ISO 27001:2022 Vedlegg A Kontroll 5.4

Ledelsesansvar

Bestill en demonstrasjon

flerrase, unge, kreative, mennesker, på, moderne, kontor., gruppe, av, unge

ISO 27001:2022, vedlegg A-kontroll 5.4, Ledelsesansvar dekker ledelsens behov for å sikre at alt personell holder seg til alle temaspesifikke retningslinjer for informasjonssikkerhet og prosedyrer som definert i organisasjonens etablerte informasjonssikkerhetspolicy.

Hva er ISO 27001:2022 vedlegg A 5.4 Ledelsesansvar?

Ansatte og entreprenører bør være klar over og oppfylle sine informasjonssikkerhetsansvar som beskrevet i dette vedlegget.

Vedlegg A Kontroll 5.4 beskriver hvordan ansatte og kontraktører anvender informasjonssikkerhet i henhold til organisasjonens retningslinjer og prosedyrer.

Ansvaret pålagt ledere bør omfatte krav til:

  • De må forstå informasjonssikkerhetstruslene, sårbarhetene og kontrollene som er relevante for jobbrollene deres og motta regelmessig opplæring (som skissert i vedlegg A 7.2.2).

  • Styrk kravene i ansettelsesvilkårene ved å sikre buy-in til proaktiv og tilstrekkelig støtte for gjeldende retningslinjer og kontroller for informasjonssikkerhet i vedlegg A.

Det er ledernes ansvar å sikre at sikkerhetsbevissthet og samvittighetsfullhet gjennomsyrer hele organisasjonen og å etablere en passende «sikkerhetskultur».

Retningslinjer for informasjonssikkerhet – hva er de?

An informasjonssikkerhetspolicy er et formelt dokument som gir ledelsesretning, mål og prinsipper for å beskytte en organisasjons informasjon. For å sikre allokering av ressurser på riktig måte, må en effektiv informasjonssikkerhetspolicy skreddersys til en organisasjons spesifikke behov og støttes av toppledelsen.

Den spesifiserer hvordan selskapet vil beskytte sin informasjonskapasitet og hvordan ansatte skal håndtere sensitive data.

bro retningslinjer for informasjonssikkerhet er utviklet av toppledelsen i samarbeid med IT-sikkerhetspersonale og er avledet fra lover, forskrifter og beste praksis.

Et rammeverk for å definere roller og ansvar og en vurderingsperiode bør også inkluderes i policyene.

Gå til emnet
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Hvorfor er ISO 27001:2022 vedlegg A 5.4 viktig?

Vedlegg A Kontroll 5.4 har som mål å sikre at ledelsen er bevisst sitt ansvar for informasjonssikkerhet.

Det tar skritt for å sikre at alle ansatte er klar over dette ansvaret.

Hvordan vedlegg A 5.4 fungerer

Informasjon er en verdifull ressurs som må beskyttes mot tap, skade eller misbruk. Ledelsen må sørge for at det iverksettes tilstrekkelige tiltak for å beskytte denne eiendelen. For å oppnå dette må ledelsen sørge for at alt personell overholder organisasjonens retningslinjer for informasjonssikkerhet, aktuelle retningslinjer og prosedyrer.

Kontroll 5.4 i vedlegg A definerer ledelsesansvar vedrørende informasjonssikkerhet i en organisasjon basert på ISO 27001 sitt rammeverk.

Ledelsen skal være med på informasjonssikkerhetsprogrammet, og alle ansatte og entreprenører må kjenne til informasjonssikkerhetspolicyen og følge den. Sikkerhetspolicyer, emnespesifikke retningslinjer og prosedyrer bør aldri være unntatt fra obligatorisk overholdelse av noen ansatt eller kontraktør.

Prosessen i vedlegg A 5.4 og hva du kan forvente

En organisasjons retningslinjer, standarder og prosedyrer for informasjonssikkerhet må håndheves av ledelsen for å overholde denne vedlegg A-kontrollen.

Å få ledelsens støtte og buy-in er det første trinnet.

For å vise engasjement må ledelsen følge alle sine retningslinjer og prosedyrer. For eksempel hvis sikkerhet bevissthet trening kreves årlig, bør ledere gjennomføre disse kursene selv.

Uansett stilling må alle i bedriften være klar over viktigheten av informasjonssikkerhet. Som det fremgår av selskapets ISMS-program, må alle forstå sin rolle i å opprettholde sikkerheten til sensitive data. Dette inkluderer styret, ledere og ledere og ansatte.

Hva er endringene og forskjellene fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 5.4 Ledelsesansvar var tidligere kjent som Kontroll 7.2.1 Ledelsesansvar. Det er ikke en nylig lagt til kontroll, men en mer robust tolkning av den tilsvarende kontrollen i ISO 27001: 2013.

Det er noen få forskjeller mellom vedlegg A, kontroll 5.4 og kontroll 7.2.1. Disse forskjellene er dokumentert i implementeringsveiledningen for begge.

ISO 27001 Implementeringsretningslinjer Sammenligning for vedlegg A 5.4

Det er ledelsens ansvar å sikre at ansatte og kontraktører følger følgende standarder:

  • Før de får tilgang til konfidensiell informasjon eller informasjonssystemer, er ansatte tilstrekkelig opplært i informasjonssikkerhetsroller og -ansvar.

  • Gi retningslinjer for å angi informasjonssikkerhetsforventninger til deres rolle i organisasjonen.

En organisasjon må:

  • Vær motivert for å sikre at organisasjonens retningslinjer for informasjonssikkerhet følges.

  • Være kjent med deres roller og ansvar når det gjelder informasjonssikkerhet.

  • Overholde organisasjonens informasjonssikkerhetspolicy og hensiktsmessige arbeidsmetoder.

  • Sørge for at ansatte har passende ferdigheter og kvalifikasjoner og får regelmessig opplæring.

  • Rapportering av brudd på informasjonssikkerhet retningslinjer eller prosedyrer kan gjøres anonymt ("varsling").

Ledelsen bør støtte retningslinjer, prosedyrer og vedlegg A-kontroller for informasjonssikkerhet.

Kontroll 5.4 i vedlegg A er mer brukervennlig og krever at ledelsen sørger for at ansatte og oppdragstakere følger følgende retningslinjer:

A) Blir informert om deres ansvar og roller innen informasjonssikkerhet før det gis tilgang til organisasjonens informasjon.

B) Motta retningslinjer som spesifiserer det forventede nivået av informasjonssikkerhet i deres spesifikke roller.

C) Oppfylle organisasjonens retningslinjer for informasjonssikkerhet og temaspesifikke retningslinjer.

D) Bli bevisst deres rolle og ansvar angående informasjonssikkerhet.

E) Overholdelse av arbeidsplassens regler, inkludert organisasjonens datasikkerhetspolicy og arbeidsmetoder.

F) Fortsett å utdanne deg selv i informasjonssikkerhetsferdigheter og kvalifikasjoner.

G) I tilfeller av brudd på retningslinjer for informasjonssikkerhet, emnespesifikke retningslinjer eller prosedyrer ("varsling"), bør ansatte gis en konfidensiell kommunikasjonskanal. En anonym rapporteringsmulighet eller bestemmelser som sikrer at identiteten til rapportereren bare er kjent for de som trenger å håndtere disse rapportene er mulig.

H) Sikre tilstrekkelige ressurser og prosjektplanleggingstid for å implementere sikkerhetsrelaterte prosesser og vedlegg A-kontroller.

De ISO 27001:2022-standarden krever eksplisitt at arbeidere og entreprenører har tilgang til nødvendige ressurser og prosjektplanleggingstid for å implementere sikkerhetsrelaterte prosedyrer og kontroller.

ISO 27001:2013 og ISO 27001:2022 bruker ulike ordlyd for enkelte implementeringsretningslinjer. For eksempel sier retningslinje C i 2013 at ansatte og kontraktører skal være "motivert" til å ta i bruk ISMS-policyer; men i 2022 brukes ordet "mandat".

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan administreres denne prosessen?

Enkelt sagt, et selskaps ledelse sikrer at en ISMS (Styringssystem for informasjonssikkerhet) er på plass.

Det bør utnevnes en informasjonssikkerhetssjef som er kvalifisert, erfaren og ansvarlig for å utvikle, implementere, administrere og kontinuerlig forbedre ISMS.

ISMS.online: Hvordan vi kan hjelpe

Ved implementering av en ISO 27001-justert ISMS, er en sentral utfordring å holde styr på informasjonssikkerhetskontrollene dine. Systemet vårt gjør denne prosessen enkel.

Teamet vårt forstår viktigheten av å beskytte organisasjonens data og omdømme. Følgelig forenkler vår skybaserte plattform implementering av ISO 27001, lar deg etablere et robust rammeverk for informasjonssikkerhetskontroller, og hjelper deg å oppnå sertifisering raskt og enkelt.

Ved hjelp av ISMS.online, kan du raskt oppnå ISO 27001-sertifisering og administrere den etterpå. Vår plattform har ulike brukervennlige funksjoner og verktøysett som sparer deg tid og sikrer at du lager et robust ISMS.

Kontakt oss i dag for planlegg en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din
Metode for sikrede resultater

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer