- Se ISO 27002:2022 Kontroll 5.4 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 7.2.1 for mer informasjon.
Sikre samsvar: Ledelsens veiledning til ISO 27001-kontroll 5.4
ISO 27001:2022, vedlegg A-kontroll 5.4, Ledelsesansvar dekker ledelsens behov for å sikre at alt personell holder seg til alle temaspesifikke retningslinjer for informasjonssikkerhet og prosedyrer som definert i organisasjonens etablerte informasjonssikkerhetspolicy.
Hva er ISO 27001:2022 vedlegg A 5.4 Ledelsesansvar?
Ansatte og entreprenører bør være klar over og oppfylle sine informasjonssikkerhetsansvar som beskrevet i dette vedlegget.
Vedlegg A Kontroll 5.4 beskriver hvordan ansatte og kontraktører anvender informasjonssikkerhet i henhold til organisasjonens retningslinjer og prosedyrer.
Ansvaret pålagt ledere bør omfatte krav til:
- De må forstå informasjonssikkerhetstruslene, sårbarhetene og kontrollene som er relevante for jobbrollene deres og motta regelmessig opplæring (som skissert i vedlegg A 7.2.2).
- Styrk kravene i ansettelsesvilkårene ved å sikre buy-in til proaktiv og tilstrekkelig støtte for gjeldende retningslinjer og kontroller for informasjonssikkerhet i vedlegg A.
Det er ledernes ansvar å sikre at sikkerhetsbevissthet og samvittighetsfullhet gjennomsyrer hele organisasjonen og å etablere en passende «sikkerhetskultur».
Retningslinjer for informasjonssikkerhet – hva er de?
An informasjonssikkerhetspolicy er et formelt dokument som gir ledelsesretning, mål og prinsipper for å beskytte en organisasjons informasjon. For å sikre allokering av ressurser på riktig måte, må en effektiv informasjonssikkerhetspolicy skreddersys til en organisasjons spesifikke behov og støttes av toppledelsen.
Den spesifiserer hvordan selskapet vil beskytte sin informasjonskapasitet og hvordan ansatte skal håndtere sensitive data.
bro retningslinjer for informasjonssikkerhet er utviklet av toppledelsen i samarbeid med IT-sikkerhetspersonale og er avledet fra lover, forskrifter og beste praksis.
Et rammeverk for å definere roller og ansvar og en vurderingsperiode bør også inkluderes i policyene.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hvorfor er ISO 27001:2022 vedlegg A 5.4 viktig?
Vedlegg A Kontroll 5.4 har som mål å sikre at ledelsen er bevisst sitt ansvar for informasjonssikkerhet.
Det tar skritt for å sikre at alle ansatte er klar over dette ansvaret.
Hvordan vedlegg A 5.4 fungerer
Informasjon er en verdifull ressurs som må beskyttes mot tap, skade eller misbruk. Ledelsen må sørge for at det iverksettes tilstrekkelige tiltak for å beskytte denne ressursen. For å oppnå dette må ledelsen sørge for at alt personale følger organisasjonens retningslinjer for informasjonssikkerhet, aktuelle retningslinjer og prosedyrer.
Kontroll 5.4 i vedlegg A definerer ledelsesansvar vedrørende informasjonssikkerhet i en organisasjon basert på ISO 27001 sitt rammeverk.
Ledelsen skal være med på informasjonssikkerhetsprogrammet, og alle ansatte og entreprenører må kjenne til informasjonssikkerhetspolicyen og følge den. Sikkerhetspolicyer, emnespesifikke retningslinjer og prosedyrer bør aldri være unntatt fra obligatorisk overholdelse av noen ansatt eller kontraktør.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Prosessen i vedlegg A 5.4 og hva du kan forvente
En organisasjons retningslinjer, standarder og prosedyrer for informasjonssikkerhet må håndheves av ledelsen for å overholde denne vedlegg A-kontrollen.
Å få ledelsens støtte og buy-in er det første trinnet.
For å vise engasjement må ledelsen følge alle sine retningslinjer og prosedyrer. For eksempel hvis sikkerhet bevissthet trening kreves årlig, bør ledere gjennomføre disse kursene selv.
Uansett stilling må alle i bedriften være klar over viktigheten av informasjonssikkerhet. Som det fremgår av selskapets ISMS-program, må alle forstå sin rolle i å opprettholde sikkerheten til sensitive data. Dette inkluderer styret, ledere og ledere og ansatte.
Hva er endringene og forskjellene fra ISO 27001:2013?
ISO 27001:2022 vedlegg A 5.4 Ledelsesansvar var tidligere kjent som Kontroll 7.2.1 Ledelsesansvar. Det er ikke en nylig lagt til kontroll, men en mer robust tolkning av den tilsvarende kontrollen i ISO 27001: 2013.
Det er noen få forskjeller mellom vedlegg A, kontroll 5.4 og kontroll 7.2.1. Disse forskjellene er dokumentert i implementeringsveiledningen for begge.
ISO 27001 Implementeringsretningslinjer Sammenligning for vedlegg A 5.4
Det er ledelsens ansvar å sikre at ansatte og kontraktører følger følgende standarder:
- Før de får tilgang til konfidensiell informasjon eller informasjonssystemer, er ansatte tilstrekkelig opplært i informasjonssikkerhetsroller og -ansvar.
- Gi retningslinjer for å angi informasjonssikkerhetsforventninger til deres rolle i organisasjonen.
En organisasjon må:
- Vær motivert for å sikre at organisasjonens retningslinjer for informasjonssikkerhet følges.
- Være kjent med deres roller og ansvar når det gjelder informasjonssikkerhet.
- Overholde organisasjonens informasjonssikkerhetspolicy og hensiktsmessige arbeidsmetoder.
- Sørge for at ansatte har passende ferdigheter og kvalifikasjoner og får regelmessig opplæring.
- Rapportering av brudd på informasjonssikkerhet retningslinjer eller prosedyrer kan gjøres anonymt ("varsling").
Ledelsen bør støtte retningslinjer, prosedyrer og vedlegg A-kontroller for informasjonssikkerhet.
Kontroll 5.4 i vedlegg A er mer brukervennlig og krever at ledelsen sørger for at ansatte og oppdragstakere følger følgende retningslinjer:
A) Blir informert om deres ansvar og roller innen informasjonssikkerhet før det gis tilgang til organisasjonens informasjon.
B) Motta retningslinjer som spesifiserer det forventede nivået av informasjonssikkerhet i deres spesifikke roller.
C) Oppfylle organisasjonens retningslinjer for informasjonssikkerhet og temaspesifikke retningslinjer.
D) Bli bevisst deres rolle og ansvar angående informasjonssikkerhet.
E) Overholdelse av arbeidsplassens regler, inkludert organisasjonens datasikkerhetspolicy og arbeidsmetoder.
F) Fortsett å utdanne deg selv i informasjonssikkerhetsferdigheter og kvalifikasjoner.
G) I tilfeller av brudd på retningslinjer for informasjonssikkerhet, emnespesifikke retningslinjer eller prosedyrer ("varsling"), bør ansatte gis en konfidensiell kommunikasjonskanal. En anonym rapporteringsmulighet eller bestemmelser som sikrer at identiteten til rapportereren bare er kjent for de som trenger å håndtere disse rapportene er mulig.
H) Sikre tilstrekkelige ressurser og prosjektplanleggingstid for å implementere sikkerhetsrelaterte prosesser og vedlegg A-kontroller.
Ocuco ISO 27001:2022-standarden krever eksplisitt at arbeidere og entreprenører har tilgang til nødvendige ressurser og prosjektplanleggingstid for å implementere sikkerhetsrelaterte prosedyrer og kontroller.
ISO 27001:2013 og ISO 27001:2022 bruker ulike ordlyd for enkelte implementeringsretningslinjer. For eksempel sier retningslinje C i 2013 at ansatte og kontraktører skal være "motivert" til å ta i bruk ISMS-policyer; men i 2022 brukes ordet "mandat".
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan administreres denne prosessen?
Enkelt sagt, et selskaps ledelse sikrer at en ISMS (Styringssystem for informasjonssikkerhet) er på plass.
Det bør utnevnes en informasjonssikkerhetssjef som er kvalifisert, erfaren og ansvarlig for å utvikle, implementere, administrere og kontinuerlig forbedre ISMS.
ISMS.online: Hvordan vi kan hjelpe
Ved implementering av en ISO 27001-justert ISMS, er en sentral utfordring å holde styr på informasjonssikkerhetskontrollene dine. Systemet vårt gjør denne prosessen enkel.
Teamet vårt forstår viktigheten av å beskytte organisasjonens data og omdømme. Følgelig forenkler vår skybaserte plattform implementering av ISO 27001, lar deg etablere et robust rammeverk for informasjonssikkerhetskontroller, og hjelper deg å oppnå sertifisering raskt og enkelt.
Ved hjelp av ISMS.online, kan du raskt oppnå ISO 27001-sertifisering og administrere den etterpå. Vår plattform har ulike brukervennlige funksjoner og verktøysett som sparer deg tid og sikrer at du lager et robust ISMS.
Kontakt oss i dag for planlegg en demonstrasjon.
