ISO 27001:2022 Vedlegg A Kontroll 5.37

Dokumenterte driftsprosedyrer

Bestill en demonstrasjon

data,senter,programmerer,bruker,digital,bærbar,datamaskin,vedlikehold,it,spesialist.

Hva er formålet med ISO 27001:2022 vedlegg A 5.37?

ISO 27001:2022 vedlegg A 5.37 beskriver informasjonssikkerhet som en operasjonell aktivitet, der dens bestanddeler utføres og/eller administreres av enkeltpersoner.

Vedlegg A 5.37 skisserer de operasjonelle prosedyrene for å opprettholde en organisasjons informasjonssikkerhetsfasiliteter i henhold til dens dokumenterte behov for å sikre at den forblir effektiv og sikker.

Hvem har eierskap til vedlegg A 5.37?

Vedlegg A 5.37 dekker ulike forhold som kan involvere flere avdelinger og jobbroller. Når det er sagt, er det trygt å anta at de fleste prosedyrene vil påvirke IKT-personell, utstyr og systemer.

Et medlem av toppledelsen ansvarlig for alle IKT-relaterte aktiviteter, som f.eks Leder for IT, bør være ansvarlig for eierskap til vedlegg A 5.37.

Gå til emnet

Generell veiledning om vedlegg A 5.37

Informasjonssikkerhetsrelaterte prosedyrer bør utvikles basert på fem sentrale operasjonelle hensyn:

  1. Forekomster av en aktivitet utført av en eller flere personer på samme måte.

  2. Når en aktivitet utføres sjelden.

  3. Når det er prosedyrer som står i fare for å bli glemt.

  4. Nye aktiviteter som ansatte er ukjente med og derfor har høyere risiko.

  5. Når ansvaret for å utføre en aktivitet overføres til en annen ansatt eller gruppe ansatte.

Der disse tilfellene oppstår, bør driftsprosedyrene tydelig skissere hva som bør gjøres i disse situasjonene:

  • Personer som er ansvarlige – enten det er etablerte eller nye operatører.

  • Retningslinjer for å opprettholde sikkerheten under installasjon og konfigurering av eventuelle relaterte forretningssystemer.

  • Gjennom hele aktiviteten, hvordan informasjon behandles.

  • BUDR-planer og implikasjoner i tilfelle tap av data eller en katastrofehendelse (se Vedlegg A 8.13).

  • Det bør være en kobling mellom avhengigheter og ethvert annet system, inkludert planlegging.

  • Det må være en klar prosedyre for å håndtere "håndteringsfeil" eller diverse hendelser som kan oppstå (se Vedlegg A 8.18).

  • Det bør være en fullstendig liste over personell som kan kontaktes i tilfelle avbrudd, sammen med klare eskaleringsprosedyrer.

  • Driftsmessige retningslinjer for eventuelle relevante lagringsmedium knyttet til aktiviteten (se Vedlegg A 7.10 og Vedlegg A 7.14).

  • I tilfelle systemfeil, hvordan starte og gjenopprette.

  • Logging av revisjonsspor, inkludert system- og hendelseslogger (se Vedlegg A 8.15 og Vedlegg A 8.17).

  • Observasjonssystemer for aktiviteter på stedet som finner sted (se Vedlegg A 7.4).

  • Et robust overvåkingssystem som imøtekommer den operasjonelle kapasiteten, ytelsespotensialet og sikkerheten til aktiviteten.

  • For å opprettholde optimale ytelsesnivåer er det viktig å vite hva som bør gjøres for å opprettholde aktiviteten.

Tilnærmingene ovenfor bør være gjenstand for periodiske og/eller ad hoc gjennomganger når og når det er nødvendig. Alle endringer i prosedyrene bør ratifiseres av ledelsen umiddelbart for å ivareta alle informasjonssikkerhetsaktiviteter som utføres i organisasjonen.

Hva er endringene fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 5.37 erstatter ISO 27001:2013 Vedlegg A 12.1.1 ('Dokumenterte driftsprosedyrer').

ISO 27001:2022 vedlegg A 5.37 utvider ISO 27001:2013 vedlegg A 12.1.1 ved å tilby et mye bredere sett av omstendigheter som vil garantere etterlevelse av en dokumentert prosedyre.

ISO 27001:2013 vedlegg A 12.1.1 skisserer informasjonsbehandlingsaktiviteter som oppstart og avslutning av datamaskiner, sikkerhetskopiering, vedlikehold av utstyr og mediehåndtering. I motsetning, ISO 27001: 2022 Vedlegg A 5.37 utvider omfanget av kontrollen til generaliserte aktiviteter som ikke er begrenset til spesifikke tekniske funksjoner.

Bortsett fra noen få mindre tillegg, som å kategorisere personene som er ansvarlige for en aktivitet, inneholder ISO 27001:2022 vedlegg A 5.37 de samme generelle veiledningspunktene som ISO 27001:2013 vedlegg A 12.1.1

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISO 27001:2022 implementering er forenklet med vår trinnvise sjekkliste som guider deg gjennom alle faser, fra å definere omfanget av ditt ISMS til å identifisere risikoer og implementere kontroller.

Fordeler med ISMS.online inkluderer:

  • Samsvar kan påvises gjennom fullføring av oppgaver og innlevering av bevis.

  • Det er enkelt å overvåke fremdriften i samsvar og delegere ansvar.

  • Tid og krefter spares gjennom hele risikovurdering prosess med det omfattende risikovurderingsverktøysettet.

  • Vi har et dedikert team med konsulenter gjennom hele din etterlevelsesreise tilgjengelig for å hjelpe.

Ta kontakt i dag for å bestill en kort 30-minutters demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Usikker på om du skal bygge eller kjøpe?

Oppdag den beste måten å oppnå ISMS-suksess

Få din gratis guide

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer