- Se ISO 27002:2022 Kontroll 8.27 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 14.2.5 for mer informasjon.
ISO 27001:2022 Kontroll 8.27 – Styrking av systemsikkerhet fra bunnen av
ISO 27001: 2022 Vedlegg A 8.27 spesifiserer at organisasjoner skal implementere sikker systemarkitektur og tekniske prinsipper for å sikre at utforming, implementering og styring av informasjonssystemet er hensiktsmessig i forhold til organisasjonens sikkerhetskrav. Dette inkluderer etablering av sikre systemarkitekturer, ingeniørprinsipper og sikker designpraksis.
De intrikate strukturene til moderne informasjonssystemer, kombinert med det ustanselige skiftende miljøet for cybersikkerhetsrisiko, gjør informasjonssystemer mer utsatt for eksisterende og potensielle sikkerhetstrusler.
Vedlegg A 8.27 skisserer hvordan organisasjoner kan beskytte informasjonssystemene deres fra sikkerhetstrusler gjennom implementering av sikre systemtekniske prinsipper i alle stadier av informasjonssystemets livssyklus.
Formål med ISO 27001:2022 vedlegg A 8.27
Vedlegg A 8.27 legger til rette for at organisasjoner kan sikre informasjonssystemer i fasene av design, distribusjon og drift, via etablering og implementering av sikre systemingeniørprinsipper som systemingeniører må forholde seg til.
Eierskap til vedlegg A 8.27
Ocuco Sjef for informasjonssikkerhet skal holdes ansvarlig for å bygge opp, opprettholde og sette i verk reglene som styrer sikker utvikling av informasjonssystemer.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Generell veiledning for ISO 27001:2022 vedlegg A 8.27 Samsvar
ISO 27001:2022 vedlegg A 8.27 understreker nødvendigheten for organisasjoner å bygge inn sikkerhet i hele informasjonssystemer, inkludert forretningsprosesser, applikasjoner og dataarkitektur.
Sikker ingeniørpraksis bør implementeres for alle oppgaver knyttet til informasjonssystemer, regelmessig gjennomgått og oppdatert for å ta hensyn til nye trusler og angrepsmønstre.
Vedlegg A 8.27 gjelder også for systemer laget av eksterne leverandører, i tillegg til de som er utviklet og driftet internt.
Organisasjoner bør garantere at praksisen og standardene til tjenesteleverandører er i tråd med deres sikre tekniske protokoller.
ISO 27001:2022 vedlegg A 8.27 krever sikre systemtekniske prinsipper for å ta opp følgende åtte emner:
- Metoder for brukerautentisering.
- Sikker veiledning for øktkontroll.
- Prosedyrer for desinfisering og validering av data.
- Sikkerhetstiltak for å beskytte informasjonsressurser og -systemer mot kjente trusler analyseres omfattende.
- Sikkerhetstiltak analysert for deres evne til å identifisere, eliminere og svare på sikkerhetstrusler.
- Analysere sikkerhetstiltakene som brukes på spesifikke forretningsaktiviteter, for eksempel informasjonskryptering.
- Hvor og hvordan sikkerhetstiltak skal iverksettes. En spesifikk sikkerhetskontroll i vedlegg A kan integreres i den tekniske infrastrukturen som en del av denne prosessen.
- Måten ulike sikkerhetstiltak fungerer sammen og fungerer som et kombinert system.
Veiledning om Zero Trust-prinsippet
Organisasjoner bør huske på disse null-tillit-prinsippene:
- Basert på antakelsen om at organisasjonens systemer allerede er kompromittert og at den definerte perimetersikkerheten til nettverket ikke kan gi tilstrekkelig beskyttelse.
- En policy med "verifisering før tillit" bør vedtas når det gjelder å gi tilgang til informasjonssystemer. Dette sikrer at tilgang kun gis etter gransking, og sørger for at de rette personene har den.
- Å sikre at forespørsler til informasjonssystemer er sikret med ende-til-ende-kryptering, gir sikkerhet.
- Verifikasjonsmekanismer implementeres forutsatt tilgangsforespørsler fra eksterne, åpne nettverk til informasjonssystemer.
- Implementer minst rettigheter og dynamisk tilgangskontroll i samsvar med ISO 27001:2022 vedlegg A 5.15, 5.18 og 8.2. Dette må omfatte autentisering og autorisasjon av sensitiv informasjon og infosystemer som tar hensyn til kontekstuelle aspekter som brukeridentiteter (ISO 27001:2022 vedlegg A 5.16) og informasjonsklassifisering (ISO 27001:2022 vedlegg A 5.12).
- Autentiser identiteten til rekvirenten og verifiser autorisasjonsforespørsler for å få tilgang til informasjonssystemer i henhold til autentiseringsinformasjonen i ISO 27001:2022 vedlegg A 5.17, 5.16 og 8.5.
Hva bør sikre systemtekniske teknikker dekke?
Organisasjonen din bør huske på følgende:
- Inkorporerer sikre arkitekturprinsipper som "sikkerhet ved design", "forsvar i dybden", "sikkert feil", "mistro input fra eksterne applikasjoner", "anta brudd", "minste privilegium", "brukervennlighet og administrerbarhet" og "minst funksjonalitet". " er det viktigste.
- Gjennomføre en sikkerhetsorientert designgjennomgang for å oppdage eventuelle informasjonssikkerhetsproblemer og sørge for at sikkerhetstiltak er etablert og oppfyller sikkerhetsbehovene.
- Det er viktig å dokumentere og anerkjenne sikkerhetstiltak som ikke oppfyller kravene.
- Systemherding er avgjørende for sikkerheten til ethvert system.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Hvilke kriterier bør man vurdere når man designer sikre ingeniørprinsipper?
Organisasjoner bør ta hensyn til følgende punkter når de setter opp sikre systemtekniske prinsipper:
- Kravet om å koordinere vedlegg A-kontroller med spesiell sikkerhetsarkitektur er uunnværlig.
- En organisasjons eksisterende tekniske sikkerhetsinfrastruktur, inkludert offentlig nøkkelinfrastruktur, identitetsadministrasjon og forebygging av datalekkasje.
- Kan organisasjonen konstruere og opprettholde den valgte teknologien.
- Kostnaden og tiden som trengs for å oppfylle sikkerhetskravene, tatt i betraktning deres kompleksitet, må vurderes.
- Det er viktig å følge gjeldende beste praksis.
Veiledning om anvendelse av prinsipper for sikker systemteknikk
ISO 27001:2022 vedlegg A 8.27 sier at organisasjoner kan bruke sikre tekniske prinsipper når de setter opp følgende:
- Feiltoleranse og andre motstandsdyktighetsstrategier er avgjørende. De bidrar til å sikre at systemene forblir operative til tross for uventede hendelser.
- Segregering gjennom virtualisering er en teknikk som kan brukes.
- Inngrepssikker, sørg for at systemene forblir sikre og ugjennomtrengelige for ondsinnet forstyrrelse.
Sikker virtualiseringsteknologi kan redusere risikoen for avlytting mellom applikasjoner som kjører på samme enhet.
Det understrekes at manipulasjonsmotstandssystemer kan oppdage både logisk og fysisk manipulasjon av informasjonssystemer, og forhindrer uautorisert tilgang til data.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 8.27 erstatter ISO 27001:2013 vedlegg A 14.2.5 i den reviderte 2022-standarden.
2022-versjonen inneholder mer omfattende krav enn 2013-versjonen, for eksempel:
- I forhold til 2013 gir 2022-versjonen veiledning om hva sikre ingeniørprinsipper bør omfatte.
- I motsetning til 2013-iterasjonen, vurderer 2022-versjonen kriteriene som organisasjoner bør ta hensyn til når de konstruerer sikre systemtekniske prinsipper.
- 2022-versjonen gir veiledning om null-tillit-prinsippet, som ikke var inkludert i 2013-versjonen.
- 2022-utgaven av dokumentet inneholder anbefalinger for sikre ingeniørteknikker, for eksempel "sikkerhet ved design", som ikke var til stede i 2013-versjonen.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
ISO 27001:2022 Organisasjonskontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
ISO 27001:2022 Personkontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
ISO 27001:2022 Fysiske kontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
ISO 27001:2022 teknologiske kontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
Vår trinnvise sjekkliste gjør implementeringen av ISO 27001 til en lek. Vår komplett overholdelsesløsning for ISO/IEC 27001:2022 vil veilede deg gjennom prosessen fra start til slutt.
Ved pålogging kan du forvente opptil 81 % fremgang.
Denne løsningen er helt omfattende og grei.
Nå ut nå for å bestille en demonstrasjon.