ISO 27001: 2022 Vedlegg A Kontroll 5.9 heter Inventar over informasjon og andre tilknyttede eiendeler.
Det krever at organisasjoner identifiserer og dokumenterer eiendelene som er viktige for deres virksomhet og de tilhørende risikoene, og tar skritt for å beskytte dem. Dette sikrer at eiendeler administreres og overvåkes på riktig måte, og bidrar til å sikre at de er sikre.
Vedlegg A til ISO 27001:2022 skisserer kontroll 5.9, som forklarer hvordan en liste over informasjon og relaterte eiendeler, sammen med deres respektive eiere, må opprettes og holdes oppdatert.
Organisasjonen må erkjenne hva den har tilgang til for å kunne drive sin virksomhet. Den må være klar over informasjonsmidlene sine.
En omfattende IA er en avgjørende del av enhver organisasjons datasikkerhetspolicy. Det er en oversikt over alle dataelementer som lagres, behandles eller overføres, samt plasseringer og sikkerhetskontroller for hver. Det er i hovedsak den økonomiske regnskapsmessige ekvivalenten til databeskyttelse, slik at organisasjoner kan identifisere hver del av data.
En IA kan brukes til å identifisere svakheter i sikkerhetsprogrammet ditt og gi informasjon å vurdere cyberrisiko som kan føre til brudd. Det kan også være bevis for å vise at du har tatt skritt for å identifisere sensitive data under samsvarsrevisjoner, som hjelper deg med å unngå bøter og straff.
De inventar av informasjonsmidler bør spesifisere hvem som eier og er ansvarlig for hver eiendel, samt verdien og betydningen av hver gjenstand for organisasjonens drift.
Det er avgjørende å holde varebeholdningen oppdatert for å sikre at de nøyaktig gjenspeiler endringer i organisasjonen.
Informasjonsforvaltning har en lang tradisjon innen forretningskontinuitetsplanlegging (BCP), katastrofegjenoppretting (DR) og forberedelse av hendelsesrespons.
Å identifisere kritiske systemer, nettverk, databaser, applikasjoner, datastrømmer og andre komponenter som krever sikkerhet er det første trinnet i noen av disse prosessene. Uten kunnskap om hva som må beskyttes, og hvor det befinner seg, kan du ikke planlegge for hvordan du skal beskytte det.
Etterspør et sitat
Kontrollen tar sikte på å anerkjenne organisasjonens informasjon og tilhørende eiendeler for å sikre informasjonssikkerhet og utpeke riktig eierskap.
Vedlegg A til ISO 27001:2022 skisserer Kontroll 5.9, som skisserer formålet og implementeringsveiledningen for å lage en oversikt over informasjon og andre eiendeler i forhold til ISMS-rammeverket.
Ta en oversikt over all informasjon og tilhørende eiendeler, klassifiser i kategorier, identifiser eiere og dokumenter eksisterende/påkrevde kontroller.
Dette er et viktig grep for å garantere at alle dataeiendommer er tilstrekkelig sikret.
For å oppfylle kriteriene for ISO 27001:2022, må du identifisere informasjonen og andre tilknyttede eiendeler i organisasjonen din. Etter det bør du vurdere betydningen av disse elementene med hensyn til informasjonssikkerhet. Om nødvendig, hold journaler i dedikerte eller eksisterende varelager.
Størrelsen og kompleksiteten til en organisasjon, eksisterende kontroller og policyer, og typene informasjon og eiendeler den bruker vil alle ha en effekt på utviklingen av en inventar.
Å sikre at beholdningen av informasjon og andre tilknyttede eiendeler er nøyaktig, oppdatert, konsistent og på linje med andre beholdninger er nøkkelen, i henhold til kontroll 5.9. For å garantere nøyaktighet kan du vurdere følgende:
Noen organisasjoner kan trenge å holde flere varelager for ulike formål. For eksempel kan de ha spesialiserte varelager for programvarelisenser eller fysiske enheter som bærbare datamaskiner og nettbrett.
Det er viktig å periodisk inspisere all fysisk inventar som inkluderer nettverksenheter som rutere og svitsjer for å opprettholde nøyaktigheten til inventaret for risikostyringsformål.
For mer informasjon om oppfyllelse av kontroll 5.9, bør ISO 27001:2022-dokumentet konsulteres.
I ISO 27001:2022 er 58 kontroller fra ISO 27001:2013 revidert og ytterligere 24 kontroller er slått sammen. Nye 11 kontroller er lagt til, mens noen er slettet.
Derfor finner du ikke Vedlegg A Kontroll 5.9 – Inventar over informasjon og andre tilknyttede eiendeler – i 2013-versjonen, som det nå er en kombinasjon av ISO 27001:2013 vedlegg A 8.1.1 – Inventar av eiendeler - og ISO 27001:2013 vedlegg A 8.1.2 – Eierskap til eiendeler – i 2022-versjonen.
Vedlegg A til ISO 27001:2022 skisserer kontroll 8.1.2, Eierskap til eiendeler. Dette sikrer at alle informasjonsmidler er tydelig identifisert og eies. Å vite hvem som eier hva hjelper til med å fastslå hvilke eiendeler som trenger beskyttelse og hvem som krever ansvarlighet.
ISO 27001:2013 og ISO 27001:2022 har begge lignende kontrollerVedlegg A kontroll 5.9 av sistnevnte er imidlertid utvidet for å gi en mer enkel tolkning. For eksempel dikterer implementeringsveiledningen om eierskap av eiendeler i kontroll 8.1.2 at eiendeler skal:
Eierskapsdelen av kontroll 5.9 er utvidet til å omfatte ni punkter, i stedet for de opprinnelige fire. Rettskrivninger er gjort i stavemåte og grammatikk, og tonen er endret til en profesjonell, vennlig stil. Redundans og repetisjon er eliminert og skrivingen er nå i en aktiv stil.
Eiendelseieren bør påta seg ansvarlighet for passende tilsyn med en eiendel gjennom hele livssyklusen, og sørge for at:
Å slå sammen disse to kontrollene til én letter brukerforståelsen.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
De siste ISO 27001-endringene påvirker ikke din nåværende sertifisering mot ISO 27001-standarder. Kun oppgraderinger til ISO 27001 kan ha effekt på eksisterende sertifiseringer. Akkrediteringsorganer vil samarbeide med sertifiseringsorganene for å utarbeide en overgangsperiode som gir organisasjoner med ISO 27001-sertifikater nok tid til å gå fra en versjon til den neste.
Disse trinnene må tas for å oppfylle den reviderte versjonen:
Under overgangen til den nye standarden vil vi ha tilgang til nye beste praksiser og kvaliteter for kontrollutvelgelse, noe som muliggjør en mer effektiv og effektiv utvelgelsesprosess.
Du bør fortsette med en risikobasert metode for å garantere at kun de mest relevante og effektive kontrollene velges for din bedrift.
ISMS.online er ideell for å implementere ditt ISO 27001 styringssystem for informasjonssikkerhet. Den er spesielt utviklet for å hjelpe bedrifter med å oppfylle kravene i standarden.
De plattformen bruker en risikoorientert metode sammen med ledende bransjebestemmelser og maler for å hjelpe deg å finne ut hvilke risikoer organisasjonen din står overfor og kontrollene som kreves for å administrere dem. Dette gjør at du systematisk kan redusere både risikoeksponeringen og etterlevelseskostnadene.
Du kan dra nytte av ISMS.online for å bygge et ISMS, lage et tilpasset sett med retningslinjer og prosesser, overholde ISO 27001-kriterier og få hjelp fra erfarne rådgivere.
ISMS.online-plattformen er basert på Plan-Do-Check-Act (PDCA), en iterativ fire-trinns prosedyre for kontinuerlig forbedring, som oppfyller alle kravene i ISO 27001:2022. Det er greit. Kontakt oss nå for å arrangere demonstrasjonen din.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din