Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 8.21 – Säkerhet för nätverkstjänster

ISO 27002 Kontroll 8.21: Säkerhet för nätverkstjänster beskriver bästa praxis för att säkra nätverkstjänster, säkerställa konfidentialitet, integritet och tillgänglighet genom autentisering, kryptering, åtkomstkontroller och servicenivåavtal (SLA).

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Syfte med kontroll 8.21

Inom datoranvändning kan en "nätverkstjänst" i stora drag beskrivas som ett system som körs på "nätverksapplikationslagret", som t.ex. e-mail, tryckning, Eller en filserver. Nättjänster inkluderar även hanterade applikationer och säkerhetslösningar som t.ex brandväggar eller gateway antivirusplattformar, intrångsdetekteringssystem och anslutningstjänster.

Nättjänster representerar ofta de viktigaste funktionella delarna av ett nätverk och är avgörande för den dagliga driften av ett modernt kommersiellt IKT-nätverk. Säkerhet är därför av största vikt, och användningen av nätverkstjänster måste övervakas noggrant och hanteras direkt för att minimera risken för fel, intrång och affärsstörningar.

Attributtabell för kontroll 8.21

Kontroll 8.21 är en förebyggande kontroll den där upprätthåller risken genom att upprätta en uppsättning regler som styr användningen av både nättjänster och, genom associering, själva värdnätverket.

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Skydda #System- och nätverkssäkerhet #Skydd
#Integritet
#Tillgänglighet

Äganderätt till kontroll 8.21

Kontroll 8.21 behandlar tekniska koncept som rör underhåll och förvaltning av flera nyckelkomponenter i en organisations IKT-nätverk. Som sådan bör ägandet ligga hos IT-chefen eller motsvarande i organisationen.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Allmän vägledning om efterlevnad

Kontroll 8.21 identifierar tre huvudsäkerhetstyper när det gäller det bredare begreppet nätverkstjänstsäkerhet:

  1. Säkerhetsfunktioner
  2. Servicenivåer
  3. Servicekrav

Dessa tre åtgärder bör beaktas av alla interna och externa leverantörer av nättjänster, och organisationen bör vidta åtgärder för att säkerställa att leverantörerna alltid fullgör sina skyldigheter.

Organisationer bör bedöma en leverantör av nätverkstjänster på deras förmåga att hantera tjänster som dikteras av en entydig uppsättning SLA, och övervaka efterlevnaden efter bästa förmåga.

En del av denna verksamhetsbedömning bör inkludera referenser som erhållits från pålitliga källor som intygar en nättjänstleverantörs förmåga att hantera tjänster på ett säkert och effektivt sätt.

Nätverkssäkerhetsregler bör inkludera:

  1. Alla nätverkstjänster och tillhörande nätverk som är tillåtna att nås.
  2. Autentiseringskraven för åtkomst till nämnda nätverkstjänster, inklusive vem som har behörighet att få åtkomst till dem, varifrån och när de kan göra det.
  3. Hur personal erhåller förhandstillstånd att få åtkomst till nätverkstjänster, inklusive slutlig sign-off och affärsfallsanalys.
  4. En robust uppsättning nätverkshanteringskontroller som skyddar nätverkstjänster mot missbruk och obehörig åtkomst.
  5. Hur personal tillåts åtkomst till nätverkstjänster (dvs. på distans eller uteslutande på plats).
  6. Loggningsprocedurer som detaljerar nyckelinformation om åtkomst till nätverkstjänster och personalen som använder dem – t.ex. tid, plats och enhetsdata.
  7. Övervakning av användningen av nätverkstjänster.

Vägledning – Säkerhet för nätverkstjänster

Control 8.21 innehåller också vägledningsnoteringar om hur man ökar säkerheten för alla nätverkstjänster, inklusive back-end-funktionalitet och användardrift.

  • Organisationer bör överväga säkerhetsfunktioner som t.ex autentisering, kryptering och anslutningskontroller.
  • Rigida parametrar bör fastställas som dikterar anslutningen till nätverkstjänster.
  • Användare bör kunna välja mängden data som cachelagras (tillfälligt lagrad) av en nätverkstjänst för att både öka den totala prestandan och säkerställa att data inte lagras överdrivet så mycket att det utgör en påtaglig säkerhetsrisk.
  • Begränsa åtkomst till nätverkstjänster.


ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-8.21 ersätter ISO 27002:2003-13.1.2 (Säkerhet för nätverkstjänster).

27002:2022-8.21 innehåller flera större tillägg till sin motsvarighet från 2013, där den senare helt fokuserar på nätverkstjänstsäkerhet (som innehåller samma uppsättning vägledningsnoteringar) och utelämnar all allmän vägledning överhuvudtaget om nätverksregler (se punkterna 1-7 ovan under "Allmänna riktlinjer").

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISO 27002-standarden är en uppsättning riktlinjer som hjälper organisationer att skydda sina informationstillgångar. Den är tillämplig på alla typer av organisationer, oavsett storlek, struktur eller bransch.

ISMS.online är en molnbaserad plattform som erbjuder hjälp med att implementera ISO 27002-standarden effektivt och kostnadseffektivt.

Det ger organisationer enkel tillgång till uppdaterad information om deras efterlevnadsstatus hela tiden genom dess användarvänliga instrumentpanelsgränssnitt som gör det möjligt för chefer att övervaka deras framsteg mot att uppnå efterlevnad snabbt och enkelt.

Kontakta oss idag för att BOKA EN DEMO.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.