ISO 27001:2022 Vedlegg A Kontroll 5.5

Kontakt med offentlige myndigheter

Bestill en demonstrasjon

skyskraper,glass,fasader,på,en,lys,solrik,dag,med,solstråler

ISO 27001:2022 kontroll vedlegg A 5.5 spesifiserer at en organisasjon skal opprettholde en prosess for å kontakte de aktuelle myndighetene i henhold til sine juridiske, regulatoriske og kontraktsmessige forpliktelser.

Du må ha hensiktsmessig kontakt med myndighetene. Når du tilpasser denne vedlegg A-kontrollen, må du være klar over ditt juridiske ansvar når du kontakter myndigheter, slik som politiet, informasjonskommissærens kontor eller andre reguleringsorganer, som i GDPR.

Vurder hvem som skal ta kontakt, under hvilke omstendigheter og hvilken type informasjon som vil bli delt.

Hvordan fungerer ISO 27001:2022 vedlegg A 5.5?

Kontroll 5.5 i vedlegg A sikrer at informasjonssikkerhetsinformasjon flyter riktig mellom organisasjonen og de aktuelle myndighetene angående juridiske, regulatoriske og tilsynsmessige forhold. Det må etableres et egnet forum for å legge til rette for dialog og samarbeid mellom Selskapet og relevante regulatoriske, tilsyns- og juridiske myndigheter.

Den skisserer kravene, formålet og implementeringsinstruksjonene for raskt å identifisere og rapportering av informasjonssikkerhetshendelser. Den skisserer også hvem man skal kontakte i tilfelle en hendelse.

I vedlegg A, kontroll 5.5, identifiserer du hvem som må kontaktes, for eksempel rettshåndhevelse, reguleringsorganer og tilsynsmyndigheter. Du må identifisere disse interessentene før en hendelse inntreffer.

Til adresse informasjonssikkerhet spørsmål, bør organisasjonen etablere og opprettholde uformell kommunikasjon med relevante myndigheter, inkludert:

  • Organisasjonen kommuniserer jevnlig med relevante myndigheter om aktuelle trusler og sårbarheter.

  • Produkt-, tjeneste- eller systemsårbarheter bør rapporteres til relevante myndigheter.

  • Trussel- og sårbarhetsinformasjon fra relevante myndigheter.
Gå til emnet
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Komme i gang og oppfylle kravene i vedlegg A 5.5

Informasjonssikkerhetsrisikoer håndteres gjennom vedlegg A-kontroll 5.5, som etablerer organisasjonens forhold til rettshåndhevende organer.

Kontroll 5.5 i vedlegg A krever at dersom en informasjonssikkerhet hendelsen oppdages, bør organisasjonen spesifisere når og av hvem myndigheter (som rettshåndhevelse, reguleringsorganer og tilsynsmyndigheter) skal varsles og hvordan de skal rapportere identifiserte hendelser så snart som mulig.

I tillegg til å forstå etatenes nåværende og fremtidige forventninger (f.eks. gjeldende regelverk for informasjonssikkerhet), er det også viktig å utveksle informasjon med dem.

For å overholde dette kravet, må organisasjonen ha en sammenhengende strategi for forholdet til rettshåndhevende instanser.

Organisasjonen kan også dra nytte av å holde kontakt med reguleringsorganer for å forutse og forberede kommende endringer i relevante lover eller forskrifter.

Hva er endringene og forskjellene fra ISO 27001:2013?

Kontakt med myndigheter er ikke en nylig lagt til kontroll i ISO 27001:2022. Det var allerede inkludert i ISO 27001:2013 under kontrollnummer 6.1.3. Derfor er vedlegg A-kontrollnummeret oppdatert.

I tillegg til å endre kontrollnummeret, ble fraseologien også endret. Vedlegg A kontroll 5.5 sier: "Organisasjonen bør etablere og opprettholde kontakt med relevante myndigheter." Vedlegg A-kontroll 6.1.3 sier: "Det bør opprettholdes hensiktsmessige kontakter med relevante myndigheter." Hensikten er å gjøre denne kontrollen mer brukervennlig ved å revidere fraseologien.

I 2022-versjonen ble det innført et kontrollformål. Den var ikke inkludert i 2013-versjonen.

Selv om det er subtile forskjeller mellom de to vedlegg A-kontrollene, forblir deres essens den samme.

In ISO 27001:2022 vedlegg A Kontroll 5.5, kontakter med myndigheter bør også brukes for å forstå disse myndighetenes nåværende og kommende forventninger (f.eks. gjeldende informasjonssikkerhetsforskrifter). Dette mangler fra ISO 27001: 2013.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvem har eierskap til vedlegg A 5.5?

Informasjonssikkerhetsledere er vanligvis ansvarlige for denne rollen.

Andre personer kan utføre denne funksjonen så lenge de rapporterer til informasjonssikkerhetssjefen for tilsyn. Dette sikrer at et konsistent budskap kommuniseres og at myndighetene mottar konsistent informasjon.

Hvordan påvirker dette deg?

I de fleste sertifiseringssykluser er en overgangsperiode på to til tre år når en revidert standard publiseres.

Du må sørge for at sikkerhetstiltakene dine er oppdatert hvis du planlegger å distribuere en ISMS (og muligens til og med få ISMS-sertifisering).

Følgende aktiviteter vil blant annet bli gjennomført:

  • Det er viktig å kjøpe den nyeste standarden.

  • Analyser kontrollhullene så vel som risikoene.

  • Identifiser og endre relevante vedlegg A-kontroller i ISMS-policyer, standarder og annen dokumentasjon.

  • De Anvendelseserklæring bør oppdateres etter behov.

  • Din internrevisjon programmet bør revideres for å gjenspeile de forbedrede vedlegg A-kontrollene du har valgt.

Du kan finne mer informasjon om hvordan disse endringene vil påvirke organisasjonen din i veiledningen vår til ISO 27001:2022.

Hvordan ISMS.online hjelper

Å spore informasjonssikkerhetskontrollene dine er en av de mest utfordrende aspektene ved å implementere en ISO 27001-kompatibel ISMS.

Med vår skybaserte plattform kan du sjekke ISMS-prosessen din for samsvar med ISO 27k-kravene ved å bruke et robust rammeverk av informasjonssikkerhetskontroller. Med riktig tid og ressurser kan ISMS.online hjelpe deg med å oppnå sertifisering raskt og effektivt.

I tillegg til retningslinjer for vedlegg A 5.5, inkluderer ISMS.online administrasjonsverktøy for informasjonssikkerhet.

I tillegg til DPIA og andre relaterte vurderinger av personopplysninger, for eksempel Legitimate Interest Assessments (LIA), gir ISMS.online enkle, praktiske rammer og maler for informasjonssikkerhet i prosjektledelse.

Ta kontakt i dag for å bestill en demo.

Se hvordan vi kan hjelpe deg

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer