ISO 27001:2022 Vedlegg A Kontroll 5.11

Retur av eiendeler

Bestill en demonstrasjon

virksomhet,møte,på,et,moderne,kontor

ISO 27001:2022 Kontroll 5.11 i vedlegg A fastsetter at personell og andre interesserte parter må returnere alle eiendeler som eies av organisasjonen ved endring av ansettelse, kontrakt eller avtale.

Ved opphør av arbeidsforhold, kontrakt eller avtale forventes ansatte og eksterne brukere å returnere all informasjon og organisasjonsmidler.

Ansatte, entreprenører og andre må være forpliktet til å erstatte alle eiendeler. Denne forpliktelsen vil være inkludert i de relevante avtalene med ansatte, entreprenører og andre.

En solid, dokumentert prosess skal håndtere avkastningen av eiendeler. Denne prosessen kan dokumenteres for hver enkelt eller leverandør som går gjennom den. Vedlegg A.6.5 for menneskelig sikkerhet, vedlegg 6.6 for konfidensialitetsavtaler, og vedlegg A.5.20 for leverandøraktivitet samkjører dette med utgangskontroller.

Organisasjoner må ha skriftlige retningslinjer som definerer hvilke eiendeler som skal returneres ved oppsigelse og personell for å bekrefte mottak og sikre beholdning og regnskapsføring av eiendeler.

Hva er formålet med vedlegg A 5.11?

Følgende er eksempler på informasjonsressurser for en organisasjon:

  • Fysiske dokumenter.

  • Digitale filer og databaser.

  • Programvare programmer.

  • Selv immaterielle gjenstander som forretningshemmeligheter og intellektuell eiendom.

En bedrifts informasjonsmidler kan være verdifulle på mange måter. Dette inkluderer å inneholde sensitiv informasjon om sine kunder, ansatte eller andre interessenter som dårlige aktører kan utnytte for økonomisk vinning eller identitetstyveri. I tillegg til finansiell, forsknings- og driftsinformasjon, kan de gi konkurrentene dine et konkurransefortrinn hvis de var i stand til å få tilgang til den.

Av denne grunn må alle eiendeler og eiendeler til ansatte og entreprenører som sier opp sitt ansettelsesforhold i en organisasjon returneres.

Som en del av utgangsprosessen, må eiendeler returneres i henhold til prosessen med mindre annet er avtalt og dokumentert:

  • Vedlegg A.5 skisserer trinnene som skal tas hvis ikke-retur er registrert som en sikkerhetshendelse.

  • For å sikre fortsatt beskyttelse, periodiske eiendelsrevisjoner er også nødvendige for å sikre at prosedyren for retur av eiendeler er idiotsikker.
Gå til emnet

Endring av ansettelsesstatus i henhold til ISO 27001:2022 vedlegg a 5.11

Som en del av å endre eller avslutte ansettelse, kontrakter eller avtaler, beskytter kontroll 5.11 organisasjonens eiendeler. Uautoriserte personer har forbud mot å beholde organisasjonens eiendeler (inkludert utstyr, informasjon, programvare, etc.) under denne vedlegg A-kontrollen.

Du må sørge for at dine ansatte og kontraktører ikke tar sensitive data ved å identifisere potensielle trusler og overvåke brukerens aktivitet før de drar.

Når en person sies opp, hindrer denne vedlegg A-kontrollen vedkommende fra å få tilgang til IT-systemer og nettverk. En formell oppsigelsesprosess bør etableres av organisasjoner slik at enkeltpersoner ikke lenger kan få tilgang til noen IT-systemer. Du kan oppnå dette ved å tilbakekalle alle tillatelser, deaktivere kontoer og fjerne tilgang til bygningslokaler.

Det er nødvendig å etablere prosedyrer for å sikre at alle ansatte, kontraktører og andre relevante parter returnerer alle eiendeler som ikke lenger er nødvendige for forretningsformål. Disse eiendelene bør erstattes så snart som mulig.

Organisasjoner bør også sjekke den enkeltes arbeidsområde for å sikre at all sensitiv informasjon har blitt returnert.

Tenk for eksempel:

  • Organisasjonens utstyr (bærbare datamaskiner og flyttbare medier) samles inn ved separasjon.

  • Når kontrakten er fullført, er entreprenørene pålagt å returnere alt utstyr og informasjon.

Bygge en utgangsprosess og hva du trenger å gjøre

En organisasjon må formalisere endrings- eller oppsigelsesprosessen, som inkluderer å returnere alle tidligere utstedte fysiske og elektroniske eiendeler som eies eller er betrodd den.

Eventuelle tilgangsrettigheter, kontoer, digitale sertifikater og passord bør også fjernes som en del av prosessen. Denne formaliseringen er spesielt kritisk når en endring eller oppsigelse skjer uventet, som død eller oppsigelse. Uautorisert tilgang til organisasjonens eiendeler kan føre til en datainnbrudd hvis ikke forhindret.

En sikker avhendings-/returprosess skal sikre at alle eiendeler blir regnskapsført.

ISO 27001:2022 krever at organisasjonen identifiserer og dokumenterer all informasjon og tilhørende eiendeler som skal returneres, inkludert:

  1. Brukerendepunktsenheter.

  2. Bærbare lagringsenheter.

  3. Spesialutstyr.

  4. Autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver.

  5. Fysiske kopier av informasjon.

Etter oppsigelsen skal brukeren fylle ut en formell sjekkliste som inneholder alle elementene som må returneres eller kastes. Denne sjekklisten bør inneholde alle nødvendige signaturer for å bekrefte at eiendelene har blitt returnert eller avhendet på riktig måte.

Hva er endringene og forskjellene fra ISO 27001:2013?

ISO 27001:2013 ble oppdatert i oktober 2022 til ISO 27001:2022.

Vedlegg A-kontroll 5.11 er ikke nytt, men en modifikasjon av vedlegg A-kontroll 8.1.4 – tilbakeføring av eiendeler.

I implementeringsretningslinjene er vedlegg A-kontrollene i hovedsak de samme, med lignende språk og fraseologi. Derimot, ISO 27001:2022s vedlegg A kontroll 5.11 har en attributttabell som lar brukere matche den til det de implementerer. Kontroll 5.11 i ISO 27001:2022 spesifiserer hvilke eiendeler som kan returneres ved slutten av ansettelsesforholdet eller kontraktsavslutning.

Eksempler på disse inkluderer:

  • Brukerendepunktsenheter.

  • Bærbare lagringsenheter.

  • Spesialutstyr.

  • Autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver.

  • Fysiske kopier av informasjon.

I ISO 27001:2013-versjonen er denne listen ikke tilgjengelig.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan påvirker disse endringene deg?

ISO 27001:2022 er en oppdatering av 2013-standarden. Utvalget som fører tilsyn med standarden gjorde ingen vesentlige endringer.

Hvordan ISMS.online Hjelp

Du kan implementere og administrere et ISO 27001/27001 styringssystem for informasjonssikkerhet med ISMS.online, uavhengig av din erfaring med standarden.

Den perfekte fusjonen av kunnskap og teknologi for tidlig ISO 27001-suksess. ISMS.online inkluderer en policy og et verktøy for Kapitalforvaltning.

Med systemet vårt vil du bli veiledet trinn for trinn gjennom å sette opp et ISMS og administrere det:

  • ISMS.online gir en trinn-for-trinn veiledning for implementering av ISO 27001/27002 i enhver organisasjon.

  • Et risikovurderingsverktøy som veileder deg gjennom risikoidentifikasjons- og vurderingsprosessen.

  • Vi tilbyr en policypakke som kan tilpasses for å passe dine behov online.

  • Å administrere dokumenter og poster som en del av ISMS er enklere med et dokumentkontrollsystem.

  • Bedre beslutningstaking gjennom automatisk rapportering.

  • Med vår skybaserte plattform vil du kunne dokumentere bevis på samsvar med ISO 27001 rammeverk med en sjekkliste over prosessene dine.

Ta kontakt i dag for å bestill en demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer