- Se ISO 27002:2022 Kontroll 8.15 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 12.4.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 12.4.2 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 12.4.3 for mer informasjon.
Formål med ISO 27001:2022 vedlegg A 8.15
Logger er en avgjørende komponent for å oppnå en helhetlig oversikt over IKT-aktiviteter og personellhandlinger. De gjør det mulig for organisasjoner å konstruere en tidslinje med anledninger og undersøke både logiske og fysiske trender på tvers av hele nettverket.
Å produsere tilgjengelige, enkle loggdata er et kritisk aspekt av en organisasjons generelle IKT-plan, sammen med en rekke viktige informasjonssikkerhetskontroller i ISO 27001: 2022.
Logger bør sjekkes regelmessig:
- Registrer hendelser.
- Samle data og få bevis.
- Opprettholde deres integritet.
- Sikre sikkerheten til loggdata fra uautorisert tilgang.
- Identifisere aktiviteter og hendelser som kan forårsake brudd på informasjon/sikkerhet.
- Dette fungerer som en hjelp til både interne og eksterne henvendelser.
Eierskap til vedlegg A 8.15
ISO 27001:2022 vedlegg A 8.15 dekker IT-drift som krever systemadministratortilgang. Det omfatter nettverksadministrasjon og vedlikehold. derfor Leder for IT, eller tilsvarende, er ansvarlig for denne kontrollen.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Veiledning om hendelseslogginformasjon
En hendelse er enhver aktivitet utført av en fysisk eller logisk enhet på et datasystem, for eksempel en forespørsel om data, ekstern pålogging, automatisk avslutning av systemet eller sletting av en fil.
ISO 27001:2022 vedlegg A 8.15 sier at for at hver hendelseslogg skal oppfylle formålet, må den inneholde fem hovedkomponenter:
- Bruker-ID-en knyttet til personen.
- Systemaktivitet kan overvåkes for å identifisere hva som har skjedd.
- På en bestemt dato og klokkeslett skjedde en hendelse.
- Hendelsen fant sted på enheten/systemet og plasseringen ble identifisert.
- Nettverksadresser og protokoller – IP-informasjon.
Veiledning om hendelsestyper
Det er kanskje ikke mulig å logge alle hendelser på et nettverk av praktiske årsaker. Det er kanskje ikke mulig å logge hver hendelse.
ISO 27001:2022 vedlegg A 8.15 spesifiserer ti hendelser som skal logges, da de kan påvirke risiko og opprettholde et passende nivå av informasjonssikkerhet:
- Forsøk på systemtilgang vil bli sporet og overvåket.
- Forsøk på å få tilgang til data og/eller ressurser vil bli overvåket. Enhver slik aktivitet som anses som mistenkelig vil bli rapportert.
- Endringer i system/OS-konfigurasjon.
- Bruk av privilegier på høyt nivå.
- Bruk hjelpeprogrammer eller vedlikeholdsfasiliteter (i henhold til ISO 27001:2022 vedlegg A 8.18).
- Filtilgangsforespørsler, med slettinger, migreringer osv.
- Adgangskontroll alarmer og viktige avbrudd.
- Aktivering og/eller deaktivering av sikkerhetssystemer foran og bak, for eksempel antivirusprogramvare på klientsiden og brannmurbeskyttelsessystemer.
- Identitetsadministrasjon.
- Visse handlinger eller modifikasjoner av systemet/dataene utført under en økt i en applikasjon.
Som ISO 27001:2022 vedlegg A 8.17 skisserer, er det viktig å sikre at alle logger synkroniseres til samme tidskilde (eller kilder), og i tilfelle tredjeparts applikasjonslogger må eventuelle tidsavvik adresseres og dokumenteres.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Veiledning om loggbeskyttelse
Logger er den mest grunnleggende måten å fastslå bruker-, system- og applikasjonsaktivitet på et nettverk, spesielt når undersøkelser finner sted.
Det er viktig for organisasjoner å garantere at brukere, uavhengig av tillatelsesnivåer, ikke kan slette eller endre sine egne hendelseslogger.
Logger skal være fullstendige, nøyaktige og sikret mot alle uautoriserte endringer eller forstyrrelser, inkludert:
- Slettede eller redigerte loggfiler.
- Endringer av meldingstype.
- Unnlatelse av å produsere en logg eller overskriving av logger på grunn av lagrings- eller nettverksproblemer bør unngås.
ISO anbefaler at for å forbedre informasjonssikkerheten, bør logger beskyttes med følgende teknikker:
- Skrivebeskyttet opptak.
- Bruk av offentlige åpenhetsfiler.
- Kryptografisk hashing.
- Bare vedlegg opptak.
Organisasjoner kan kreve å sende logger til leverandører for å løse hendelser og feil. Når dette er nødvendig, bør logger "avidentifiseres" (i henhold til ISO 27001:2022 vedlegg A 8.11) med følgende informasjon maskert:
- IP-adresser.
- Vertsnavn.
- Brukernavn.
For å sikre at PII er beskyttet, bør det tas skritt i samsvar med organisasjonens personvernforskrifter og eksisterende lover (se ISO 27001:2022 vedlegg A 5.34).
Veiledning om logganalyse
Når du vurderer logger for å finne, takle og forklare cybersikkerhetshendelser – med sikte på å forhindre gjentakelser – vurder følgende:
- Personellet som utfører analysen har høy kompetanse.
- Logger analyseres i henhold til selskapets protokoll.
- Hendelsene som skal analyseres må kategoriseres og identifiseres etter type og attributt.
- Unntak som følger av nettverksregler generert av sikkerhetsprogramvare, maskinvare og plattformer skal brukes.
- Den typiske progresjonen av nettverkstrafikk i motsetning til uforutsigbare mønstre.
- Spesialisert dataanalyse avslører trender som er bemerkelsesverdige.
- Trusseletterretning.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Veiledning om loggovervåking
Logganalyse bør utføres sammen med grundig overvåkingsaktiviteter som oppdager viktige mønstre og uvanlig atferd.
Organisasjoner bør ta en todelt tilnærming for å nå sine mål:
- Gjennomgå alle forsøk på å få tilgang til sikre og forretningskritiske ressurser, for eksempel domeneservere, nettportaler og fildelingsplattformer.
- Undersøk DNS-poster for å identifisere utgående trafikk knyttet til ondsinnede kilder og skadelige serverprosedyrer.
- Samle databruksposter fra tjenesteleverandører eller interne systemer for å gjenkjenne eventuell ondsinnet oppførsel.
- Samle poster fra fysiske inngangspunkter, som nøkkelkort/fob-logger og romtilgangsdata.
Tilleggsinformasjon
Organisasjoner bør vurdere å bruke spesialiserte hjelpeprogrammer for å sile gjennom den enorme mengden informasjon som produseres av systemlogger, og dermed spare tid og ressurser når de undersøker sikkerhetshendelser, f.eks. et SIEM-verktøy.
Hvis en organisasjon bruker en skybasert plattform for noen del av sin virksomhet, bør loggadministrasjon være et delt ansvar mellom tjenesteleverandøren og organisasjonen.
Medfølgende vedlegg A kontroller
- ISO 27001:2022 vedlegg A 5.34
- ISO 27001:2022 vedlegg A 8.11
- ISO 27001:2022 vedlegg A 8.17
- ISO 27001:2022 vedlegg A 8.18
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 8.15 erstatter tre kontroller fra ISO 27001:2013 som dekker lagring, administrasjon og analyse av loggfiler:
- 12.4.1 – Hendelseslogging
- 12.4.2 – Beskyttelse av logginformasjon
- 12.4.3 – Administrator- og operatørlogger
ISO 27001:2022 vedlegg A 8.15 tilpasser i stor grad veiledningen fra de tre kontrollene som er diskutert tidligere, og danner en klar protokoll som dekker logging, sammen med noen bemerkelsesverdige tillegg som:
- Retningslinjer som tar for seg beskyttelse av logginformasjon på en utvidet måte.
- Råd om ulike typer hendelser som bør undersøkes nøye.
- Veiledning om overvåking og analyse av logger for å forbedre informasjonssikkerheten.
- Hvordan administrere logger generert av skybaserte plattformer.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
ISMS.online-plattformen legger til rette for hele ISO 27001 implementering, som begynner med risikovurderingsaktiviteter, og avsluttes med etablering av retningslinjer, prosedyrer og retningslinjer for å oppfylle standardens kriterier.
ISMS.online gir organisasjoner en enkel vei til ISO 27001-overholdelse via sitt automatiserte verktøysett. Dens brukervennlige funksjoner gjør det enkelt å demonstrere overholdelse av standarden.
Ta kontakt med oss nå for å arrangere en demonstrasjon.