ISO 27001:2022, vedlegg A-kontroll 5.4, Ledelsesansvar dekker ledelsens behov for å sikre at alt personell holder seg til alle temaspesifikke retningslinjer for informasjonssikkerhet og prosedyrer som definert i organisasjonens etablerte informasjonssikkerhetspolicy.
Ansatte og entreprenører bør være klar over og oppfylle sine informasjonssikkerhetsansvar som beskrevet i dette vedlegget.
Vedlegg A Kontroll 5.4 beskriver hvordan ansatte og kontraktører anvender informasjonssikkerhet i henhold til organisasjonens retningslinjer og prosedyrer.
Ansvaret pålagt ledere bør omfatte krav til:
Det er ledernes ansvar å sikre at sikkerhetsbevissthet og samvittighetsfullhet gjennomsyrer hele organisasjonen og å etablere en passende «sikkerhetskultur».
An informasjonssikkerhetspolicy er et formelt dokument som gir ledelsesretning, mål og prinsipper for å beskytte en organisasjons informasjon. For å sikre allokering av ressurser på riktig måte, må en effektiv informasjonssikkerhetspolicy skreddersys til en organisasjons spesifikke behov og støttes av toppledelsen.
Den spesifiserer hvordan selskapet vil beskytte sin informasjonskapasitet og hvordan ansatte skal håndtere sensitive data.
bro retningslinjer for informasjonssikkerhet er utviklet av toppledelsen i samarbeid med IT-sikkerhetspersonale og er avledet fra lover, forskrifter og beste praksis.
Et rammeverk for å definere roller og ansvar og en vurderingsperiode bør også inkluderes i policyene.
Vedlegg A Kontroll 5.4 har som mål å sikre at ledelsen er bevisst sitt ansvar for informasjonssikkerhet.
Det tar skritt for å sikre at alle ansatte er klar over dette ansvaret.
Informasjon er en verdifull ressurs som må beskyttes mot tap, skade eller misbruk. Ledelsen må sørge for at det iverksettes tilstrekkelige tiltak for å beskytte denne eiendelen. For å oppnå dette må ledelsen sørge for at alt personell overholder organisasjonens retningslinjer for informasjonssikkerhet, aktuelle retningslinjer og prosedyrer.
Kontroll 5.4 i vedlegg A definerer ledelsesansvar vedrørende informasjonssikkerhet i en organisasjon basert på ISO 27001 sitt rammeverk.
Ledelsen skal være med på informasjonssikkerhetsprogrammet, og alle ansatte og entreprenører må kjenne til informasjonssikkerhetspolicyen og følge den. Sikkerhetspolicyer, emnespesifikke retningslinjer og prosedyrer bør aldri være unntatt fra obligatorisk overholdelse av noen ansatt eller kontraktør.
En organisasjons retningslinjer, standarder og prosedyrer for informasjonssikkerhet må håndheves av ledelsen for å overholde denne vedlegg A-kontrollen.
Å få ledelsens støtte og buy-in er det første trinnet.
For å vise engasjement må ledelsen følge alle sine retningslinjer og prosedyrer. For eksempel hvis sikkerhet bevissthet trening kreves årlig, bør ledere gjennomføre disse kursene selv.
Uansett stilling må alle i bedriften være klar over viktigheten av informasjonssikkerhet. Som det fremgår av selskapets ISMS-program, må alle forstå sin rolle i å opprettholde sikkerheten til sensitive data. Dette inkluderer styret, ledere og ledere og ansatte.
ISO 27001:2022 vedlegg A 5.4 Ledelsesansvar var tidligere kjent som Kontroll 7.2.1 Ledelsesansvar. Det er ikke en nylig lagt til kontroll, men en mer robust tolkning av den tilsvarende kontrollen i ISO 27001: 2013.
Det er noen få forskjeller mellom vedlegg A, kontroll 5.4 og kontroll 7.2.1. Disse forskjellene er dokumentert i implementeringsveiledningen for begge.
Det er ledelsens ansvar å sikre at ansatte og kontraktører følger følgende standarder:
En organisasjon må:
Ledelsen bør støtte retningslinjer, prosedyrer og vedlegg A-kontroller for informasjonssikkerhet.
Kontroll 5.4 i vedlegg A er mer brukervennlig og krever at ledelsen sørger for at ansatte og oppdragstakere følger følgende retningslinjer:
A) Blir informert om deres ansvar og roller innen informasjonssikkerhet før det gis tilgang til organisasjonens informasjon.
B) Motta retningslinjer som spesifiserer det forventede nivået av informasjonssikkerhet i deres spesifikke roller.
C) Oppfylle organisasjonens retningslinjer for informasjonssikkerhet og temaspesifikke retningslinjer.
D) Bli bevisst deres rolle og ansvar angående informasjonssikkerhet.
E) Overholdelse av arbeidsplassens regler, inkludert organisasjonens datasikkerhetspolicy og arbeidsmetoder.
F) Fortsett å utdanne deg selv i informasjonssikkerhetsferdigheter og kvalifikasjoner.
G) I tilfeller av brudd på retningslinjer for informasjonssikkerhet, emnespesifikke retningslinjer eller prosedyrer ("varsling"), bør ansatte gis en konfidensiell kommunikasjonskanal. En anonym rapporteringsmulighet eller bestemmelser som sikrer at identiteten til rapportereren bare er kjent for de som trenger å håndtere disse rapportene er mulig.
H) Sikre tilstrekkelige ressurser og prosjektplanleggingstid for å implementere sikkerhetsrelaterte prosesser og vedlegg A-kontroller.
De ISO 27001:2022-standarden krever eksplisitt at arbeidere og entreprenører har tilgang til nødvendige ressurser og prosjektplanleggingstid for å implementere sikkerhetsrelaterte prosedyrer og kontroller.
ISO 27001:2013 og ISO 27001:2022 bruker ulike ordlyd for enkelte implementeringsretningslinjer. For eksempel sier retningslinje C i 2013 at ansatte og kontraktører skal være "motivert" til å ta i bruk ISMS-policyer; men i 2022 brukes ordet "mandat".
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Enkelt sagt, et selskaps ledelse sikrer at en ISMS (Styringssystem for informasjonssikkerhet) er på plass.
Det bør utnevnes en informasjonssikkerhetssjef som er kvalifisert, erfaren og ansvarlig for å utvikle, implementere, administrere og kontinuerlig forbedre ISMS.
Ved implementering av en ISO 27001-justert ISMS, er en sentral utfordring å holde styr på informasjonssikkerhetskontrollene dine. Systemet vårt gjør denne prosessen enkel.
Teamet vårt forstår viktigheten av å beskytte organisasjonens data og omdømme. Følgelig forenkler vår skybaserte plattform implementering av ISO 27001, lar deg etablere et robust rammeverk for informasjonssikkerhetskontroller, og hjelper deg å oppnå sertifisering raskt og enkelt.
Ved hjelp av ISMS.online, kan du raskt oppnå ISO 27001-sertifisering og administrere den etterpå. Vår plattform har ulike brukervennlige funksjoner og verktøysett som sparer deg tid og sikrer at du lager et robust ISMS.
Kontakt oss i dag for planlegg en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din