ISO 27001:2022 Vedlegg A Kontroll 5.9

Hva er formålet med ISO 27001:2022 vedlegg A, kontroll 5.9?

Kontrollen tar sikte på å anerkjenne organisasjonens informasjon og tilhørende eiendeler for å sikre informasjonssikkerhet og utpeke riktig eierskap.

Vedlegg A til ISO 27001:2022 skisserer Kontroll 5.9, som skisserer formålet og implementeringsveiledningen for å lage en oversikt over informasjon og andre eiendeler i forhold til ISMS-rammeverket.

Ta en oversikt over all informasjon og tilhørende eiendeler, klassifiser i kategorier, identifiser eiere og dokumenter eksisterende/påkrevde kontroller.

Dette er et viktig grep for å garantere at alle dataeiendommer er tilstrekkelig sikret.

Hva er involvert og hvordan du oppfyller kravene

For å oppfylle kriteriene for ISO 27001:2022, må du identifisere informasjonen og andre tilknyttede eiendeler i organisasjonen din. Etter det bør du vurdere betydningen av disse elementene med hensyn til informasjonssikkerhet. Om nødvendig, hold journaler i dedikerte eller eksisterende varelager.

Størrelsen og kompleksiteten til en organisasjon, eksisterende kontroller og policyer, og typene informasjon og eiendeler den bruker vil alle ha en effekt på utviklingen av en inventar.

Å sikre at beholdningen av informasjon og andre tilknyttede eiendeler er nøyaktig, oppdatert, konsistent og på linje med andre beholdninger er nøkkelen, i henhold til kontroll 5.9. For å garantere nøyaktighet kan du vurdere følgende:

• Gjennomfør systematiske vurderinger av børsnotert informasjon og relaterte eiendeler i samsvar med eiendelskatalogen.
• Under prosessen med å installere, endre eller fjerne en ressurs, vil en beholdningsoppdatering automatisk håndheves.
• Ta med hvor en eiendel befinner seg i inventaret om nødvendig.

Noen organisasjoner kan trenge å holde flere varelager for ulike formål. For eksempel kan de ha spesialiserte varelager for programvarelisenser eller fysiske enheter som bærbare datamaskiner og nettbrett.

Det er viktig å periodisk inspisere all fysisk inventar som inkluderer nettverksenheter som rutere og svitsjer for å opprettholde nøyaktigheten til inventaret for risikostyringsformål.

For mer informasjon om oppfyllelse av kontroll 5.9, bør ISO 27001:2022-dokumentet konsulteres.

Forskjeller mellom ISO 27001:2013 og ISO 27001:2022

I ISO 27001:2022 er 58 kontroller fra ISO 27001:2013 revidert og ytterligere 24 kontroller er slått sammen. Nye 11 kontroller er lagt til, mens noen er slettet.

Derfor finner du ikke Vedlegg A Kontroll 5.9 – Inventar over informasjon og andre tilknyttede eiendeler – i 2013-versjonen, som det nå er en kombinasjon av ISO 27001:2013 vedlegg A 8.1.1 – Inventar av eiendeler - og ISO 27001:2013 vedlegg A 8.1.2 – Eierskap til eiendeler – i 2022-versjonen.

Vedlegg A til ISO 27001:2022 skisserer kontroll 8.1.2, Eierskap til eiendeler. Dette sikrer at alle informasjonsmidler er tydelig identifisert og eies. Å vite hvem som eier hva hjelper til med å fastslå hvilke eiendeler som trenger beskyttelse og hvem som krever ansvarlighet.

ISO 27001:2013 og ISO 27001:2022 har begge lignende kontrollerVedlegg A kontroll 5.9 av sistnevnte er imidlertid utvidet for å gi en mer enkel tolkning. For eksempel dikterer implementeringsveiledningen om eierskap av eiendeler i kontroll 8.1.2 at eiendeler skal:

• Sørg for at alle eiendeler er nøyaktig registrert i inventaret.
• Sørge for at eiendeler er klassifisert og sikret på passende måte.
• Regelmessig gjennomgå og definere tilgangsbegrensninger og klassifiseringer for nøkkelaktiva, tatt i betraktning gjeldende retningslinjer for tilgangskontroll.
• Sørg for at passende tiltak blir iverksatt når eiendelen avhendes eller destrueres.

Eierskapsdelen av kontroll 5.9 er utvidet til å omfatte ni punkter, i stedet for de opprinnelige fire. Rettskrivninger er gjort i stavemåte og grammatikk, og tonen er endret til en profesjonell, vennlig stil. Redundans og repetisjon er eliminert og skrivingen er nå i en aktiv stil.

Eiendelseieren bør påta seg ansvarlighet for passende tilsyn med en eiendel gjennom hele livssyklusen, og sørge for at:

• Alle data og relaterte ressurser er listet opp og dokumentert.
• Sørg for at alle data, relaterte eiendeler og andre relaterte ressurser er nøyaktig klassifisert og ivaretatt.
• Klassifiseringen gjennomgås regelmessig for å sikre nøyaktigheten.
• Komponenter som opprettholder teknologiske eiendeler registreres og henger sammen, inkludert databaser, lagring, programvarekomponenter og underkomponenter.
• Krav til akseptabel bruk av informasjon og andre tilhørende eiendeler er fastsatt i 5.10.
• Tilgangsbegrensninger samsvarer med klassifiseringen og viser seg å være effektive, revideres med jevne mellomrom for å sikre kontinuerlig beskyttelse.
• Informasjon og andre tilknyttede eiendeler håndteres sikkert når de slettes eller kastes, og fjernes fra inventaret.
• De er ansvarlige for å identifisere og håndtere risikoene knyttet til deres eiendel(e).
• De gir støtte til personell som administrerer informasjonen deres, og påtar seg rollene og ansvaret knyttet til den.

Å slå sammen disse to kontrollene til én letter brukerforståelsen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

Hva betyr disse endringene for deg?

De siste ISO 27001-endringene påvirker ikke din nåværende sertifisering mot ISO 27001-standarder. Kun oppgraderinger til ISO 27001 kan ha effekt på eksisterende sertifiseringer. Akkrediteringsorganer vil samarbeide med sertifiseringsorganene for å utarbeide en overgangsperiode som gir organisasjoner med ISO 27001-sertifikater nok tid til å gå fra en versjon til den neste.

Disse trinnene må tas for å oppfylle den reviderte versjonen:

• Sørg for at virksomheten din oppfyller de siste reguleringene ved å undersøke risikoregisteret og risikostyringsprosedyrene.
• Vedlegg A bør endres for å gjenspeile eventuelle endringer i erklæringen om anvendelighet.
• Sørg for at retningslinjene og prosedyrene dine er oppdatert for å overholde de nye forskriftene.

Under overgangen til den nye standarden vil vi ha tilgang til nye beste praksiser og kvaliteter for kontrollutvelgelse, noe som muliggjør en mer effektiv og effektiv utvelgelsesprosess.

Du bør fortsette med en risikobasert metode for å garantere at kun de mest relevante og effektive kontrollene velges for din bedrift.

Hvordan ISMS.online hjelper

ISMS.online er ideell for å implementere ditt ISO 27001 styringssystem for informasjonssikkerhet. Den er spesielt utviklet for å hjelpe bedrifter med å oppfylle kravene i standarden.

De plattformen bruker en risikoorientert metode sammen med ledende bransjebestemmelser og maler for å hjelpe deg å finne ut hvilke risikoer organisasjonen din står overfor og kontrollene som kreves for å administrere dem. Dette gjør at du systematisk kan redusere både risikoeksponeringen og etterlevelseskostnadene.

ISMS.online lar deg:

1. Utvikle en Informasjonssikkerhetsstyringssystem (ISMS).
2. Konstruer et skreddersydd sett med retningslinjer og prosedyrer.
3. Implementer et ISMS for å oppfylle ISO 27001-standardene.
4. Få hjelp fra erfarne konsulenter.

Du kan dra nytte av ISMS.online for å bygge et ISMS, lage et tilpasset sett med retningslinjer og prosesser, overholde ISO 27001-kriterier og få hjelp fra erfarne rådgivere.

ISMS.online-plattformen er basert på Plan-Do-Check-Act (PDCA), en iterativ fire-trinns prosedyre for kontinuerlig forbedring, som oppfyller alle kravene i ISO 27001:2022. Det er greit. Kontakt oss nå for å arrangere demonstrasjonen din.