ISO 27001:2022 vedlegg A 5.10 skisserer reglene for akseptabel bruk og prosedyrer for håndtering av informasjon og andre eiendeler.
Disse bør identifiseres, dokumenteres og implementeres.
Målet med disse retningslinjene er å etablere klare instruksjoner om hvordan personell skal opptre når de håndterer informasjonsmidler, og garantere konfidensialitet, pålitelighet og tilgjengelighet for organisasjonens datasikkerhetsmidler.
Akseptabel bruk av Informasjonsmidler Retningslinjer (AUA) gjelder for alle medlemmer av organisasjonen og alle eiendeler som eies eller drives av dem. Denne policyen gjelder for all bruk, inkludert kommersielle formål, av informasjonsmidler.
Eksempler på informasjonsressurser inkluderer:
Bruk av informasjon og andre relaterte eiendeler krever at de brukes på måter som ikke setter tilgjengeligheten, påliteligheten eller forsvarligheten til data, tjenester eller ressurser i fare. Det innebærer også å bruke dem på måter som ikke strider mot lover eller selskapets retningslinjer.
Hovedmålet med denne kontrollen er å sørge for at informasjon og relaterte eiendeler sikres, brukes og administreres riktig.
ISO 27001:2022 vedlegg A Kontroll 5.10 sikrer at retningslinjer, prosedyrer og tekniske kontroller er på plass for å hindre brukere i å mishandle informasjonsressurser.
Denne kontrollen søker å sette opp en struktur for organisasjoner for å garantere at informasjon og andre ressurser er hensiktsmessig ivaretatt, ansatt og administrert. Det innebærer å sørge for at hensiktsmessige retningslinjer og prosedyrer finnes på alle nivåer i organisasjonen, samt å implementere dem regelmessig.
Implementering av kontroll 5.10 utgjør en del av ditt ISMS og sikrer at bedriften din har de nødvendige kravene på plass for å beskytte IT-midlene, for eksempel:
For å oppfylle ISO 27001:2022s Control 5.10-behov, er det avgjørende at personell, både internt og eksternt, som bruker eller har tilgang til organisasjonens data og tilleggsressurser, er klar over selskapets forutsetninger for informasjonssikkerhet.
De ansvarlige bør holdes ansvarlig for eventuelle databehandlingsressurser de bruker.
Alt personell knyttet til håndtering av informasjon og andre relaterte eiendeler bør være klar over organisasjonens retningslinjer for hensiktsmessig bruk. Det er viktig at alle involverte er informert om retningslinjene.
Alt personell som jobber med informasjon og relaterte eiendeler bør gjøres kjent med selskapets retningslinjer for akseptabel bruk. Som en del av den spesifikke brukspolicyen bør personalet forstå nøyaktig hva som forventes av dem med hensyn til disse ressursene.
Politikken bør gjøre det klart at:
Spesielle retningslinjer knyttet til emnet bør angi at alt personell må følge firmaets direktiver og protokoller:
Utarbeide prosedyrer for akseptabel bruk gjennom hele informasjonens livssyklus, i tråd med dens kategorisering og identifiserte risikoer. Tenk på følgende:
De 2022-versjonen av ISO 27001 ble utgitt i oktober 2022; det er en forbedret versjon av ISO 27001:2013.
Vedlegg A 5.10 i ISO 27001:2022 er ikke nytt; det er en blanding av kontroller 8.1.3 og 8.2.3 fra ISO 27001:2013.
Essensen og gjennomføringsretningslinjene i vedlegg A 5.10 ligner på kontrollene 8.1.3 og 8.2.3, men vedlegg A 5.10 kombinerer både akseptabel bruk av og håndtering av eiendeler til én kontroll for brukervennlighet.
Vedlegg A 5.10 har i tillegg lagt til et ytterligere punkt til 8.2.3, som gjelder godkjenning av avhending av informasjon og eventuelle relaterte eiendeler, samt anbefalt(e) slettingsmetode(r).
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Denne policyen fastsetter reglene for riktig bruk av selskapets informasjon og tilhørende eiendeler, for eksempel datamaskiner, nettverk og systemer, e-post, filer og lagringsmedier. Alle ansatte og entreprenører må forholde seg til den.
Denne policyen tjener til å:
Målet med disse retningslinjene er å angi retningslinjer for hensiktsmessig oppførsel og å detaljere konsekvensene av brudd på dem, for å skape en sikker og respektfull atmosfære for alle.
Sikre at selskapets data og andre relaterte eiendeler utelukkende brukes av gyldige forretningsgrunner. Sikre at ansatte overholder alle lover og forskrifter angående informasjonssikkerhet og forsvare firmaets informasjon og andre relaterte eiendeler mot risikoer som stammer fra i eller utenfor selskapet.
De Informasjonssikkerhetsansvarlig (ISO) har som oppgave å designe, utføre og opprettholde akseptabel bruk av informasjonsressurser.
ISO vil ha ansvaret for å føre tilsyn med bruken av informasjonsressurser på tvers av organisasjonen for å garantere at data brukes på en måte som ivaretar sikkerhet og datanøyaktighet, bevarer konfidensialiteten til privat eller delikat informasjon, avverger misbruk og uautorisert tilgang til dataressurser, og eliminerer all unødvendig eksponering eller ansvar for organisasjonen.
Den nye ISO 27001:2022-standarden er en revisjon, så du trenger ikke gjøre mange endringer for å være i samsvar med den.
Se veiledningen vår om ISO 27001:2022 for å lære mer om implikasjonene av vedlegg A 5.10 for virksomheten din og hvordan du viser samsvar.
ISMS.online gjør ISO 27001 implementering enkel, med en omfattende trinn-for-trinn sjekkliste. Denne veiledningen tar deg gjennom hele prosessen, fra å definere ditt ISMS-omfang til å identifisere risikoer og distribuere kontroller.
Denne modellen skaper et rammeverk for å sette opp, bruke, drifte, observere, evaluere, opprettholde og utvikle et Information Security Management System (ISMS).
Implementering av ISO 27001-standard kan være et omfattende arbeid, men ISMS.online tilbyr en omfattende, one-stop-løsning for å gjøre prosessen mye enklere.
Vår førsteklasses programvare for styringssystem for informasjonssikkerhet tilbyr en ukomplisert måte å forstå hva som må oppnås og hvordan man går frem.
Vi gjør det enkelt å administrere dine overholdelsesbehov. Vi eliminerer bryet og stresset med å oppfylle dine krav.
Ta kontakt i dag for å reservere en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din