- Se ISO 27002:2022 Kontroll 6.7 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 6.2.2 for mer informasjon.
Hva er ISO 27001:2022 vedlegg A 6.7?
ISO 27001:2022 vedlegg A 6.7, Remote Working gir veiledning om hvordan organisasjoner bør ha en policy på plass for å sikre sikker tilgang til informasjonssystemer og nettverk når de arbeider eksternt. Den anbefaler videre implementering av en styringssystem for informasjonssikkerhet som inkluderer prosedyrer for å beskytte ekstern tilgang.
Informasjonssikkerhetsimplikasjoner av fjernarbeid
Fjernarbeid har blitt en mer utbredt trend, ettersom teknologien har avansert for å gjøre det mulig for ansatte å jobbe eksternt uten å påvirke produktiviteten og effektiviteten. Ikke desto mindre kommer dette med potensialet for datasikkerhetsproblemer.
Som bedriftseier er det nødvendig å beskytte åndsverk mot cyberkriminelle og sikre datasikkerheten mot hackere. Ved å iverksette tiltak kan man beskytte seg mot nettkriminalitet og garantere informasjonssikkerhet.
Fjernarbeid kan presentere en rekke sikkerhetsrisikoer som må håndteres, for eksempel:
Access Control
Fjernarbeid kan være fordelaktig, og gi større tilgang til konfidensielle data og systemer. Ikke desto mindre kommer det med flere sikkerhetshensyn.
Fjernarbeid, hvis det ikke overvåkes på riktig måte, kan være sårbart for sikkerhetsproblemer som hacking, skadelig programvare, uautorisert tilgang og mer. Dette er spesielt tilfellet hvis ansatte ikke er til stede i sikre omgivelser.
Tap av fysisk sikkerhet
Fjernarbeid kan også ha en effekt på en bedrifts fysisk sikkerhet. Siden personalet ikke lenger er tilstede på kontoret eller en bygning, kan det hende at de ikke kan oppdage mistenkelige aktiviteter.
Konfidensialitet
Fjernarbeid kan utgjøre en risiko for konfidensialitet. For eksempel kan ansatte få tilgang til konfidensiell informasjon uten tillatelse fra selskapet.
Ansatte kan lett få tilgang til konfidensielle bedriftsdata fra det offentlige nettet. Dessuten er det til og med nettsteder hvor ansatte kan laste opp konfidensielle data for offentlig visning.
Privatliv
Fjernarbeid kan ha en effekt på personvernet til en organisasjon. For eksempel, hvis personell jobber hjemmefra, kan de være mer utsatt for ikke å legge fra seg personlige eiendeler.
Denne egenskapen kan inneholde konfidensielle data som kan sette et firmas personvern i fare.
Data Protection
Fjernarbeid kan utgjøre en fare for en bedrifts data. Ansatte kan for eksempel få tilgang til bedriftsinformasjon eksternt, og disse dataene kan lagres på flere steder.
Ved ansatte som forlater arbeidsplassen og tar med seg enheten, henting av data lagret på datamaskiner, servere og håndholdte enheter kan vise seg å være mer utfordrende.
Arbeideren kan ta feil eller handle i ond tro med enheten og risikere datasikkerheten.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er formålet med ISO 27001:2022 vedlegg A 6.7?
Målet med ISO 27001:2022 vedlegg A 6.7 er å garantere eksternt personell har de nødvendige tilgangskontrollene på plass for å sikre konfidensialitet, integritet og tilgjengelighet til konfidensiell eller proprietær informasjon, prosedyrer og systemer fra uautorisert tilgang eller avsløring av uautoriserte personer.
Organisasjoner må sikre informasjonssikkerhet når personell opererer eksternt. Derfor bør de utstede en skreddersydd policy angående fjernarbeid som fastsetter gjeldende vilkår og grenser for datasikkerhet. Denne policyen bør spres til alt personell, inkludert instruksjoner om hvordan man bruker fjerntilgangsteknologier sikkert og trygt.
Denne policyen tar sannsynligvis opp:
- Forholdene for fjernarbeid er tillatt.
- Prosesser for å sikre at eksterne arbeidere har tilgang til konfidensiell informasjon.
- Å sikre at informasjon er ivaretatt når den overføres mellom ulike fysiske steder, innebærer å følge visse prosedyrer.
Det er viktig å etablere en klar system for rapportering av hendelser, inkludert riktig kontaktinformasjon. Dette kan bidra til å forhindre sikkerhetsbrudd eller andre hendelser.
Retningslinjene bør også dekke kryptering, brannmurer, oppdateringer av antivirusprogramvare og instruksjoner fra ansatte om hvordan man trygt kan bruke eksterne tilkoblinger.
Hva er involvert og hvordan du oppfyller kravene
For å overholde vedlegg A 6.7, bør organisasjoner som tilbyr fjernarbeid utstede en policy angående fjernarbeid som spesifiserer relaterte forskrifter og grenser.
Politikken bør vurderes med jevne mellomrom, spesielt når teknologi eller lovgivning endres.
Alt personell, entreprenører og enheter involvert i fjernarbeidsaktiviteter bør informeres om retningslinjene.
Retningslinjene bør dokumenteres, gjøres tilgjengelige for interessenter, som regulatorer og revisorer, og holdes oppdatert.
Organisasjoner må sørge for at de har de nødvendige sikkerhetstiltakene for å sikre sensitiv eller konfidensiell informasjon som overføres eller lagres elektronisk under fjernoperasjoner.
I samsvar med vedlegg A 6.7, bør følgende tas i betraktning:
- Vurder den fysiske sikkerheten til det eksterne arbeidsstedet, både eksisterende og foreslått, som omfatter sikkerheten til lokaliteten, området rundt og rettssystemene i regionene der personalet er basert.
- Regler for sikre fysiske omgivelser, som låsbare arkivskap, sikker transport mellom nettsteder, forskrifter for fjerntilgang, oversiktlig skrivebord, utskrift og avhending av data og relaterte eiendeler, samt rapportering om sikkerhetshendelser, må implementeres.
- De forventede fysiske miljøene for fjernarbeid.
- Sikker kommunikasjon må sikres, med hensyn til organisasjonens behov for fjerntilgang, sensitiviteten til dataene som overføres, og sårbarheten til systemene og applikasjonene.
- Fjerntilgang, for eksempel virtuell skrivebordstilgang, muliggjør behandling og lagring av informasjon på personlige enheter.
- Faren for uautorisert tilgang til data eller eiendeler fra enkeltpersoner utenfor det eksterne arbeidsområdet – som slektninger og venner – er reell.
- Risikoen for uautorisert tilgang til data eller eiendeler av personer i offentlige områder er en bekymring.
- Bruk av både hjemmenettverk og offentlige nettverk, samt regler eller forbud knyttet til oppsett av trådløse nettverkstjenester, er nødvendig.
- Å bruke sikkerhetstiltak, som brannmurer og beskyttelse mot skadelig programvare, er viktig.
- Sørg for at systemer kan distribueres og initieres eksternt med sikre protokoller.
- Sikre autentiseringsmekanismer må aktiveres for å gi tilgangsprivilegier, med tanke på følsomheten til enkeltfaktorautentiseringsmekanismer når ekstern tilgang til organisasjonens nettverk er autorisert.
Retningslinjer og tiltak som skal tas i betraktning bør omfatte:
- Organisasjonen skal levere egnet utstyr og lagermøbler for fjernarbeid, og forby bruk av privateid utstyr som ikke er under dens kontroll.
- Denne jobben innebærer følgende: å definere tillatt arbeid, klassifisere informasjonen som kan holdes, og autorisere eksterne arbeidere til å få tilgang til interne systemer og tjenester.
- Det bør gis opplæring for de som jobber eksternt og de som tilbyr støtte. Dette bør dekke hvordan man trygt kan drive virksomhet utenfor kontoret.
- Det er viktig å sikre at egnet kommunikasjonsutstyr er tilgjengelig, for eksempel å kreve enhetsskjermlåser og inaktivitetstidtakere for ekstern tilgang.
- Aktivering av enhetsposisjonssporing er mulig.
- Installasjon av fjernsletting er et must.
- Fysisk sikkerhet.
- Retningslinjer og regler vedrørende familie- og besøkendes tilgang til utstyr og data skal følges.
- Virksomheten tilbyr maskinvare- og programvarestøtte og vedlikehold.
- Tilveiebringelse av forsikring.
- Protokollen for sikkerhetskopiering av data og kontinuitet i driften.
- Revisjon og sikkerhetsovervåking.
- Ved avslutning av fjernarbeid skal autoritet og tilgangsrettigheter tilbakekalles og alt utstyr returneres.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 6.7 er en tilpasning av vedlegg A 6.2.2 fra ISO 27001:2013 og ikke et nytt element.
ISO 27001:2022 vedlegg A 6.7 og 6.2.2 deler mange likheter, selv om nomenklaturen og ordlyden er forskjellige. I ISO 27001:2013 omtales 6.2.2 som fjernarbeid, mens 6.7 er kjent som fjernarbeid. Denne endringen gjenspeiles i den nye versjonen av standarden, som erstatter fjernarbeid med fjernarbeid.
I vedlegg A 6.7 til ISO 27001:2022 skisserer standarden hva som kvalifiserer som fjernarbeid, inkludert fjernarbeid – det første kontrollnavnet i ISO 27001:2013-versjonen.
Versjon 2022 av implementeringsretningslinjene er stort sett like, selv om språket og begrepene er forskjellige. For å garantere at brukerne av standarden forstår, benyttes brukervennlig språk.
Noen tillegg ble gjort i vedlegg A 6.7, og noen slettinger skjedde i 6.2.2.
Lagt til ISO 27001:2022 vedlegg A 6.7 Fjernarbeid
- Sørg for fysisk sikkerhet med låsbare arkivskap, gi sikker transport og tilgangsinstruksjoner, beordre klare skrivebordspolicyer, skissere utskrifts-/avhendingsprotokoller for informasjon/ressurser, og implementer et hendelsesresponssystem.
- Det er forventet at folk vil jobbe eksternt. Fysiske forhold forventes.
- Risikoen for uautorisert tilgang til informasjon eller ressurser fra fremmede på offentlige områder.
- Sikre metoder for ekstern distribusjon og oppsett av systemer.
- Sikre mekanismer er på plass for å autentisere og tillate tilgangsrettigheter, tar hensyn til følsomheten til enkeltfaktorautentiseringsmekanismer når ekstern tilgang til organisasjonens nettverk er aktivert.
Fjernet fra ISO 27001:2013 vedlegg A 6.2.2 Fjernarbeid
- Implementering av hjemmenettverk og forskrifter eller begrensninger for konfigurering av trådløse nettverkstjenester er nødvendig.
- Retningslinjer og prosedyrer for å redusere tvister angående rettigheter til åndsverk utviklet på privateid utstyr bør innføres.
- Å få tilgang til privateide maskiner (for å sikre sikkerheten eller for etterforskningsformål) kan være forbudt ved lov.
- Organisasjoner kan være ansvarlige for programvarelisensiering på arbeidsstasjoner som er privateid av enten deres ansatte eller eksterne brukere.
ISO 27001:2022 gir uttalelser om formål og attributttabeller for hver kontroll, og hjelper brukerne med å forstå og implementere kontrollene mer effektivt.
ISO 27001:2013-versjonen mangler disse to komponentene.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvem er ansvarlig for denne prosessen?
Den primære plikten til å utforme en informasjonssikkerhetspolitikk for eksterne ansatte ligger hos organisasjonens informasjonssikkerhetsansvarlige. Likevel bør også andre interessenter involveres i prosessen.
IT- og HR-ledere er i fellesskap ansvarlige for å sikre at policyen implementeres og vedlikeholdes, og at ansatte forstår og etterlever den.
Hvis du har et leverandørstyringsprogram, er det sannsynlig at personen som er ansvarlig for å administrere entreprenører og leverandører vil være ansvarlig for å danne en sikkerhetspolicy for eksterne arbeidere i den avdelingen.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hva betyr disse endringene for deg?
ISO 27001:2022 forblir stort sett uendret; dermed må du bare sørge for at informasjonssikkerhetsprosessene dine er i samsvar med den nye utgivelsen.
Å endre noen kontroller og klargjøre visse krav var hovedendringen. Vedlegg A 6.7 hadde størst effekt – dersom du setter ut drift eller fjernansette personer, må du sørge for at de har passende sikkerhetstiltak.
Hvis organisasjonen din allerede har en ISO 27001-sertifisering, vil prosessen du bruker for å administrere informasjonssikkerhet tilfredsstille det nye regelverket.
Hvis du ønsker å fornye din ISO 27001 sertifisering, trenger du ikke gjøre noe. Bare sørg for at prosedyrene dine fortsatt samsvarer med den nye standarden.
Hvis du starter fra begynnelsen, er det nødvendig å vurdere hvordan du kan sikre din bedrifts data og informasjon mot cyberangrep og andre risikoer.
Det er viktig å ta cyberrisiko på alvor og administrere dem som en del av den overordnede forretningsplanen, i stedet for bare å betrakte dem som et problem for IT- eller sikkerhetsavdelinger.
Hvordan ISMS.online Hjelp
Ocuco ISMS.online plattform bistår med alle aspekter av ISO 27001:2022-implementering, fra å utføre risikovurderingsaktiviteter til utforming av retningslinjer, prosedyrer og direktiver for å tilfredsstille standardens spesifikasjoner.
ISMS.online gir en plattform for å dokumentere og dele funn med kolleger. Videre lar den deg generere og lagre sjekklister over alle nødvendige oppgaver for ISO 27001-implementering, slik at du enkelt kan overvåke organisasjonens sikkerhetstiltak.
Vi gir organisasjoner et sett med automatiserte verktøy for å gjøre det enkelt å demonstrere samsvar med ISO 27001.
Kontakt oss nå for å bestille en demonstrasjon.