöverföring och anger sedan innehållskraven för var och en av dem separat.

2022-versionen ställer strängare krav för elektronisk överföring

Medan avsnitt 13.2.3 innehöll specifika krav på innehållet i avtal för elektroniska meddelanden, ställer 2022 års version hårdare skyldigheter på organisationer.

2022-versionen kräver att organisationer beskriver och implementerar nya kontroller i reglerna, procedurerna och avtalen för elektroniska överföringar.

Till exempel bör organisationer råda sina anställda att inte använda SMS-tjänster när de innehåller känslig information.

Mer detaljerade krav för fysiska överföringar

2022-versionen ställer strängare krav på den fysiska lagringsmedieöverföringen. Dess krav är till exempel mer omfattande när det gäller autentisering av kurirer och vilka typer av skador som bör förhindras.

Strukturella förändringar

I 2013 års version fanns en uttrycklig hänvisning till specifika krav på avtal för informationsöverföring. Men "Reglerna" och "Procedurerna" behandlades inte specifikt.

Däremot anger 2022-versionen de specifika kraven för var och en av dessa tre mekanismer.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Hör av dig idag för att boka en demo.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.