- Se ISO 27002:2022 Kontroll 5.14 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 13.2.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 13.2.2 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 13.2.3 for mer informasjon.
Det grunnleggende ved sikker informasjonsoverføring: ISO 27001 5.14
Formålet med ISO 27001:2022 vedlegg A 5.14 er å sikre sikkerheten til alle brukerenheter.
Dette betyr at det må iverksettes tiltak for å beskytte enhetene mot skadelig programvare og andre trusler, samt for å opprettholde konfidensialitet, integritet og tilgjengelighet til dataene som er lagret på dem.
ISO 27001: 2022 Vedlegg A Kontroll 5.14 gir organisasjoner mandat til å installere nødvendige regler, prosedyrer eller kontrakter for å opprettholde datasikkerhet når de deles internt eller sendes til eksterne parter.
Eierskap til ISO 27001:2022 vedlegg A Kontroll 5.14
Støtte og aksept fra toppledelsen er avgjørende for utforming og gjennomføring av forskrifter, protokoller og kontrakter.
Det er imidlertid viktig å ha samarbeid og spesialistkunnskap fra ulike aktører i organisasjonen, som juridiske ansatte, IT-personell og toppledere.
Det juridiske teamet bør sikre at organisasjonen inngår overføringsavtaler som følger ISO 27001:2022 vedlegg A Kontroll 5.14. I tillegg bør IT-teamet være aktivt involvert i å spesifisere og utføre kontroller for å sikre data, som angitt i 5.14.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Generell veiledning for ISO 27001:2022 vedlegg A 5.14
Å sikre samsvar med 5.14 krever opprettelse av regler, prosedyrer og avtaler, inkludert en dataoverføringspolicy som er spesifikk for emnet, og gir data under transport et passende beskyttelsesnivå i henhold til klassifiseringen de er tildelt.
Sikkerhetsnivået bør være proporsjonalt med viktigheten og sensitiviteten til dataene som sendes. ISO 27001:2022 vedlegg A 5.14 krever også at organisasjoner inngår overføringsavtaler med mottakende tredjeparter for å sikre sikker overføring av data.
ISO 27001:2022 vedlegg A Kontroll 5.14 kategoriserer overføringstyper i tre grupper:
- Elektronisk overføring.
- Fysisk lagringsmedium overføre.
- Verbal overføring.
Før du går videre med å detaljere de spesifikke kravene til hver type overføring, ISO 27001: 2022 Vedlegg A Kontroll 5.14 skisserer elementene som må være til stede i alle forskrifter, prosedyrer og kontrakter som gjelder alle tre overføringene generelt:
- Organisasjoner må bestemme passende kontroller basert på klassifiseringsnivået til informasjon for å beskytte den under transport fra uautorisert tilgang, endring, avskjæring, duplisering, ødeleggelse og tjenestenekt-angrep.
- Organisasjoner må holde oversikt over varetektskjeden under transport og etablere og utføre kontroller for å garantere sporbarhet av data.
- Spesifiser hvem som er involvert i dataoverføringen og oppgi kontaktinformasjonen deres, for eksempel dataeierne og sikkerhetspersonellet.
- Ved datainnbrudd skal ansvar fordeles.
- Implementer et merkesystem for å holde styr på varer.
- Sikre at overføringstjenesten er tilgjengelig.
- Retningslinjer angående metodene for informasjonsoverføring bør utvikles i henhold til spesifikke emner.
- Retningslinjer for lagring og kassering av alle forretningsdokumenter, inkludert meldinger, må følges.
- Undersøk hvilken innvirkning eventuelle gjeldende lover, forskrifter eller andre forpliktelser kan ha på overføringen.
Supplerende veiledning om elektronisk overføring
ISO 27001:2022 Vedlegg A Kontroll 5.14 beskriver de spesifikke innholdskravene for regler, prosedyrer og avtaler knyttet til de tre typene overføringer. Minimumskravene til innhold må overholdes på tvers av alle tre.
Regler, avtaler og prosedyrer bør ta hensyn til følgende hensyn ved overføring av informasjon elektronisk:
- Identifisering og forpurring av skadelig programvare er avgjørende. Det er viktig at du bruker den nyeste teknologien for å oppdage og forhindre angrep fra skadelig programvare.
- Sikre sikkerhet for konfidensiell informasjon funnet i de sendte vedleggene.
- Sørg for at kommunikasjon sendes til de riktige mottakerne ved å unngå risikoen for å sende til feil e-postadresse, adresse eller telefonnummer.
- Få tillatelse før du begynner å bruke offentlige kommunikasjonstjenester.
- Strengere autentiseringsmetoder bør brukes ved sending av data via offentlige nettverk.
- Pålegge begrensninger på bruken av e-kommunikasjonstjenester, f.eks. forbud mot automatisert videresending.
- Råd personell til å unngå å bruke SMS- eller direktemeldingstjenester for å dele sensitive data, siden innholdet kan sees av uautoriserte personer i offentlige områder.
- Gi råd til ansatte og andre interesserte parter om beskyttelsesrisikoen som faksmaskiner kan utgjøre, for eksempel uautorisert tilgang eller feilledende meldinger til visse numre.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Supplerende veiledning om overføring av fysisk lagringsmedier
Når informasjon deles fysisk, bør regler, prosedyrer og avtaler inkludere:
- Partene er ansvarlige for å varsle hverandre om overføring, utsendelse og mottak av informasjon.
- Sørge for at meldingen adresseres riktig og sendes riktig.
- God emballasje eliminerer sjansen for skade på innholdet under transport. For eksempel skal emballasjen være motstandsdyktig mot varme og fuktighet.
- Ledelsen har avtalt en pålitelig, autorisert budliste.
- En oversikt over kureridentifikasjonsstandarder.
- For sensitiv og kritisk informasjon bør det brukes manipulasjonssikre poser.
- Det er viktig å bekrefte identiteten til kurerer.
- Denne listen over tredjeparter, klassifisert i henhold til deres servicenivå, tilbyr transport- eller budtjenester og er godkjent.
- Registrer leveringstidspunkt, autorisert mottaker, sikkerhetstiltak og bekreftelse på mottak på destinasjonen i en logg.
Supplerende veiledning om verbal overføring
Personalet må gjøres oppmerksom på risikoen knyttet til utveksling av informasjon i organisasjonen eller overføring av data til eksterne parter, i samsvar med ISO 27001:2022 Vedlegg A Kontroll 5.14. Disse risikoene inkluderer:
- De bør avstå fra å diskutere konfidensielle saker i usikre offentlige kanaler eller i offentlige områder.
- Man bør ikke legge igjen taleposter med konfidensiell informasjon på grunn av faren for avspilling av de som ikke er autorisert, samt risikoen for omdirigering til tredjeparter.
- Enkeltpersoner, både ansatte og andre aktuelle tredjeparter, bør screenes før de gis adgang til samtaler.
- Rom som brukes til konfidensielle samtaler bør utstyres med nødvendig lydisolering.
- Før du deltar i en sensitiv dialog, bør det utstedes en ansvarsfraskrivelse.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27001:2013?
ISO 27001:2022 vedlegg A 5.14 erstatter ISO 27001:2013 Vedlegg A 13.2.1, 13.2.2 og 13.2.3.
De to kontrollene har en viss likhet, men to store forskjeller gjør kravene i 2022 mer tyngende.
Spesifikke krav for elektriske, fysiske og verbale overføringer
Avsnitt 13.2.3 i 2013-versjonen dekket de spesielle kravene til overføring av data via elektroniske meldinger.
Imidlertid tok den ikke spesifikt for seg overføring av informasjon gjennom verbale eller fysiske midler.
Til sammenligning er 2022-versjonen presis i sin identifikasjon av tre typer informasjonsoverføring, og skisserer nødvendig innhold for hver av dem individuelt.
ISO 27001:2022 setter strengere krav for elektronisk overføring
Avsnitt 13.2.3 i 2022-versjonen stiller strengere krav til innholdet i avtaler om elektroniske meldinger.
Organisasjoner må detaljere og utføre nye forskrifter for digitale overføringer i form av regler, prosedyrer og kontrakter for ISO 27001:2022.
Organisasjoner bør for eksempel advare sine ansatte mot å bruke SMS-tjenester når de overfører sensitiv informasjon.
Detaljerte krav til fysiske overføringer
2022-versjonen pålegger strengere regler for fysisk overføring av lagringsmedier. For eksempel er den mer grundig i sin autentisering av kurerer og sikrer mot ulike former for skade.
Strukturelle endringer
I 2013-versjonen ble det eksplisitt henvist til nødvendige krav til avtaler om informasjonsoverføring. "Regler" og "prosedyrer" ble imidlertid ikke beskrevet i detalj.
For ISO 27001:2022 er det skissert spesifikke kriterier for hver av de tre tilnærmingene.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.online hjelper
Implementering av ISO 27001:2022 kan gjøres enklere med vår trinnvise sjekkliste. Den vil veilede deg gjennom hele prosessen fra å definere omfanget av ISMS til identifisere risikoer og implementere kontroller.
Bestill demonstrasjonen din i dag. Avtaler er tilgjengelige syv dager i uken, så avtal din kl en tid som fungerer for deg.
