ISO 27001:2022 vedlegg A 6.7, Remote Working gir veiledning om hvordan organisasjoner bør ha en policy på plass for å sikre sikker tilgang til informasjonssystemer og nettverk når de arbeider eksternt. Den anbefaler videre implementering av en styringssystem for informasjonssikkerhet som inkluderer prosedyrer for å beskytte ekstern tilgang.
Fjernarbeid har blitt en mer utbredt trend, ettersom teknologien har avansert for å gjøre det mulig for ansatte å jobbe eksternt uten å påvirke produktiviteten og effektiviteten. Ikke desto mindre kommer dette med potensialet for datasikkerhetsproblemer.
Som bedriftseier er det nødvendig å beskytte åndsverk mot cyberkriminelle og sikre datasikkerheten mot hackere. Ved å iverksette tiltak kan man beskytte seg mot nettkriminalitet og garantere informasjonssikkerhet.
Fjernarbeid kan presentere en rekke sikkerhetsrisikoer som må håndteres, for eksempel:
Fjernarbeid kan være fordelaktig, og gi større tilgang til konfidensielle data og systemer. Ikke desto mindre kommer det med flere sikkerhetshensyn.
Fjernarbeid, hvis det ikke overvåkes på riktig måte, kan være sårbart for sikkerhetsproblemer som hacking, skadelig programvare, uautorisert tilgang og mer. Dette er spesielt tilfellet hvis ansatte ikke er til stede i sikre omgivelser.
Fjernarbeid kan også ha en effekt på en bedrifts fysisk sikkerhet. Siden personalet ikke lenger er tilstede på kontoret eller en bygning, kan det hende at de ikke kan oppdage mistenkelige aktiviteter.
Fjernarbeid kan utgjøre en risiko for konfidensialitet. For eksempel kan ansatte få tilgang til konfidensiell informasjon uten tillatelse fra selskapet.
Ansatte kan lett få tilgang til konfidensielle bedriftsdata fra det offentlige nettet. Dessuten er det til og med nettsteder hvor ansatte kan laste opp konfidensielle data for offentlig visning.
Fjernarbeid kan ha en effekt på personvernet til en organisasjon. For eksempel, hvis personell jobber hjemmefra, kan de være mer utsatt for ikke å legge fra seg personlige eiendeler.
Denne egenskapen kan inneholde konfidensielle data som kan sette et firmas personvern i fare.
Fjernarbeid kan utgjøre en fare for en bedrifts data. Ansatte kan for eksempel få tilgang til bedriftsinformasjon eksternt, og disse dataene kan lagres på flere steder.
Ved ansatte som forlater arbeidsplassen og tar med seg enheten, henting av data lagret på datamaskiner, servere og håndholdte enheter kan vise seg å være mer utfordrende.
Arbeideren kan ta feil eller handle i ond tro med enheten og risikere datasikkerheten.
Målet med ISO 27001:2022 vedlegg A 6.7 er å garantere eksternt personell har de nødvendige tilgangskontrollene på plass for å sikre konfidensialitet, integritet og tilgjengelighet til konfidensiell eller proprietær informasjon, prosedyrer og systemer fra uautorisert tilgang eller avsløring av uautoriserte personer.
Organisasjoner må sikre informasjonssikkerhet når personell opererer eksternt. Derfor bør de utstede en skreddersydd policy angående fjernarbeid som fastsetter gjeldende vilkår og grenser for datasikkerhet. Denne policyen bør spres til alt personell, inkludert instruksjoner om hvordan man bruker fjerntilgangsteknologier sikkert og trygt.
Denne policyen tar sannsynligvis opp:
Det er viktig å etablere en klar system for rapportering av hendelser, inkludert riktig kontaktinformasjon. Dette kan bidra til å forhindre sikkerhetsbrudd eller andre hendelser.
Retningslinjene bør også dekke kryptering, brannmurer, oppdateringer av antivirusprogramvare og instruksjoner fra ansatte om hvordan man trygt kan bruke eksterne tilkoblinger.
For å overholde vedlegg A 6.7, bør organisasjoner som tilbyr fjernarbeid utstede en policy angående fjernarbeid som spesifiserer relaterte forskrifter og grenser.
Politikken bør vurderes med jevne mellomrom, spesielt når teknologi eller lovgivning endres.
Alt personell, entreprenører og enheter involvert i fjernarbeidsaktiviteter bør informeres om retningslinjene.
Retningslinjene bør dokumenteres, gjøres tilgjengelige for interessenter, som regulatorer og revisorer, og holdes oppdatert.
Organisasjoner må sørge for at de har de nødvendige sikkerhetstiltakene for å sikre sensitiv eller konfidensiell informasjon som overføres eller lagres elektronisk under fjernoperasjoner.
I samsvar med vedlegg A 6.7, bør følgende tas i betraktning:
Retningslinjer og tiltak som skal tas i betraktning bør omfatte:
ISO 27001:2022 vedlegg A 6.7 er en tilpasning av vedlegg A 6.2.2 fra ISO 27001:2013 og ikke et nytt element.
ISO 27001:2022 vedlegg A 6.7 og 6.2.2 deler mange likheter, selv om nomenklaturen og ordlyden er forskjellige. I ISO 27001:2013 omtales 6.2.2 som fjernarbeid, mens 6.7 er kjent som fjernarbeid. Denne endringen gjenspeiles i den nye versjonen av standarden, som erstatter fjernarbeid med fjernarbeid.
I vedlegg A 6.7 til ISO 27001:2022 skisserer standarden hva som kvalifiserer som fjernarbeid, inkludert fjernarbeid – det første kontrollnavnet i ISO 27001:2013-versjonen.
Versjon 2022 av implementeringsretningslinjene er stort sett like, selv om språket og begrepene er forskjellige. For å garantere at brukerne av standarden forstår, benyttes brukervennlig språk.
Noen tillegg ble gjort i vedlegg A 6.7, og noen slettinger skjedde i 6.2.2.
ISO 27001:2022 gir uttalelser om formål og attributttabeller for hver kontroll, og hjelper brukerne med å forstå og implementere kontrollene mer effektivt.
ISO 27001:2013-versjonen mangler disse to komponentene.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Den primære plikten til å utforme en informasjonssikkerhetspolitikk for eksterne ansatte ligger hos organisasjonens informasjonssikkerhetsansvarlige. Likevel bør også andre interessenter involveres i prosessen.
IT- og HR-ledere er i fellesskap ansvarlige for å sikre at policyen implementeres og vedlikeholdes, og at ansatte forstår og etterlever den.
Hvis du har et leverandørstyringsprogram, er det sannsynlig at personen som er ansvarlig for å administrere entreprenører og leverandører vil være ansvarlig for å danne en sikkerhetspolicy for eksterne arbeidere i den avdelingen.
ISO 27001:2022 forblir stort sett uendret; dermed må du bare sørge for at informasjonssikkerhetsprosessene dine er i samsvar med den nye utgivelsen.
Å endre noen kontroller og klargjøre visse krav var hovedendringen. Vedlegg A 6.7 hadde størst effekt – dersom du setter ut drift eller fjernansette personer, må du sørge for at de har passende sikkerhetstiltak.
Hvis organisasjonen din allerede har en ISO 27001-sertifisering, vil prosessen du bruker for å administrere informasjonssikkerhet tilfredsstille det nye regelverket.
Hvis du ønsker å fornye din ISO 27001 sertifisering, trenger du ikke gjøre noe. Bare sørg for at prosedyrene dine fortsatt samsvarer med den nye standarden.
Hvis du starter fra begynnelsen, er det nødvendig å vurdere hvordan du kan sikre din bedrifts data og informasjon mot cyberangrep og andre risikoer.
Det er viktig å ta cyberrisiko på alvor og administrere dem som en del av den overordnede forretningsplanen, i stedet for bare å betrakte dem som et problem for IT- eller sikkerhetsavdelinger.
De ISMS.online plattform bistår med alle aspekter av ISO 27001:2022-implementering, fra å utføre risikovurderingsaktiviteter til utforming av retningslinjer, prosedyrer og direktiver for å tilfredsstille standardens spesifikasjoner.
ISMS.online gir en plattform for å dokumentere og dele funn med kolleger. Videre lar den deg generere og lagre sjekklister over alle nødvendige oppgaver for ISO 27001-implementering, slik at du enkelt kan overvåke organisasjonens sikkerhetstiltak.
Vi gir organisasjoner et sett med automatiserte verktøy for å gjøre det enkelt å demonstrere samsvar med ISO 27001.
Kontakt oss nå for å bestille en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din