- Se ISO 27002:2022 Kontroll 5.6 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 6.1.4 for mer informasjon.
Hvorfor engasjement med spesielle interessegrupper styrker informasjonssikkerheten din
Som en del av den reviderte ISO 27001:2022-forskriften, oppfordrer vedlegg A Kontroll 5.6 organisasjoner til å etablere og opprettholde kontakter med spesielle interessegrupper.
Det er også viktig å opprettholde hensiktsmessige kontakter med interessegrupper, sikkerhetsfora og fagforeninger. Det er relevant å huske på at medlemskap i fagorganer, bransjeorganisasjoner, fora og diskusjonsgrupper er inkludert i denne vedlegg A-kontrollen. Dette er når du tilpasser den til dine spesifikke behov.
Det er viktig å forstå hva hver av disse gruppene gjør og hvordan de ble etablert (f.eks. er de for kommersielle formål).
Hva er spesielle interessegrupper?
Generelt er en spesiell interessegruppe en sammenslutning av enkeltpersoner eller organisasjoner som er interessert i et bestemt felt. De jobber sammen for å løse problemer, utvikle løsninger, og tilegne seg kunnskap på området. I vår situasjon, informasjonssikkerhet ville være ekspertiseområdet.
Mange spesielle interessegrupper inkluderer produsenter, spesialistfora og profesjonelle foreninger.
Organisasjoner oppfordres til å bygge nettverk med spesialinteressegrupper, spesialistsikkerhetsfora og fagforeninger i henhold til vedlegg A-kontroll 5.6 i ISO 27001:2022 eller 6.1.4 i ISO 27001:2013.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hvordan fungerer ISO 27001:2022 vedlegg A 5.6?
Nesten alle organisasjoner har i dag et forhold til spesielle interessegrupper. Formålet med vedlegg A-kontroll 5.6 er å sikre at informasjon om informasjonssikkerhet flyter på en god måte blant disse interessegruppene. Dette er enten de er kunder, leverandører eller grupper som påvirker organisasjonen.
Som en del av vedlegg A Kontroll 5.6, er krav, formål og implementeringsretningslinjer for kontakt med interessegrupper gitt. Et sentralt aspekt ved å forbedre informasjonssikkerhetsevner er regelmessig kontakt med relevante interessenter og interesserte parter, inkludert forbrukere og deres representanter, leverandører, partnere og myndighetene.
Et partnerskap kan tillate begge sider å dra nytte av hverandres kunnskap om banebrytende ideer og beste praksis, og dermed gjøre det til en vinn-vinn-situasjon.
Videre kan disse gruppene være i stand til å gi verdifulle forslag eller anbefalinger angående sikkerhetspraksis, prosedyrer eller teknologier. Disse forslagene eller anbefalingene kan sikre systemet ditt samtidig som du oppnår forretningsmålene dine.
Komme i gang og oppfylle kravene i vedlegg A 5.6
En organisasjon må følge ISO 27001:2022 implementeringsretningslinjer ved oppfyllelse av kravene til vedlegg A Kontroll 5.6.
En spesiell interessegruppe eller et forummedlemskap bør gjøre det mulig for medlemmene å:
- Hold deg oppdatert med den nyeste sikkerhetsinformasjonen og lær om beste praksis.
- Opprettholde en oppdatert forståelse av informasjonssikkerhetsmiljøet.
- Hold deg oppdatert på de siste varslene, rådene og oppdateringene knyttet til angrep og sårbarheter.
- Få ekspertråd om informasjonssikkerhet.
- Informer hverandre om de nyeste teknologiene, produktene, tjenestene, truslene eller sårbarhetene.
- I tilfelle en informasjonssikkerhetshendelse, gi passende kontaktpunkter.
Som en del av ISO/IEC 27000 standarder, må et styringssystem for informasjonssikkerhet (ISMS) etableres og vedlikeholdes. Kontroll 5.6 i vedlegg A er en avgjørende del av denne prosessen. Ved å samhandle med spesielle interessegrupper, vil du kunne motta tilbakemeldinger fra kollegaene dine angående effektiviteten til informasjonssikkerhetsprosessene dine.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hva er endringene og forskjellene fra ISO 27001:2013?
ISO 27001:2022, vedlegg A kontroll 5.6, "Kontakt med spesielle interessegrupper," er i hovedsak en oppdatert versjon av ISO 27001:2013 kontroll 6.1.4.
For ISO 27001:2022 er formålet med kontrollen angitt i standarden, mens i 2013-utgaven. Formålet med vedlegg A-kontroll er ikke oppgitt.
I tillegg bruker begge versjonene forskjellige fraseologier til tross for at de har de samme implementeringsretningslinjene.
Med disse forbedringene vil standarden forbli aktuell og relevant i lys av økende sikkerhetsproblemer og teknologisk utvikling. Organisasjoner vil også dra nytte av det siden overholdelse av standarden blir enklere.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan administreres denne prosessen?
Personvern og sikkerhet for data, sammen med overholdelse, håndteres vanligvis av leder for informasjonssikkerhet (også kalt CISO).
Informasjonssikkerhetssjefer (ISMS Managers) kan også håndtere denne rollen, men uten innkjøp fra toppledelsen kan ikke rollen gå videre.
Hvordan påvirker dette organisasjoner?
De som allerede har implementert ISO 27001:2013 må oppdatere sine prosedyrer for å sikre samsvar med den reviderte standarden.
De fleste organisasjoner skal kunne gjøre de nødvendige modifikasjonene til 2022-versjonen uten problemer, selv om det vil være noen endringer. Videre vil sertifiserte organisasjoner ha en toårig overgangsfase der de kan fornye sertifiseringen for å sikre at den overholder den reviderte standarden.
Du kan bedre forstå hvordan ISO 27001:2022 vil påvirke datasikkerhetsoperasjoner og ISO 27001-sertifisering med vår ISO 27001:2022-veiledning.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.Online hjelper
Med ISMS.online, kan du implementere ISO 27001 Vedlegg A kontrollerer og administrerer hele ISMS med vårt brukervennlige system.
Ved å gi deg verktøy og ressurser for å administrere informasjonssikkerhet i din organisasjon, gjør ISMS.online ISO 27001 enklere å implementere. Det vil hjelpe deg med identifisere risikoer, utvikle avbøtende kontroller og implementere dem.
I tillegg til å tilby et administrasjonsdashbord, rapporter og revisjonslogger, vil ISMS.online hjelpe deg med å demonstrere samsvar med standarden.
Bruk av ISMS.online gir enkle, praktiske rammer og maler for informasjonssikkerhet i prosjektledelse, DPIA og andre relaterte vurderinger av personlig informasjon, f.eks. Legitimate Interest Assessments (LIA).
For din tidlige ISMS-suksess kombinerer vi kunnskap og teknologi
Blant funksjonene til vår skybaserte plattform er følgende:
- Dokumenthåndteringssystem med et brukervennlig grensesnitt og omfattende tilpasningsmuligheter.
- Forhåndsskrevne dokumentasjonsmaler som er polerte og velskrevne.
- Prosess for gjennomføre interne revisjoner som er forenklet.
- En metode for å kommunisere med interessenter og ledelse som er effektiv.
- En arbeidsflytmodul for å effektivisere implementeringsprosessen.
Vi har alle disse funksjonene og mer. Til bestill en demo, vennligst ta kontakt med oss i dag.
