Formål med ISO 27001:2022 vedlegg A 5.23
ISO 27001: 2022 Vedlegg A 5.23 er en ny kontroll som skisserer prosessene som kreves for anskaffelse, bruk, styring av og utgang fra skytjenester, i forhold til organisasjonens unike krav til informasjonssikkerhet.
Vedlegg A Kontroll 5.23 lar organisasjoner først spesifisere og deretter administrere og administrere informasjonssikkerhetskonsepter knyttet til skytjenester, i egenskap av «skytjenestekunde».
Vedlegg A 5.23 er en forebyggende kontroll Det opprettholder risiko ved å spesifisere retningslinjer og prosedyrer som styrer informasjonssikkerhet, innenfor sfæren av kommersielle skytjenester.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap til vedlegg A 5.23
Slik er spredningen av skytjenester det siste tiåret, ISO 27001 Vedlegg A Kontroll 5.23 inneholder en rekke prosedyrer som omfatter mange distinkte elementer av en organisasjons drift.
Gitt at ikke alle skytjenester er IKT-spesifikke – selv om det med rimelighet kan hevdes at de fleste er det – bør eierskapet til vedlegg A Kontroll 5.23 fordeles mellom en organisasjons CTO or COO, avhengig av de gjeldende driftsforholdene.
Veiledning om ISO 27001:2022 vedlegg A Kontroll 5.23 – Organisatoriske forpliktelser
Overholdelse av kontroll 5.23 innebærer å følge det som er kjent som en 'emnespesifikk' tilnærming til skytjenester og informasjonssikkerhet.
Gitt mangfoldet av skytjenester som tilbys, oppmuntrer temaspesifikke tilnærminger organisasjoner til å lage skytjenester-policyer som er skreddersydd for individuelle forretningsfunksjoner, i stedet for å følge en generell policy som gjelder for informasjonssikkerhet og skytjenester over hele linja.
Det skal bemerkes at ISO anser overholdelse av vedlegg A Kontroll 5.23 som et samarbeid mellom organisasjonen og deres skytjenestepartner. Vedlegg A Kontroll 5.23 bør også være nært tilpasset kontroll 5.21 og 5.22, som omhandler henholdsvis informasjonshåndtering i forsyningskjeden og styring av leverandørtjenester.
Uansett hvordan en organisasjon velger å operere, bør ikke vedlegg A, kontroll 5.23 tas isolert, og bør utfylle eksisterende innsats for å administrere leverandørforhold.
Med informasjonssikkerhet i forkant, bør organisasjonen definere:
- Eventuelle relevante sikkerhetskrav eller bekymringer involvert i bruken av en skyplattform.
- Kriteriene som er involvert i valg av skytjenesteleverandør, og hvordan tjenestene deres skal brukes.
- Detaljert beskrivelse av roller og relevante ansvarsområder som styrer hvordan skytjenester skal brukes på tvers av organisasjonen.
- Nøyaktig hvilke informasjonssikkerhetsområder som kontrolleres av skytjenesteleverandøren, og de som faller inn under organisasjonens ansvarsområde.
- De beste måtene å samle først og deretter bruke eventuelle informasjonssikkerhetsrelaterte tjenestekomponenter levert av skytjenesteplattformen.
- Hvordan få kategoriske forsikringer om informasjonssikkerhetsrelaterte kontroller vedtatt av skytjenesteleverandøren.
- Trinnene som må tas for å administrere endringer, kommunikasjon og kontroller på tvers av flere forskjellige skyplattformer, og ikke alltid fra samme leverandør.
- Hendelsesstyring prosedyrer som utelukkende er knyttet til levering av skytjenester.
- Hvordan organisasjonen forventer å administrere sin pågående bruk og/eller engrosadopsjon av skyplattformer, i tråd med deres bredere informasjonssikkerhetsforpliktelser.
- En strategi for opphør eller endring av skytjenester, enten på leverandør-for-leverandør-basis, eller gjennom prosessen med sky-til-lokal-migrering.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Veiledning om vedlegg A Kontroll 5.23 – Skytjenesteavtaler
Vedlegg A Kontroll 5.23 erkjenner at, i motsetning til andre leverandørforhold, er skytjenesteavtaler rigide dokumenter som ikke kan endres i de aller fleste tilfeller.
Med det i tankene bør organisasjoner granske skytjenesteavtaler og sørge for at fire hovedkrav til drift er oppfylt:
- Konfidensialitet.
- Sikkerhet/dataintegritet.
- Tjenestetilgjengelighet.
- Informasjonshåndtering.
Som med andre leverandørkontrakter, før aksept, bør skytjenesteavtaler gjennomgå en grundig risikovurdering som synliggjør potensielle problemer ved kilden.
Som et minimum bør organisasjonen inngå en skytjenesteavtale først når de er overbevist om at følgende 10 bestemmelser er oppfylt:
- Skytjenester leveres og implementeres basert på organisasjonens unike krav knyttet til deres operasjonsområde, inkludert bransjeaksepterte standarder og praksis for skybasert arkitektur og vertsbasert infrastruktur.
- Tilgang til alle skyplattformer oppfyller organisasjonens krav til grenseinformasjonssikkerhet.
- Det tas tilstrekkelig hensyn til antimalware- og antivirustjenester, inkludert proaktiv overvåking og trusselbeskyttelse.
- Skyleverandøren overholder et forhåndsdefinert sett med datalagrings- og behandlingsbestemmelser, knyttet til en eller flere distinkte globale regioner og regulatoriske miljøer.
- Proaktiv støtte gis til organisasjonen dersom skyplattformen skulle få en katastrofal feil eller informasjonssikkerhetsrelatert hendelse.
- Hvis det oppstår behov for å underkontraktere eller på annen måte sette ut noen del av skyplattformen, forblir leverandørens krav til informasjonssikkerhet et konstant hensyn.
- Skulle organisasjonen trenge hjelp til å samle digital informasjon til ethvert relevant formål (lovhåndhevelse, reguleringsjustering, kommersielle formål), vil skytjenesteleverandøren støtte organisasjonen så langt det er mulig.
- Ved slutten av forholdet bør skytjenesteleverandøren gi rimelig støtte og passende tilgjengelighet under overgangs- eller avviklingsperioden.
- Skytjenesteleverandøren bør operere med en robust BUDR-plan som er fokusert på å gjennomføre tilstrekkelig sikkerhetskopiering av organisasjonens data.
- Overføring av alle relevante tilleggsdata fra skytjenesteleverandøren til organisasjonen, inkludert konfigurasjonsinformasjon og kode som organisasjonen har krav på.
Tilleggsinformasjon om vedlegg A-kontroll 5.23
I tillegg til veiledningen ovenfor, foreslår vedlegg A Kontroll 5.23 at organisasjoner danner et nært samarbeid med leverandører av skytjenester, i samsvar med den viktige tjenesten de yter ikke bare i informasjonssikkerhetsmessige termer, men på tvers av en organisasjons hele kommersielle drift.
Organisasjoner, der det er mulig, bør søke etter følgende krav fra skytjenesteleverandører for å forbedre operasjonell motstandskraft og nyte økt informasjonssikkerhet:
- Alle infrastrukturendringer bør kommuniseres på forhånd for å informere organisasjonens eget sett med informasjonssikkerhetsstandarder.
- Organisasjonen må holdes informert om eventuelle endringer i datalagringsprosedyrer som involverer migrering av data til en annen jurisdiksjon eller global region.
- Enhver intensjon fra skytjenesteleverandørens side om å bruke «peer cloud»-leverandører, eller outsource områder av deres drift til underleverandører som kan ha informasjonssikkerhetsimplikasjoner for organisasjonen.
Støtte vedlegg A kontroller
- ISO 27001:2022 vedlegg A 5.21
- ISO 27001:2022 vedlegg A 5.22
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Hva er endringene og forskjellene fra ISO 27001:2013?
Vedlegg A Kontroll 5.23 er en ny kontroll som ikke er med i ISO 27001:2013 på noen måte.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.online hjelper
ISMS.online strømlinjeformer ISO 27001-implementeringsprosessen ved å tilby et sofistikert skybasert rammeverk for å dokumentere prosedyrer for informasjonssikkerhetsstyringssystem og sjekklister for å sikre samsvar med anerkjente standarder.
Når du bruker ISMS.online, vil du kunne:
- Lag et ISMS som er kompatibelt med ISO 27001-standarder.
- Utføre oppgaver og sende inn bevis for å indikere at de har oppfylt kravene i standarden.
- Tildel oppgaver og spor fremdriften mot overholdelse av loven.
- Få tilgang til et spesialisert team med rådgivere som vil hjelpe deg gjennom hele veien mot overholdelse.
Ta kontakt og bestill en demo.
