- Se ISO 27002:2022 Kontroll 8.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 6.2.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 11.2.8 for mer informasjon.
Protecting Endpoint Devices: A Guide to ISO 27001 Annex A 8.1
Overgangen til fjernarbeid og den økte avhengigheten av mobile enheter har vært fordelaktig for ansattes produktivitet og kostnadsbesparelser for organisasjoner. Dessverre er brukerendepunkter som bærbare datamaskiner, mobiltelefoner og nettbrett utsatt for cybertrusler. Cyberkriminelle bruker ofte disse enhetene for å få ulovlig tilgang til bedriftsnettverk og kompromittere konfidensiell informasjon.
Cyberkriminelle kan forsøke å målrette ansatte med phishing, og overtale dem til å laste ned et vedlegg som er infisert med skadelig programvare, som kan brukes til å spre skadelig programvare gjennom bedriftens nettverk. Dette kan føre til tap av tilgjengelighet, integritet eller konfidensialitet for informasjonsressurser.
A undersøkelse blant 700 IT-fagfolk avslørte at 70 % av organisasjonene opplevde et brudd på informasjonsressurser og IT-infrastruktur på grunn av et brukerenhetsangrep i 2020.
ISO 27001: 2022 Vedlegg A Kontroll 8.1 skisserer trinn organisasjoner kan ta for å sikre at informasjonsressursene deres som er vert for eller behandlet på brukerens endepunktsenheter er beskyttet mot kompromittering, tap eller tyveri. Dette inkluderer å etablere, vedlikeholde og implementere relevante retningslinjer, prosedyrer og teknologitiltak.
Formål med ISO 27001:2022 vedlegg A 8.1
ISO 27001: 2022 Vedlegg A 8.1 tillater selskaper å beskytte og opprettholde sikkerheten, konfidensialiteten, integriteten og tilgjengeligheten til informasjonsressurser som er lagret på eller tilgjengelig fra endepunktbrukerenheter. Dette oppnås ved å etablere passende retningslinjer, prosedyrer og kontroller.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap til vedlegg A 8.1
Ocuco Sjef for informasjonssikkerhet bør ta ansvar for å sikre samsvar med kravene i ISO 27001:2022 vedlegg A Kontroll 8.1, som nødvendiggjør opprettelse og vedlikehold av organisasjonsomfattende retningslinjer, prosedyrer og tekniske tiltak.
Generell veiledning for ISO 27001:2022 vedlegg A 8.1 Samsvar
Organisasjoner må, i henhold til ISO 27001:2022 vedlegg Al 8.1, lage en policy som dekker sikker konfigurasjon og bruk av brukerendepunktsenheter.
Personalet må gjøres oppmerksom på denne policyen, som omfatter:
- Hva slags data, spesielt når det gjelder sikkerhetsnivå, kan behandles, lagres eller brukes i brukerendepunkter?
- Enheter må registreres.
- Fysisk beskyttelse av enheter er obligatorisk.
- Det er forbudt å installere programvare på enheter.
- Regler for installasjon av programvare på enheter og oppdatering av programvare må følges.
- Reglene som regulerer tilkoblingen av brukerendepunktsenheter til det offentlige nettverket eller til nettverk som befinner seg utenfor stedet.
- Tilgangskontroller.
- Lagringsmediets vertsinformasjonsressurser må være kryptert.
- Enheter skal sikres mot inntrengning av skadelig programvare.
- Enheter kan deaktiveres eller sperres fra bruk, og data som er lagret i dem kan slettes eksternt.
- Back-up planer og protokoller bør være på plass.
- Regler for bruk av webapplikasjoner og tjenester.
- Analysere sluttbrukeratferd for å få innsikt i hvordan de samhandler med systemet.
- Flyttbare lagringsmedier, for eksempel USB-stasjoner, kan brukes med stor effekt. Dessuten kan fysiske porter, f.eks. USB-porter, deaktiveres.
- Segregeringsfunksjoner kan brukes til å holde organisasjonens informasjonsressurser forskjellig fra andre eiendeler som er lagret på brukerenheten.
Organisasjoner bør tenke på å forby lagring av ømfintlige data på brukerens endepunktsenheter via tekniske kontroller, ifølge den generelle veiledningen.
Deaktivering av lokale lagringsfunksjoner som SD-kort kan være blant de tekniske kontrollene som brukes.
Organisasjoner bør implementere Configuration Management som skissert i ISO 27001:2022 Annex A Control 8.9 og bruke automatiserte verktøy.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Supplerende veiledning om brukeransvar
Personalet bør informeres om sikkerheten tiltak for brukerendepunktsenheter og deres plikter til å overholde dem. I tillegg bør de forstå sin rolle i implementeringen av disse tiltakene og prosedyrene.
Organisasjoner bør pålegge personell å overholde følgende forskrifter og prosesser:
- Når en tjeneste ikke lenger er nødvendig eller en økt er fullført, bør brukere logge ut og avslutte tjenesten.
- Personell bør ikke forlate enhetene sine uten tilsyn. Når de ikke er i bruk, bør personalet sikre sikkerheten av enhetene deres ved å bruke fysiske tiltak som nøkkellåser og tekniske tiltak som sterke passord.
- Personalet bør utvise ekstra forsiktighet når de bruker endepunktenheter som inneholder konfidensielle data på offentlige steder som mangler sikkerhet.
- Brukerendepunktsenheter må beskyttes mot tyveri, spesielt på farlige steder som hotellrom, møterom eller offentlig transport.
Organisasjoner bør utarbeide et spesielt system for å håndtere tap eller tyveri av brukerens endepunktenheter. Dette systemet må konstrueres med tanke på juridiske, kontraktsmessige og sikkerhetsmessige behov.
Supplerende veiledning om bruk av personlige enheter (BYOD)
Å tillate personell å bruke sine egne enheter til arbeidsrelaterte aktiviteter kan spare organisasjoner penger, men det utsetter konfidensielle data for potensielle risikoer.
ISO 27001:2022 vedlegg A 8.1 foreslår fem ting for organisasjoner å ta hensyn til når de tillater ansatte å bruke sine personlige enheter til arbeidsrelaterte aktiviteter:
- Tekniske tiltak som programvareverktøy bør settes på plass for å skille personlig og forretningsmessig bruk av enheter, og sikre organisasjonens informasjon.
- Personell kan ha tilgang til sin egen enhet under forutsetning av at de samtykker til følgende:
- Personalet erkjenner sin plikt til å fysisk beskytte enheter og oppfylle viktige programvareoppdateringer.
- Personalet samtykker i å ikke hevde noen eierrettigheter over selskapets data.
- Personalet er enig i at dataene i enheten kan fjernslettes hvis de går tapt eller blir stjålet, i samsvar med juridiske retningslinjer for personlig informasjon.
- Sett opp retningslinjer angående rettigheter til åndsverk generert ved hjelp av brukerens endepunkt-gadgets.
- Når det gjelder lovbestemte restriksjoner på slik tilgang, hvordan tilgang til personells private enheter.
- Å tillate ansatte å bruke sine individuelle dingser kan medføre juridisk ansvar forårsaket av bruk av tredjepartsprogramvare på disse gadgetene. Bedrifter bør reflektere over programvarelisensavtalene de har med sine leverandører.
Supplerende veiledning om trådløse tilkoblinger
Organisasjoner bør opprette og opprettholde praksis for:
- Konfigurering av de trådløse tilkoblingene på enhetene bør gjøres med forsiktighet. Sørg for at hver tilkobling er sikker og pålitelig.
- Trådløse eller kablede tilkoblinger, med båndbredde for å overholde emnespesifikke retningslinjer, må brukes.
Ytterligere veiledning om vedlegg A 8.1
Når ansatte tar endepunktenhetene sine ut av organisasjonen, kan dataene som er lagret på dem ha større risiko for å bli kompromittert. Følgelig må organisasjoner implementere ulike sikkerhetstiltak for enheter som brukes utenfor deres lokaler.
ISO 27001:2022 vedlegg A 8.1 advarer organisasjoner om to risikoer forbundet med trådløse tilkoblinger som kan føre til tap av data:
- Trådløse tilkoblinger med begrenset kapasitet kan føre til sammenbrudd av sikkerhetskopiering av data.
- Brukerendepunkter kan noen ganger miste forbindelsen til det trådløse nettverket og planlagte sikkerhetskopier kan svikte. For å sikre datasikkerhet og pålitelighet bør det gjøres regelmessige sikkerhetskopier og tilkobling til det trådløse nettverket bør overvåkes regelmessig.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 8.1 erstatter ISO 27001:2013 vedlegg A 6.2.1 og vedlegg A 12.2.8 i den reviderte 2022-standarden.
Strukturelle forskjeller
I motsetning til ISO 27001:2022 som har en enkelt kontroll som dekker brukerendepunktsenheter (8.1), inneholdt ISO 27001:2013 to separate kontroller: Mobile Device Policy (vedlegg A, kontroll 6.2.1) og uovervåket brukerutstyr (kontroll 11.2.8) ).
Mens ISO 27001:2022 vedlegg A Kontroll 8.1 dekker alle brukerendepunktsenheter som bærbare datamaskiner, nettbrett og mobiltelefoner, adresserte 2013-versjonen kun mobile enheter.
ISO 27001:2022 foreskriver tilleggskrav for brukeransvar
Begge versjoner av avtalen krever et visst nivå av personlig ansvarlighet fra brukere; 2022-versjonen har imidlertid et ekstra krav:
- Personell bør utvise ekstra forsiktighet når de bruker endepunktenheter som inneholder sensitive data i offentlige rom som kan være usikre.
ISO 27001:2022 er mer omfattende når det gjelder BYOD
Sammenlignet med 2013 introduserer vedlegg A 8.1 i 2022 tre nye krav for BYOD (Bring Your Own Device) bruk av personell:
- Det er nødvendig å etablere retningslinjer angående immaterielle rettigheter til kreasjoner laget ved hjelp av brukerendepunktenheter. Slike retningslinjer må være nøyaktige og klare, og sikre at alle relevante parter anerkjenner sine rettigheter og plikter.
- Med tanke på de juridiske grensene for tilgang til personells private enheter, hvordan vil dette administreres?
- Å tillate personell å bruke sine egne enheter kan resultere i juridisk ansvar på grunn av bruk av tredjepartsprogramvare på disse enhetene. Organisasjoner bør tenke over programvarelisensavtalene de har med sine leverandører.
ISO 27001:2022 krever en mer detaljert emnespesifikk policy
I forhold til ISO 27001:2013, må organisasjoner nå implementere en policy som er spesifikk for hvert emne på brukerenheter.
ISO 27001:2022 vedlegg A 8.1 er mer omfattende, og inneholder tre nye elementer som skal inkluderes:
- Analyse av sluttbrukeratferd ble foretatt.
- USB-stasjoner er en fin måte å overføre data på, og fysiske USB-porter kan deaktiveres for å forhindre slike overføringer.
- Segregering av organisasjonens informasjonsressurser kan oppnås ved å utnytte teknologiske muligheter. Dette gjør at ressursene kan skilles fra andre eiendeler som er lagret på brukerenheten.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
ISMS.online er ISO 27001:2022-programvaren for styringssystem. Det letter overholdelse av standarden, og hjelper organisasjoner med å tilpasse sikkerhetspolicyer og -prosedyrer.
Dette skybasert plattform tilbyr et komplett utvalg av verktøy for å hjelpe virksomheter med å lage et ISMS (Information Security Management System) som overholder ISO 27001.
Kontakt oss nå for å arrangere en demonstrasjon.