- Se ISO 27002:2022 Kontroll 6.3 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 7.2.2 for mer informasjon.
Hva er ISO 27001:2022 vedlegg A 6.3?
ISO 27001: 2022, Vedlegg A 6.3, Informasjonssikkerhetsbevissthet, utdanning og opplæring, understreker behovet for at ansatte får passende instruksjon i informasjonssikkerhet, inkludert regelmessige retningslinjer for oppfriskning av deres roller.
Informasjonssikkerhetsbevissthet, utdanning og opplæring forklart
Informasjonssikkerhetsbevissthet, utdanning og opplæring (IT-sikkerhetsbevissthet) innebærer å informere brukere om betydningen av informasjonssikkerhet og inspirere dem til å forbedre sin datasikkerhetspraksis.
Brukere må informeres om potensielle sikkerhetsrisikoer forbundet med deres aktiviteter og læres hvordan de kan beskytte seg mot dem.
Informasjonssikkerhetsbevissthet, utdanning og opplæring er avgjørende for enhver organisasjons suksess. Alt personell skal forstå betydningen av informasjonssikkerhet og konsekvensene det har for alle.
Jo større forståelse personalet har for hvordan de skal beskytte seg mot cyberfarer, desto sikrere vil organisasjonen din være.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er formålet med ISO 27001:2022 vedlegg A 6.3?
Målet med ISO 27001:2022 vedlegg A 6.3 er å garantere at personell og relevante interessenter er informert om og tilstrekkelig utdannet for å oppfylle deres informasjonssikkerhetsforpliktelser.
ISO 27001:2022 vedlegg A 6.3 beskriver spekteret av aktiviteter som er nødvendige for å sikre at personell har kunnskapen og ferdighetene som er nødvendige for å operere innenfor organisasjonens rammeverk for informasjonssikkerhet. Primært fokuserer denne vedlegg A-kontrollen på å øke bevisstheten om betydningen av informasjonssikkerhet, fremme god praksis og oppmuntre til samsvar med relevante retningslinjer og forskrifter.
Vedlegg A 6.3 Forklart
Informasjonssikkerhetsutdanning, bevissthet og opplæring er viktige komponenter i en organisasjons risikostyringsstrategi og bør innlemmes i sikkerhetspolicyen. Ved å gi ansatte kunnskapen og verktøyene de trenger, kan organisasjoner sikre at deres sikkerhetstiltak er effektive.
ISO 27001:2022 vedlegg A 6.3 skisserer nødvendigheten av at virksomheter har et bevisstgjøringsprogram for informasjonssikkerhet for å gi alt personell passende kunnskap og evner til å ivareta informasjonsressurser. Den gir råd om hva som bør inkluderes i et produktivt bevisstgjøringsprogram.
Organisasjonen må kanskje tilby opplæring i sikkerhetsbevissthet minst én gang i året, eller som risikovurderingen tilsier, til alt personell med tilgang til sensitive informasjonsressurser eller informasjonssystemer som lagrer, behandler eller overfører sensitive data.
Hva er involvert og hvordan du oppfyller kravene
Organisasjoner må implementere en prosess som sikrer at ansatte er tilstrekkelig opplært til å utføre arbeidsoppgavene sine trygt og sikkert, uten at det går på bekostning av informasjonssikkerheten. Trening kan gjennomføres i økter, eller gjennom nettressurser som videoer eller webinarer. Vedlegg A 6.3 tilsier dette.
Informasjonssikkerhetsbevissthet, utdanning og opplæringsprogrammer bør utvikles i tråd med organisasjonens retningslinjer, temaspesifikke retningslinjer og relevante sikkerhetsprosedyrer. Dette bør vurdere informasjonen som trenger beskyttelse og sikkerhetskontrollene på plass for å beskytte den, og bør skje regelmessig.
Å introdusere bevissthet, utdanning og opplæring for både nye ansatte og de som går over til roller som trenger ulike sikkerhetsnivåer, er fordelaktig.
En bevissthetskampanje bør omfatte flere aktiviteter for å øke forståelsen. Dette kan dreie seg om kampanjer, hefter, plakater, nyhetsbrev, nettsider, informasjonsmøter, briefinger, e-læringsmoduler og e-poster.
I henhold til vedlegg A 6.3 bør dette programmet omfatte:
- Ledelsen er opptatt av å sikre informasjonssikkerhet på tvers av organisasjonen.
- Kjennskap til og etterlevelse av relevante informasjonssikkerhetsprosedyrer, inkludert sikkerhetspolicyen og eventuelle tilleggspolicyer, forskrifter, lover, kontrakter og avtaler vedrørende informasjonssikkerhet.
- Personlig ansvarlighet for egne handlinger og passivitet, ansvar for å beskytte informasjon som tilhører organisasjonen og dens interessenter; dette er viktig.
- Grunnleggende sikkerhetsprosedyrer som informasjonssikkerhet hendelsesrapportering (se vedlegg A 6.8) og grunnlinjekontroller som passordsikkerhet bør følges.
- Kontaktpunkter og ressurser for informasjonssikkerhet, inkludert tilleggsmateriell for informasjonssikkerhet.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 er ikke en helt ny kontroll. Denne versjonen av ISO 27001, publisert i oktober 2022, oppdaterer forrige versjon ISO 27001:2013.
ISO 27001:2013 vedlegg A kontroll 7.2.2 mangler attributttabellen og formålserklæringen som er gitt i ISO 27001:2022 vedlegg A kontroll 6.3.
Til tross for variasjonen i kontrolltall, ser det ikke ut til å være andre forskjeller mellom de to vedlegg A-kontrollene. Selv om ordlyden av de to vedlegg A-kontrollene varierer, forblir deres betydning og formål den samme.
Annex A Control 6.3 ble designet for å være mer brukervennlig, slik at folk bedre kan forstå innholdet.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvem er ansvarlig for denne prosessen?
Dette svaret avhenger av organisasjonen din. Mange organisasjoners sikkerhetsteam administrerer deres informasjonssikkerhetsbevissthet, undervisning og opplæringsprogrammer. Noen organisasjoner overlater imidlertid HR-avdelingen eller en annen avdeling til å håndtere det.
Det er viktig å sikre at noen tar ansvar for å formulere og utføre organisasjonens sikkerhetsbevissthetsprogram. Informasjonssikkerhetssjefen bør føre tilsyn med denne personen/avdelingen (hvis forskjellig fra dem selv).
Denne personen bør ha god kunnskap om informasjonssikkerhet og kunne snakke med ansatte om ulike sikkerhetsprotokoller. Videre skal de kunne lage innhold til treningsprogrammene dine og gjennomføre gjentakende opplæring for personell.
Det er viktig å forstå at informasjonssikkerhet ikke bare er IT-oppgaven. Alle ansatte skal holdes ansvarlige. Bedrifter bør opprette et team dedikert til sikkerhet, men de må også sikre at alle forstår betydningen av konfidensialitet og pålitelighet.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hva betyr disse endringene for deg?
ISO 27001:2022 vedlegg A 6.3 er en revisjon av ISO 27001:2013 vedlegg A 7.2.2 og ikke en ny vedlegg A-kontroll. Følgelig vil de fleste organisasjoner ikke kreve å endre noe.
Hvis du allerede har implementert 2013-versjonen av ISO 27001, må du vurdere om disse endringene er relevante for din bedrift. På samme måte hvis du planlegger ISMS sertifisering, må du gjennomgå sikkerhetsprosessene dine for å garantere at de oppfyller den reviderte standarden.
Hvordan ISMS.Online hjelper
ISMS.online gir en helhetlig løsning for implementering av ISO 27001:2022. Det er en nettbasert plattform som gjør det mulig for organisasjoner å demonstrere at de overholder ISO 27001-standardene gjennom strømlinjeformede prosesser, prosedyrer og sjekklister.
Denne plattformen letter ikke bare implementeringen av ISO 27001, men gir også en utmerket ressurs for opplæring av personell i beste praksis for informasjonssikkerhet og dokumentering av all innsats.
Fordelene ved å bruke ISMS.Online er mange:
- Denne plattformen er enkel å bruke og kan nås fra alle enheter.
- Den er fullt justerbar for å passe dine behov.
- Tilpassede arbeidsflyter og prosesser for å passe dine forretningsbehov.
- Treningsressurser for å hjelpe nye medarbeidere til å oppnå ferdigheter raskere.
- Biblioteket inneholder maler for ulike dokumenter, inkludert retningslinjer, prosedyrer, planer og sjekklister.
ISMS.online effektiviserer implementering av ISO 27001, og tilbyr alle ressursene, informasjonen og verktøyene du trenger på ett sted. Bare noen få museklikk er alt som skal til for å sikre at ISMS oppfyller standarden.
Kontakt oss nå for å arrangere en demonstrasjon.
