ISO 27001:2022 vedlegg A forklart

Hva er vedlegg A, og hva er endret?

Vedlegg A i ISO 27001 er en del av standarden som viser et sett med klassifiserte sikkerhetskontroller som organisasjoner bruker for å demonstrere samsvar med ISO 27001 6.1.3 (Behandling av informasjonssikkerhetsrisiko) og tilhørende erklæring om anvendelse (se nedenfor).

Den inneholdt tidligere 114 kontroller fordelt på 14 kategorier, som dekket et bredt spekter av emner som tilgangskontroll, kryptografi, fysisk sikkerhet og hendelseshåndtering.

Etter utgivelsen av ISO 27002:2022 (kontroller for informasjonssikkerhet, cybersikkerhet og personvern) 15. februar 2022, har ISO 27001:2022 justert sine vedlegg A-kontroller.

Den nye versjonen av standarden bygger på et komprimert sett med 93 vedlegg A kontroller, inkludert 11 nye kontroller.

Totalt 24 kontroller ble slått sammen fra to, tre eller flere sikkerhetskontroller fra 2013-versjonen, og 58 kontroller fra ISO 27002:2013 ble revidert for å tilpasses det gjeldende miljøet for cybersikkerhet og informasjonssikkerhet.

Hva er en erklæring om anvendelse?

Før du fortsetter, er det verdt å introdusere en anvendbarhetserklæring (SoA) da denne skisserer en organisasjons tilnærming til å implementere spesifiserte vedlegg A-kontroller.

A Statement of Applicability (SoA) i ISO 27001 2022 er et dokument som viser vedlegg A-kontrollene som en organisasjon vil implementere for å oppfylle kravene i standarden. Det er et obligatorisk trinn for alle som planlegger å forfølge ISO 27001-sertifisering.

Din SoA bør inneholde fire hovedelementer:

• En liste over alle kontroller som er nødvendige for å tilfredsstille behandlingsalternativene for informasjonssikkerhetsrisiko, inkludert de som finnes i vedlegg A.
• En uttalelse som skisserer hvorfor alle de ovennevnte kontrollene er inkludert.
• Bekreftelse på gjennomføring.
• Organisasjonens begrunnelse for å utelate noen av vedlegg A-kontrollene.

De nye ISO 27001:2022 kontrollkategoriene forklart

Vedlegg A-kontrollene til ISO 27001:2013 ble tidligere delt inn i 14 kategorier. ISO 27001 2022 bruker en lignende kategorisk tilnærming til informasjonssikkerhet som fordeler prosesser mellom fire toppnivåkategorier.

Vedlegg a-kontroller er nå gruppert i fire kategorier

ISO 27001:2022 vedleggskontrollene har blitt omstrukturert og konsolidert for å gjenspeile gjeldende sikkerhetsutfordringer. De sentrale ISMS-styringsprosessene forblir uendret, men vedlegg A-kontrollsettet er oppdatert for å gjenspeile mer moderne risikoer og tilhørende kontroller.

• Organisasjons
• Ansatte
• Fysisk
• teknologisk

Hver kontroll har i tillegg tildelt en attribusjonstaksonomi. Hver kontroll har nå en tabell med et sett med foreslåtte attributter, og vedlegg A til ISO 27002:2022 gir et sett med anbefalte assosiasjoner.

Disse lar deg raskt justere kontrollvalget ditt med vanlige bransjespråk og internasjonale standarder. Bruken av attributter støtter arbeidet mange selskaper allerede gjør innenfor risikovurderingen og erklæringen om anvendelighet (SoA).

For eksempel kan cybersikkerhetskonsepter som ligner på NIST- og CIS-kontroller skilles ut, og de operasjonelle egenskapene knyttet til andre standarder kan gjenkjennes.

Organisasjonskontroller

• Antall kontroller: 37
• Kontrollnummer: ISO 27001 vedlegg A 5.1 til 5.37

Organisasjonskontroller omfatter forskrifter og tiltak som dikterer en organisasjons helhetlige holdning til databeskyttelse over et bredt spekter av forhold. Disse kontrollene inkluderer retningslinjer, regler, prosesser, prosedyrer, organisasjonsstrukturer og mer.

Personkontroller

• Antall kontroller: 8
• Kontrollnummer: ISO 27001 vedlegg A 6.1 til 6.8

Personkontroller gjør det mulig for virksomheter å regulere den menneskelige komponenten i informasjonssikkerhetsprogrammet deres, ved å definere måten personell samhandler med data og hverandre på. Disse kontrollene dekker sikker personalstyring, personellsikkerhet og bevissthet og opplæring.

Fysiske kontroller

• Antall kontroller: 14
• Kontrollnummer: ISO 27001 vedlegg A 7.1 til 7.13

Fysiske sikkerhetstiltak er tiltak som brukes for å sikre sikkerheten til materielle eiendeler. Disse kan inkludere inngangssystemer, gjestetilgangsprotokoller, avhendingsprosesser, lagringsmediumprotokoller og klare skrivebordspolicyer. Slike sikkerhetstiltak er avgjørende for bevaring av konfidensiell informasjon.

Teknologiske kontroller

• Antall kontroller: 34
• Kontrollnummer: ISO 27001 vedlegg A 8.1 til 8.34

Teknologiske begrensninger dikterer de kybernetiske/digitale forskriftene og prosedyrene som selskaper bør ta i bruk for å utføre en beskyttet, kompatibel IT-infrastruktur, fra autentiseringsteknikker til innstillinger, BUDR-strategier og informasjonslogging.

Hvorfor er vedlegg A viktig for organisasjonen min?

ISO 27001-standarden er formulert på en slik måte at organisasjoner av alle former og størrelser kan tilfredsstille kravene i standarden samtidig som de overholder den grunnleggende forutsetningen om å implementere og opprettholde omfattende informasjonssikkerhetspraksis.

Organisasjoner har ulike alternativer for å oppnå og bevare samsvar med ISO 27001, avhengig av virksomhetens art og omfanget av databehandlingsaktiviteter.

Vedlegg A gir organisasjoner et enkelt sett med veiledning for å lage en godt strukturert informasjonssikkerhetsplan som passer deres eksklusive kommersielle og operasjonelle behov.

Vedlegg A fungerer som et tids- og ressursbesparende verktøy for den innledende sertifiseringen og påfølgende etterlevelsesprosesser og gir grunnlag for revisjoner, prosessgjennomganger og strategisk planlegging. Det kan brukes som et internt styringsdokument (dvs. en risikobehandlingsplan) som legger opp til en formell tilnærming til informasjonssikkerhet.

Forstå risikobehandling i ISO 27001 6.1.3

ISO 27001-krav 6.1.3 handler om å etablere og vedlikeholde en risikovurderingsprosess for informasjonssikkerhet som inkluderer risikoaksept og vurderingskriterier.

ISO 27001 6.1.3 fungerer som en kanal for organisasjoner for å garantere at deres informasjonssikkerhetsrisikoprosedyrer, inkludert deres risikostyringsalternativer, samsvarer med ISOs anbefalte standarder, i jakten på sertifisering.

Risikobehandling som konsept

Sertifiserte og kompatible organisasjoner håndterer risiko på flere måter. Risikostyring er ikke begrenset til de kurative handlingene som er nødvendige for å redusere risikoen. Ved identifisering av en risiko forventes organisasjoner å:

• Aksepter risikoen.
• Behandle risikoen.
• Redusere risikoen.
• Overfør risikoen.
• Unngå risikoen.

ISO 27001 6.1.3 ber organisasjoner om å formulere en risikobehandlingsplan, inkludert sign-off av risikoeiere, og bred aksept av det ISO anser som "restrisiko".

Denne prosessen begynner med identifisering av risiko forbundet med tap av konfidensialitet, integritet og tilgjengelighet av informasjon. Organisasjonen må deretter velge passende behandlingsalternativer for informasjonssikkerhetsrisiko basert på risikovurderingsresultatene.

Andre faktorer

Som et styrende krav er ikke ISO 27001 6.1.3 den ultimate autoriteten for risikostyring. Store organisasjoner integrerer ofte sikkerhetsprotokoller fra andre akkrediteringsenheter (NIST, SOC2s Trust Service Criteria).

Organisasjoner må imidlertid prioritere vedlegg A-kontroller gjennom hele sertifiserings- og samsvarsprosessen – ISO-revisorer er instruert om å identifisere ektheten og relevansen av ISO-regelverket som vanlig, som sådan bør dette være en organisasjons førstevalg når de oppretter en ISO 27001- kompatibelt styringssystem for informasjonssikkerhet.

Spesielle tredjeparts datastandarder for offentlig og privat sektor – slik som National Health Service's Data Security and Protection Toolkit (DSPT) – nødvendiggjør en justering av informasjonssikkerhetsstandarder mellom organisasjoner og de offentlige enhetene de har sammenheng med.

ISO 27001 6.1.3 tillater organisasjoner å koordinere sin risikobehandlingsoperasjon med en rekke eksterne kriterier, noe som muliggjør omfattende overholdelse av alle datasikkerhetstiltak de sannsynligvis vil møte.

Hvilke vedlegg A-kontroller bør jeg inkludere?

Det er viktig å måle bedriftens eksklusive informasjonssikkerhetsrisikoer før du etablerer en løsning på hvilke kontroller som skal innføres og velger kontroller som vil hjelpe til med å dempe identifiserbare risikoer.

I tillegg til risikobehandling, kan kontroller også velges på grunn av en bedrifts- eller forretningsintensjon eller -mål, et lovlig krav eller i oppfyllelse av kontraktsmessige og/eller regulatoriske forpliktelser.

Dessuten er organisasjoner forpliktet til å illustrere hvorfor de ikke har integrert visse kontroller i sin SOA – f.eks. er det ingen nødvendighet å innlemme kontroller som adresserer fjern- eller hybridarbeid hvis det ikke er en policy institusjonen din praktiserer, men en revisor vil fortsatt kreve å være presentert med disse dataene når du evaluerer sertifiserings-/samsvarsoppgavene dine.

Hvordan ISMS.online kan hjelpe

ISMS.online-plattformen, kombinert med vår innebygde veiledning og forhåndskonfigurerte ISMS, gjør det mulig for organisasjoner å demonstrere samsvar med hver vedlegg A-kontroll uten problemer. Vi er her for å hjelpe deg enten du er ny i ISO 27001 eller er pålagt å overføre ditt eksisterende ISMS for å samsvare med 2022-versjonen av standarden.

Vår trinnvise sjekkliste guider deg gjennom hele prosessen, og gir tydelig oversikt over fremdrift og utestående krav. Programvaren vår gjør det lettere å kartlegge organisasjonens informasjonssikkerhetskontroller mot hvert aspekt av ISMS.

Bestill en plattformdemo i dag og opplev fordelene med løsningen vår selv.