Formålet med ISO 27001:2022 vedlegg A 5.3 – oppgavedeling i form av funksjonelt skille er å etablere et styringsrammeverk som skal brukes til å initiere og kontrollere implementering og drift av informasjonssikkerhet i en virksomhet.
I henhold til ISO 27001:2022 Vedlegg A kontroll 5.3, tidligere kjent som 6.1.2 i ISO 27001:2013, er motstridende plikter og motstridende ansvarsområder atskilt.
En organisasjon bør vurdere og implementere hensiktsmessig separering av oppgaver som en del av risikoevaluerings- og behandlingsprosessen. Selv om mindre organisasjoner kan ha problemer med dette, bør prinsippet brukes så mye som mulig og riktig styring og kontroller settes på plass for informasjonskapasitet med høyere risiko/høyere verdi.
For å redusere sannsynligheten for uautorisert eller utilsiktet modifikasjon eller misbruk av organisasjonens eiendeler, må motstridende plikter og ansvarsområder skilles.
Nesten hver organisasjon har et sett med retningslinjer og prosedyrer som styrer den interne driften. Disse retningslinjene og prosedyrene er ment å være dokumentert, men dette er ikke alltid tilfelle.
Det er en fare for at ansatte vil bli forvirret om sine ansvarsområder hvis P&P-ene ikke er gjennomsiktige eller godt kommuniserte. Dette blir enda mer problematisk når ansatte har overlappende eller motstridende ansvarsområder.
Noen ganger kan det oppstå konflikter når ansatte har ansvar knyttet til en bestemt oppgave som er like eller forskjellige. Som et resultat kan ansatte gjøre det samme to ganger eller utføre forskjellige funksjoner som kansellerer andres innsats. Dette sløser bedriftens ressurser og reduserer produktiviteten, noe som påvirker selskapets bunnlinje og moral negativt.
Dette problemet kan unngås ved å sikre at organisasjonen din ikke opplever motstridende ansvarsområder og vet hvorfor og hva du kan gjøre for å forhindre dem. For det meste betyr dette å skille oppgaver slik at ulike personer håndterer ulike organisatoriske roller.
I ISO 27001 har Kontroll 5.3 Segregering av oppgaver som mål å skille motstridende oppgaver. Dette reduserer risikoen for svindel og feil og omgår informasjonssikkerhet kontroller.
I samsvar med ISO 27001, vedlegg A Kontroll 5.3 beskriver implementeringsretningslinjene for å skille organisatoriske oppgaver og plikter.
Ved å delegere deloppgaver til ulike individer, skaper dette prinsippet et system med kontroller og balanser som kan redusere sannsynligheten for at feil og svindel oppstår.
Kontrollen er utformet for å forhindre at en enkelt person kan begå, skjule og rettferdiggjøre upassende handlinger, og dermed redusere risikoen for svindel og feil. Det forhindrer også at en enkelt person overstyrer informasjonssikkerhetskontroller.
I tilfeller der én ansatt har alle rettighetene som kreves for oppgaven, er det mer sannsynlig at det oppstår svindel og feil. Dette er fordi én person kan utføre alt uten noen kontroller og balanser. Det er imidlertid redusert risiko for betydelig skade eller økonomisk tap fra en ansatt når ingen enkeltperson har alle rettighetene som kreves for en bestemt oppgave.
I fravær av riktig separasjon av plikter og ansvar kan det oppstå svindel, misbruk, uautorisert tilgang og andre sikkerhetsproblemer.
I tillegg kreves oppgaveseparering for å redusere risikoen for samarbeid mellom enkeltpersoner. Disse risikoene øker når utilstrekkelig kontroll forhindrer eller oppdager samarbeid.
Som en del av ISO 27001:2022 organisasjonen bør bestemme hvilke plikter og ansvarsområder som trengs å bli separert og implementere handlingsbare separasjonskontroller.
Når slike kontroller ikke er mulig, spesielt for små organisasjoner med et begrenset antall ansatte, kan aktivitetsovervåking, revisjonsspor, og ledelsestilsyn kan brukes. Ved å bruke automatiserte verktøy kan større organisasjoner identifisere og skille roller for å forhindre at motstridende roller blir tildelt.
ISO 27001:2022s vedlegg A-kontroll 5.3 Oppdeling av oppgaver er en revidert versjon av ISO 27001:2013s vedlegg A-kontroll 6.1.2 Oppdeling av oppgaver.
Vedlegg A 5.3 ISO 27001:2022 og vedlegg A 6.1.2 ISO 27001:2013 beskriver de samme grunnleggende egenskapene til kontrollen "Segregation of duties". Den nyeste versjonen definerer imidlertid en rekke aktiviteter som krever segregering under implementering.
Blant disse aktivitetene er:
a) initiere, godkjenne og utføre en endring;
b) be om, godkjenne og implementere tilgangsrettigheter;
c) designe, implementere og gjennomgå kode;
d) utvikle programvare og administrere produksjonssystemer;
e) bruke og administrere applikasjoner;
f) bruke applikasjoner og administrere databaser;
g) utforming, revisjon og sikring av informasjonssikkerhetskontroller.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
| Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Flere personer er ansvarlige for oppgaveseparering i ISO 27001, og begynner med et medlem av toppledelsen. Denne personen er ansvarlig for å sikre at den første risikovurdering har funnet sted.
Som et resultat bør andre grupper av kvalifiserte medarbeidere tildeles prosesser som gjelder ulike deler av organisasjonen. Pålegg for å hindre useriøse ansatte i å undergrave bedriftens sikkerhet, gjøres vanligvis ved å tildele oppgaver til andre arbeidsenheter og avdelingsvise IT-relatert drift og vedlikeholdsaktiviteter.
Arbeidsfordelingen kan ikke etableres korrekt uten en effektiv risikostyring strategi, et hensiktsmessig kontrollmiljø og et hensiktsmessig IT-revisjonsprogram.
ISO 27001:2022 krever bare at du oppdaterer ISMS-prosessene dine for å gjenspeile de forbedrede Annex A-kontrollene, og hvis teamet ditt ikke kan administrere dette, kan ISMS.online det.
I tillegg til DPIA og andre relaterte vurderinger av personopplysninger, i likhet med LIAer, gir ISMS.online enkle, praktiske rammer og maler for informasjonssikkerhet.
Med ISMS.online, kan du dokumentere prosedyrer for styringssystem for informasjonssikkerhet og sjekklister for å sikre samsvar med ISO 27001, og automatisere implementeringsprosessen.
ISMS.online lar deg:
Ved å bruke vår skybaserte plattform kan du sentralt administrere sjekklister, samhandle med kolleger og bruke et omfattende sett med verktøy for å hjelpe organisasjonen din med å opprette og vedlikeholde en ISMS.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
