ISO 27001:2022 Vedlegg A Kontroll 5.14

Informasjonsoverføring

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Formålet med ISO 27001:2022 vedlegg A 5.14 er å sikre sikkerheten til alle brukerenheter.

Dette betyr at det må iverksettes tiltak for å beskytte enhetene mot skadelig programvare og andre trusler, samt for å opprettholde konfidensialitet, integritet og tilgjengelighet til dataene som er lagret på dem.

ISO 27001: 2022 Vedlegg A Kontroll 5.14 gir organisasjoner mandat til å installere nødvendige regler, prosedyrer eller kontrakter for å opprettholde datasikkerhet når de deles internt eller sendes til eksterne parter.

Eierskap til ISO 27001:2022 vedlegg A Kontroll 5.14

Støtte og aksept fra toppledelsen er avgjørende for utforming og gjennomføring av forskrifter, protokoller og kontrakter.

Det er imidlertid viktig å ha samarbeid og spesialistkunnskap fra ulike aktører i organisasjonen, som juridiske ansatte, IT-personell og toppledere.

Det juridiske teamet bør sikre at organisasjonen inngår overføringsavtaler som følger ISO 27001:2022 vedlegg A Kontroll 5.14. I tillegg bør IT-teamet være aktivt involvert i å spesifisere og utføre kontroller for å sikre data, som angitt i 5.14.

Gå til emnet

100 % av brukerne våre oppnår ISO 27001-sertifisering første gang

Start reisen din i dag
Bestill demoen din

Generell veiledning for ISO 27001:2022 vedlegg A 5.14

Å sikre samsvar med 5.14 krever opprettelse av regler, prosedyrer og avtaler, inkludert en dataoverføringspolicy som er spesifikk for emnet, og gir data under transport et passende beskyttelsesnivå i henhold til klassifiseringen de er tildelt.

Sikkerhetsnivået bør være proporsjonalt med viktigheten og sensitiviteten til dataene som sendes. ISO 27001:2022 vedlegg A 5.14 krever også at organisasjoner inngår overføringsavtaler med mottakende tredjeparter for å sikre sikker overføring av data.

ISO 27001:2022 vedlegg A Kontroll 5.14 kategoriserer overføringstyper i tre grupper:

  • Elektronisk overføring.

  • Fysisk lagringsmedium overføre.

  • Verbal overføring.

Før du går videre med å detaljere de spesifikke kravene til hver type overføring, ISO 27001: 2022 Vedlegg A Kontroll 5.14 skisserer elementene som må være til stede i alle forskrifter, prosedyrer og kontrakter som gjelder alle tre overføringene generelt:

  • Organisasjoner må bestemme passende kontroller basert på klassifiseringsnivået til informasjon for å beskytte den under transport fra uautorisert tilgang, endring, avskjæring, duplisering, ødeleggelse og tjenestenekt-angrep.

  • Organisasjoner må holde oversikt over varetektskjeden under transport og etablere og utføre kontroller for å garantere sporbarhet av data.

  • Spesifiser hvem som er involvert i dataoverføringen og oppgi kontaktinformasjonen deres, for eksempel dataeierne og sikkerhetspersonellet.

  • Ved datainnbrudd skal ansvar fordeles.

  • Implementer et merkesystem for å holde styr på varer.

  • Sikre at overføringstjenesten er tilgjengelig.

  • Retningslinjer angående metodene for informasjonsoverføring bør utvikles i henhold til spesifikke emner.

  • Retningslinjer for lagring og kassering av alle forretningsdokumenter, inkludert meldinger, må følges.

  • Undersøk hvilken innvirkning eventuelle gjeldende lover, forskrifter eller andre forpliktelser kan ha på overføringen.

Supplerende veiledning om elektronisk overføring

ISO 27001:2022 Vedlegg A Kontroll 5.14 beskriver de spesifikke innholdskravene for regler, prosedyrer og avtaler knyttet til de tre typene overføringer. Minimumskravene til innhold må overholdes på tvers av alle tre.

Regler, avtaler og prosedyrer bør ta hensyn til følgende hensyn ved overføring av informasjon elektronisk:

  • Identifisering og forpurring av skadelig programvare er avgjørende. Det er viktig at du bruker den nyeste teknologien for å oppdage og forhindre angrep fra skadelig programvare.

  • Sikre sikkerhet for konfidensiell informasjon funnet i de sendte vedleggene.

  • Sørg for at kommunikasjon sendes til de riktige mottakerne ved å unngå risikoen for å sende til feil e-postadresse, adresse eller telefonnummer.

  • Få tillatelse før du begynner å bruke offentlige kommunikasjonstjenester.

  • Strengere autentiseringsmetoder bør brukes ved sending av data via offentlige nettverk.

  • Pålegge begrensninger på bruken av e-kommunikasjonstjenester, f.eks. forbud mot automatisert videresending.

  • Råd personell til å unngå å bruke SMS- eller direktemeldingstjenester for å dele sensitive data, siden innholdet kan sees av uautoriserte personer i offentlige områder.

  • Gi råd til ansatte og andre interesserte parter om beskyttelsesrisikoen som faksmaskiner kan utgjøre, for eksempel uautorisert tilgang eller feilledende meldinger til visse numre.

Supplerende veiledning om overføring av fysisk lagringsmedier

Når informasjon deles fysisk, bør regler, prosedyrer og avtaler inkludere:

  • Partene er ansvarlige for å varsle hverandre om overføring, utsendelse og mottak av informasjon.

  • Sørge for at meldingen adresseres riktig og sendes riktig.

  • God emballasje eliminerer sjansen for skade på innholdet under transport. For eksempel skal emballasjen være motstandsdyktig mot varme og fuktighet.

  • Ledelsen har avtalt en pålitelig, autorisert budliste.

  • En oversikt over kureridentifikasjonsstandarder.

  • For sensitiv og kritisk informasjon bør det brukes manipulasjonssikre poser.

  • Det er viktig å bekrefte identiteten til kurerer.

  • Denne listen over tredjeparter, klassifisert i henhold til deres servicenivå, tilbyr transport- eller budtjenester og er godkjent.

  • Registrer leveringstidspunkt, autorisert mottaker, sikkerhetstiltak og bekreftelse på mottak på destinasjonen i en logg.

Supplerende veiledning om verbal overføring

Personalet må gjøres oppmerksom på risikoen knyttet til utveksling av informasjon i organisasjonen eller overføring av data til eksterne parter, i samsvar med ISO 27001:2022 Vedlegg A Kontroll 5.14. Disse risikoene inkluderer:

  • De bør avstå fra å diskutere konfidensielle saker i usikre offentlige kanaler eller i offentlige områder.

  • Man bør ikke legge igjen taleposter med konfidensiell informasjon på grunn av faren for avspilling av de som ikke er autorisert, samt risikoen for omdirigering til tredjeparter.

  • Enkeltpersoner, både ansatte og andre aktuelle tredjeparter, bør screenes før de gis adgang til samtaler.

  • Rom som brukes til konfidensielle samtaler bør utstyres med nødvendig lydisolering.

  • Før du deltar i en sensitiv dialog, bør det utstedes en ansvarsfraskrivelse.

Endringer og forskjeller fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 5.14 erstatter ISO 27001:2013 Vedlegg A 13.2.1, 13.2.2 og 13.2.3.

De to kontrollene har en viss likhet, men to store forskjeller gjør kravene i 2022 mer tyngende.

Spesifikke krav for elektriske, fysiske og verbale overføringer

Avsnitt 13.2.3 i 2013-versjonen dekket de spesielle kravene til overføring av data via elektroniske meldinger.

Imidlertid tok den ikke spesifikt for seg overføring av informasjon gjennom verbale eller fysiske midler.

Til sammenligning er 2022-versjonen presis i sin identifikasjon av tre typer informasjonsoverføring, og skisserer nødvendig innhold for hver av dem individuelt.

ISO 27001:2022 setter strengere krav for elektronisk overføring

Avsnitt 13.2.3 i 2022-versjonen stiller strengere krav til innholdet i avtaler om elektroniske meldinger.

Organisasjoner må detaljere og utføre nye forskrifter for digitale overføringer i form av regler, prosedyrer og kontrakter for ISO 27001:2022.

Organisasjoner bør for eksempel advare sine ansatte mot å bruke SMS-tjenester når de overfører sensitiv informasjon.

Detaljerte krav til fysiske overføringer

2022-versjonen pålegger strengere regler for fysisk overføring av lagringsmedier. For eksempel er den mer grundig i sin autentisering av kurerer og sikrer mot ulike former for skade.

Strukturelle endringer

I 2013-versjonen ble det eksplisitt henvist til nødvendige krav til avtaler om informasjonsoverføring. "Regler" og "prosedyrer" ble imidlertid ikke beskrevet i detalj.

For ISO 27001:2022 er det skissert spesifikke kriterier for hver av de tre tilnærmingene.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Implementering av ISO 27001:2022 kan gjøres enklere med vår trinnvise sjekkliste. Den vil veilede deg gjennom hele prosessen fra å definere omfanget av ISMS til identifisere risikoer og implementere kontroller.

Bestill demonstrasjonen din i dag. Avtaler er tilgjengelige syv dager i uken, så avtal din kl en tid som fungerer for deg.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer