ISO 27001:2022 Vedlegg A Kontroll 5.10

Akseptabel bruk av informasjon og andre tilknyttede eiendeler

Bestill en demonstrasjon

john schnobrich flpc9 vocj4 unsplash

ISO 27001:2022 vedlegg A 5.10 skisserer reglene for akseptabel bruk og prosedyrer for håndtering av informasjon og andre eiendeler.

Disse bør identifiseres, dokumenteres og implementeres.

Målet med disse retningslinjene er å etablere klare instruksjoner om hvordan personell skal opptre når de håndterer informasjonsmidler, og garantere konfidensialitet, pålitelighet og tilgjengelighet for organisasjonens datasikkerhetsmidler.

Hva er ISO 27001:2022 vedlegg A 5.10, Akseptabel bruk av informasjon og andre tilknyttede eiendeler?

Akseptabel bruk av Informasjonsmidler Retningslinjer (AUA) gjelder for alle medlemmer av organisasjonen og alle eiendeler som eies eller drives av dem. Denne policyen gjelder for all bruk, inkludert kommersielle formål, av informasjonsmidler.

Eksempler på informasjonsressurser inkluderer:

  • Maskinvare omfatter datamaskiner, håndholdte enheter, telefoner og faksmaskiner.

  • Programvare inkluderer operativsystemer, applikasjoner (inkludert nettbasert), verktøy, fastvare og programmeringsspråk.

  • Denne delen tar for seg strukturerte data i relasjonsdatabaser, flate filer, NoSQL-data, samt ustrukturerte data, for eksempel tekstdokumenter, regneark, bilder, video og lydfiler.

  • Nettverk omfatter både kablede og trådløse systemer, telekommunikasjon og VoIP-tjenester (Voice over Internet Protocol).

  • Skytjenester, e-postkontoer og andre vertstjenester.

Bruk av informasjon og andre relaterte eiendeler krever at de brukes på måter som ikke setter tilgjengeligheten, påliteligheten eller forsvarligheten til data, tjenester eller ressurser i fare. Det innebærer også å bruke dem på måter som ikke strider mot lover eller selskapets retningslinjer.

Gå til emnet
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Hva er formålet med ISO 27001:2022 vedlegg A, kontroll 5.10?

Hovedmålet med denne kontrollen er å sørge for at informasjon og relaterte eiendeler sikres, brukes og administreres riktig.

ISO 27001:2022 vedlegg A Kontroll 5.10 sikrer at retningslinjer, prosedyrer og tekniske kontroller er på plass for å hindre brukere i å mishandle informasjonsressurser.

Denne kontrollen søker å sette opp en struktur for organisasjoner for å garantere at informasjon og andre ressurser er hensiktsmessig ivaretatt, ansatt og administrert. Det innebærer å sørge for at hensiktsmessige retningslinjer og prosedyrer finnes på alle nivåer i organisasjonen, samt å implementere dem regelmessig.

Implementering av kontroll 5.10 utgjør en del av ditt ISMS og sikrer at bedriften din har de nødvendige kravene på plass for å beskytte IT-midlene, for eksempel:

  • Å sikre sikkerheten til data ved lagring, behandling og transitt er avgjørende.

  • Ivaretakelse og riktig bruk av IT-utstyr er avgjørende. Det er viktig å sikre sikkerheten og bruke den på riktig måte.

  • Hensiktsmessige autentiseringstjenester er avgjørende for reguleringen av tilgang til informasjonssystemer.

  • Behandling av informasjon i en organisasjon er begrenset til kun de med riktig autorisasjon.

  • Tildeling av datarelaterte oppgaver til bestemte personer eller roller.

  • Opplæring og opplæring av brukere i deres sikkerhetsforpliktelser er avgjørende. Å sørge for at de forstår sine roller og ansvar bidrar til å sikre sikkerheten til systemet.

Hva er involvert og hvordan du oppfyller kravene

For å oppfylle ISO 27001:2022s Control 5.10-behov, er det avgjørende at personell, både internt og eksternt, som bruker eller har tilgang til organisasjonens data og tilleggsressurser, er klar over selskapets forutsetninger for informasjonssikkerhet.

De ansvarlige bør holdes ansvarlig for eventuelle databehandlingsressurser de bruker.

Alt personell knyttet til håndtering av informasjon og andre relaterte eiendeler bør være klar over organisasjonens retningslinjer for hensiktsmessig bruk. Det er viktig at alle involverte er informert om retningslinjene.

Alt personell som jobber med informasjon og relaterte eiendeler bør gjøres kjent med selskapets retningslinjer for akseptabel bruk. Som en del av den spesifikke brukspolicyen bør personalet forstå nøyaktig hva som forventes av dem med hensyn til disse ressursene.

Politikken bør gjøre det klart at:

  1. Alle ansatte må følge selskapets retningslinjer og prosedyrer.

  2. Ingen ansatte kan foreta noen aktivitet som er i strid med selskapets interesser.

  3. Enhver ansatt som ikke overholder selskapets retningslinjer og prosedyrer vil bli utsatt for disiplinære tiltak.

Spesielle retningslinjer knyttet til emnet bør angi at alt personell må følge firmaets direktiver og protokoller:

  • Forventninger og uakseptable handlinger vedrørende informasjonssikkerhet bør avklares for enkeltpersoner.

  • Tillatt og forbudt bruk av informasjon og andre eiendeler.

  • Holde øye med organisasjonens drift.

Utarbeide prosedyrer for akseptabel bruk gjennom hele informasjonens livssyklus, i tråd med dens kategorisering og identifiserte risikoer. Tenk på følgende:

  • Tilgangsbegrensninger for å støtte beskyttelsen av hvert sikkerhetsnivå må på plass.

  • Opprettholde et register over autoriserte brukere av informasjon og andre tilhørende eiendeler.

  • Sørg for at sikkerheten til midlertidige eller permanente kopier av informasjon er i samsvar med kravene i konteksten.

  • Å sikre bevaring av de første dataene er av største viktighet.

  • Lagring av eiendeler relatert til informasjon i henhold til produsentens standarder er avgjørende.

  • Merk alle kopier av elektronisk eller fysisk lagringsmedium tydelig for mottakerens oppmerksomhet.

  • Selskapet gir fullmakt til å disponere informasjon og andre eiendeler, samt slettemetode(r) som støttes.

Forskjeller mellom ISO 27001:2013 og ISO 27001:2022

De 2022-versjonen av ISO 27001 ble utgitt i oktober 2022; det er en forbedret versjon av ISO 27001:2013.

Vedlegg A 5.10 i ISO 27001:2022 er ikke nytt; det er en blanding av kontroller 8.1.3 og 8.2.3 fra ISO 27001:2013.

Essensen og gjennomføringsretningslinjene i vedlegg A 5.10 ligner på kontrollene 8.1.3 og 8.2.3, men vedlegg A 5.10 kombinerer både akseptabel bruk av og håndtering av eiendeler til én kontroll for brukervennlighet.

Vedlegg A 5.10 har i tillegg lagt til et ytterligere punkt til 8.2.3, som gjelder godkjenning av avhending av informasjon og eventuelle relaterte eiendeler, samt anbefalt(e) slettingsmetode(r).

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvem er ansvarlig for denne prosessen?

Denne policyen fastsetter reglene for riktig bruk av selskapets informasjon og tilhørende eiendeler, for eksempel datamaskiner, nettverk og systemer, e-post, filer og lagringsmedier. Alle ansatte og entreprenører må forholde seg til den.

Denne policyen tjener til å:

  1. Gi retningslinjer for hensiktsmessig oppførsel til enhver tid.

  2. Skisser konsekvensene av ethvert oppførselsbrudd.

  3. Sikre et trygt og respektfullt miljø for alle.

Målet med disse retningslinjene er å angi retningslinjer for hensiktsmessig oppførsel og å detaljere konsekvensene av brudd på dem, for å skape en sikker og respektfull atmosfære for alle.

Sikre at selskapets data og andre relaterte eiendeler utelukkende brukes av gyldige forretningsgrunner. Sikre at ansatte overholder alle lover og forskrifter angående informasjonssikkerhet og forsvare firmaets informasjon og andre relaterte eiendeler mot risikoer som stammer fra i eller utenfor selskapet.

De Informasjonssikkerhetsansvarlig (ISO) har som oppgave å designe, utføre og opprettholde akseptabel bruk av informasjonsressurser.

ISO vil ha ansvaret for å føre tilsyn med bruken av informasjonsressurser på tvers av organisasjonen for å garantere at data brukes på en måte som ivaretar sikkerhet og datanøyaktighet, bevarer konfidensialiteten til privat eller delikat informasjon, avverger misbruk og uautorisert tilgang til dataressurser, og eliminerer all unødvendig eksponering eller ansvar for organisasjonen.

Hva betyr disse endringene for deg?

Den nye ISO 27001:2022-standarden er en revisjon, så du trenger ikke gjøre mange endringer for å være i samsvar med den.

Se veiledningen vår om ISO 27001:2022 for å lære mer om implikasjonene av vedlegg A 5.10 for virksomheten din og hvordan du viser samsvar.

Hvordan ISMS.online hjelper

ISMS.online gjør ISO 27001 implementering enkel, med en omfattende trinn-for-trinn sjekkliste. Denne veiledningen tar deg gjennom hele prosessen, fra å definere ditt ISMS-omfang til å identifisere risikoer og distribuere kontroller.

Denne modellen skaper et rammeverk for å sette opp, bruke, drifte, observere, evaluere, opprettholde og utvikle et Information Security Management System (ISMS).

Implementering av ISO 27001-standard kan være et omfattende arbeid, men ISMS.online tilbyr en omfattende, one-stop-løsning for å gjøre prosessen mye enklere.

Vår førsteklasses programvare for styringssystem for informasjonssikkerhet tilbyr en ukomplisert måte å forstå hva som må oppnås og hvordan man går frem.

Vi gjør det enkelt å administrere dine overholdelsesbehov. Vi eliminerer bryet og stresset med å oppfylle dine krav.

Ta kontakt i dag for å reservere en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din
Metode for sikrede resultater

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer