Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 8.23 ​​– Webbfiltrering

ISO 27002 Kontroll 8.23 ​​– Webbfiltrering beskriver vikten av att begränsa åtkomsten till skadliga eller olämpliga webbplatser för att minska säkerhetsrisker som skadlig programvara, nätfiske och dataintrång genom effektiva åtkomstkontroller.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Förstå ISO 27002 Control 8.23: Web Filtering for Cybersecurity

Om anställda besöker webbplatser med skadligt innehåll kan detta utsätta företagsnätverk och informationssystem för säkerhetsrisker såsom attacker med skadlig programvara.

Till exempel kan cyberangripare skicka ett nätfiskemail till en anställds arbetsmail, övertala honom att klicka på en länk och besöka en webbplats. När medarbetaren besöker den här webbplatsen kan de automatiskt ladda upp skadlig programvara på den anställdes enhet och sedan infiltrera företagets nätverk. Denna typ av attack kallas drive-by nedladdning och den laddar automatiskt ned skadlig programvara när en anställd besöker en webbplats.

Därför bör organisationer införa lämpliga webbfiltreringskontroller för att begränsa och kontrollera åtkomsten till externa webbplatser och förhindra säkerhetshot.

Syfte med kontroll 8.23

Kontroll 8.23 ​​gör det möjligt för organisationer att eliminera säkerhetsrisker såsom infektion med skadlig programvara som kan uppstå som ett resultat av åtkomst till externa webbplatser med skadligt innehåll.

Attributtabell för kontroll 8.23

Kontroll 8.23 ​​är en förebyggande typ av kontroll som kräver att organisationer inför lämpliga åtkomstkontroller och åtgärder för att förhindra åtkomst till skadligt innehåll på externa webbplatser.

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Skydda #System- och nätverkssäkerhet #Skydd
#Integritet
#Tillgänglighet


ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Äganderätt till kontroll 8.23

Med tanke på att 8.28 inbegriper identifiering av externa webbplatser med hög risk och design och implementering av lämpliga åtkomst- och webbfiltreringskontroller, bör chefen för informationssäkerhet vara ansvarig för att vidta lämpliga åtgärder för efterlevnad.

Allmän vägledning om efterlevnad

Organisationer bör upprätta och implementera nödvändiga kontroller för att förhindra anställda från att komma åt externa webbplatser som kan innehålla virus, nätfiskematerial eller andra typer av olaglig information.

En effektiv teknik för att förhindra åtkomst till farliga externa webbplatser är att blockera IP-adressen eller domänen för webbplatser som identifierats som farliga. Vissa webbläsare och anti-malware-verktyg gör till exempel att organisationer kan göra detta automatiskt.

Kontroll 8.23 ​​noterar att organisationer bör bestämma vilka typer av webbplatser som inte ska nås av anställda.

I synnerhet bör följande typer av webbplatser blockeras:

  • Webbplatser med informationsuppladdningsfunktion. Tillträde bör vara föremål för tillstånd och bör endast beviljas av giltiga affärsskäl.
  • Webbplatser som är kända eller misstänks innehålla skadligt material, till exempel webbplatser med skadlig programvara.
  • Kommando- och kontrollservrar.
  • Skadliga webbplatser erhållna från hotintelligens. Organisationer bör se Kontroll 5.7 för mer information.
  • Webbplatser som distribuerar olagligt innehåll och material.

Innan de utformar och implementerar denna kontroll, rekommenderas organisationer att införa regler för säker och lämplig åtkomst till och användning av onlineresurser. Detta bör också innefatta att införa begränsningar för webbplatser som innehåller olämpligt material.

Dessa regler bör ses över och uppdateras med jämna mellanrum.

Kompletterande vägledning om personalutbildning

Kontroll 8.23 ​​kräver att all personal ska ges utbildning i hur man kan komma åt och använda onlineresurser på ett säkert sätt.

Denna utbildning bör täcka organisationens egna regler och bör ta upp hur personalen kan ta upp sina säkerhetsproblem genom att kontakta relevant person inom organisationen.

Vidare bör utbildning också ta upp hur personal kan komma åt begränsade webbplatser av giltiga affärsskäl och hur denna undantagsprocess fungerar för sådan åtkomst.

Sist men inte minst bör utbildningen ta upp webbläsarrådgivning som varnar användare för att en webbplats inte är säker men som tillåter användare att fortsätta. Personalen bör instrueras att inte ignorera sådana varningar.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Kompletterande vägledning om kontroll 8.23

Det finns en mängd olika webbfiltreringstekniker som:

  • Heuristik.
  • Signaturer.
  • Lista över förbjudna och acceptabla webbplatser.
  • Domänkonfiguration.

Ändringar och skillnader från ISO 27002:2013

27002:2022/8.23 är en ny typ av kontroll.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Du kan övervaka och hantera alla aspekter av din ISO 27002-efterlevnadsresa från ett ställe – revisionshantering, gapanalys, utbildningshantering, riskbedömning etc.

Det ger en lättanvänd, integrerad lösning som kan nås dygnet runt via vilken enhet som helst med internetanslutning. Plattformen tillåter alla anställda att arbeta tillsammans sömlöst och säkert för att hantera säkerhetsrisker och spåra organisationens efterlevnad, samt resan mot ISO 24-certifiering.

Hör av dig idag för att boka en demo.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.