- Se ISO 27002:2022 Kontroll 5.11 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 8.1.4 for mer informasjon.
Sikker og kompatibel ressursretur med ISO 27001-kontroll 5.11
ISO 27001:2022 Kontroll 5.11 i vedlegg A fastsetter at personell og andre interesserte parter må returnere alle eiendeler som eies av organisasjonen ved endring av ansettelse, kontrakt eller avtale.
Ved opphør av arbeidsforhold, kontrakt eller avtale forventes ansatte og eksterne brukere å returnere all informasjon og organisasjonsmidler.
Ansatte, entreprenører og andre må være forpliktet til å erstatte alle eiendeler. Denne forpliktelsen vil være inkludert i de relevante avtalene med ansatte, entreprenører og andre.
En solid, dokumentert prosess skal håndtere avkastningen av eiendeler. Denne prosessen kan dokumenteres for hver enkelt eller leverandør som går gjennom den. Vedlegg A.6.5 for menneskelig sikkerhet, vedlegg 6.6 for konfidensialitetsavtaler, og vedlegg A.5.20 for leverandøraktivitet samkjører dette med utgangskontroller.
Organisasjoner må ha skriftlige retningslinjer som definerer hvilke eiendeler som skal returneres ved oppsigelse og personell for å bekrefte mottak og sikre beholdning og regnskapsføring av eiendeler.
Hva er formålet med vedlegg A 5.11?
Følgende er eksempler på informasjonsressurser for en organisasjon:
- Fysiske dokumenter.
- Digitale filer og databaser.
- Programvare programmer.
- Selv immaterielle gjenstander som forretningshemmeligheter og intellektuell eiendom.
En bedrifts informasjonsmidler kan være verdifulle på mange måter. Dette inkluderer å inneholde sensitiv informasjon om sine kunder, ansatte eller andre interessenter som dårlige aktører kan utnytte for økonomisk vinning eller identitetstyveri. I tillegg til finansiell, forsknings- og driftsinformasjon, kan de gi konkurrentene dine et konkurransefortrinn hvis de var i stand til å få tilgang til den.
Av denne grunn må alle eiendeler og eiendeler til ansatte og entreprenører som sier opp sitt ansettelsesforhold i en organisasjon returneres.
Som en del av utgangsprosessen, må eiendeler returneres i henhold til prosessen med mindre annet er avtalt og dokumentert:
- Vedlegg A.5 skisserer trinnene som skal tas hvis ikke-retur er registrert som en sikkerhetshendelse.
- For å sikre fortsatt beskyttelse, periodiske eiendelsrevisjoner er også nødvendige for å sikre at prosedyren for retur av eiendeler er idiotsikker.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Endring av ansettelsesstatus i henhold til ISO 27001:2022 vedlegg a 5.11
Som en del av å endre eller avslutte ansettelse, kontrakter eller avtaler, beskytter kontroll 5.11 organisasjonens eiendeler. Uautoriserte personer har forbud mot å beholde organisasjonens eiendeler (inkludert utstyr, informasjon, programvare, etc.) under denne vedlegg A-kontrollen.
Du må sørge for at dine ansatte og kontraktører ikke tar sensitive data ved å identifisere potensielle trusler og overvåke brukerens aktivitet før de drar.
Når en person sies opp, hindrer denne vedlegg A-kontrollen vedkommende fra å få tilgang til IT-systemer og nettverk. En formell oppsigelsesprosess bør etableres av organisasjoner slik at enkeltpersoner ikke lenger kan få tilgang til noen IT-systemer. Du kan oppnå dette ved å tilbakekalle alle tillatelser, deaktivere kontoer og fjerne tilgang til bygningslokaler.
Det er nødvendig å etablere prosedyrer for å sikre at alle ansatte, kontraktører og andre relevante parter returnerer alle eiendeler som ikke lenger er nødvendige for forretningsformål. Disse eiendelene bør erstattes så snart som mulig.
Organisasjoner bør også sjekke den enkeltes arbeidsområde for å sikre at all sensitiv informasjon har blitt returnert.
Tenk for eksempel:
- Organisasjonens utstyr (bærbare datamaskiner og flyttbare medier) samles inn ved separasjon.
- Når kontrakten er fullført, er entreprenørene pålagt å returnere alt utstyr og informasjon.
Bygge en utgangsprosess og hva du trenger å gjøre
En organisasjon må formalisere endrings- eller oppsigelsesprosessen, som inkluderer å returnere alle tidligere utstedte fysiske og elektroniske eiendeler som eies eller er betrodd den.
Eventuelle tilgangsrettigheter, kontoer, digitale sertifikater og passord bør også fjernes som en del av prosessen. Denne formaliseringen er spesielt kritisk når en endring eller oppsigelse skjer uventet, som død eller oppsigelse. Uautorisert tilgang til organisasjonens eiendeler kan føre til en datainnbrudd hvis ikke forhindret.
En sikker avhendings-/returprosess skal sikre at alle eiendeler blir regnskapsført.
ISO 27001:2022 krever at organisasjonen identifiserer og dokumenterer all informasjon og tilhørende eiendeler som skal returneres, inkludert:
- Brukerendepunktsenheter.
- Bærbare lagringsenheter.
- Spesialutstyr.
- Autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver.
- Fysiske kopier av informasjon.
Etter oppsigelsen skal brukeren fylle ut en formell sjekkliste som inneholder alle elementene som må returneres eller kastes. Denne sjekklisten bør inneholde alle nødvendige signaturer for å bekrefte at eiendelene har blitt returnert eller avhendet på riktig måte.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hva er endringene og forskjellene fra ISO 27001:2013?
ISO 27001:2013 ble oppdatert i oktober 2022 til ISO 27001:2022.
Vedlegg A-kontroll 5.11 er ikke nytt, men en modifikasjon av vedlegg A-kontroll 8.1.4 – tilbakeføring av eiendeler.
I implementeringsretningslinjene er vedlegg A-kontrollene i hovedsak de samme, med lignende språk og fraseologi. Derimot, ISO 27001:2022s vedlegg A kontroll 5.11 har en attributttabell som lar brukere matche den til det de implementerer. Kontroll 5.11 i ISO 27001:2022 spesifiserer hvilke eiendeler som kan returneres ved slutten av ansettelsesforholdet eller kontraktsavslutning.
Eksempler på disse inkluderer:
- Brukerendepunktsenheter.
- Bærbare lagringsenheter.
- Spesialutstyr.
- Autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver.
- Fysiske kopier av informasjon.
I ISO 27001:2013-versjonen er denne listen ikke tilgjengelig.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan påvirker disse endringene deg?
ISO 27001:2022 er en oppdatering av 2013-standarden. Utvalget som fører tilsyn med standarden gjorde ingen vesentlige endringer.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.online Hjelp
Du kan implementere og administrere et ISO 27001/27001 styringssystem for informasjonssikkerhet med ISMS.online, uavhengig av din erfaring med standarden.
Den perfekte fusjonen av kunnskap og teknologi for tidlig ISO 27001-suksess. ISMS.online inkluderer en policy og et verktøy for Kapitalforvaltning.
Med systemet vårt vil du bli veiledet trinn for trinn gjennom å sette opp et ISMS og administrere det:
- ISMS.online gir en trinn-for-trinn veiledning for implementering av ISO 27001/27002 i enhver organisasjon.
- Et risikovurderingsverktøy som veileder deg gjennom risikoidentifikasjons- og vurderingsprosessen.
- Vi tilbyr en policypakke som kan tilpasses for å passe dine behov online.
- Å administrere dokumenter og poster som en del av ISMS er enklere med et dokumentkontrollsystem.
- Bedre beslutningstaking gjennom automatisk rapportering.
- Med vår skybaserte plattform vil du kunne dokumentere bevis på samsvar med ISO 27001 rammeverk med en sjekkliste over prosessene dine.
Ta kontakt i dag for å bestill en demo.
