ISO 27001:2022 vedlegg A 6.8 krever at organisasjoner oppretter et system som lar personell rapportere informasjonssikkerhet hendelser de observerer eller mistenker umiddelbart og gjennom de aktuelle kanalene.
Brudd på informasjonssikkerhet (også kjent som informasjonssikkerhetshendelser) er på vei oppover, med økende frekvens og intensitet. Dessverre går mange av disse hendelsene ubemerket hen.
Mange faktorer kan utløse informasjonssikkerhetshendelser:
Uansett hvor sikkert nettverket ditt er, vil det alltid være en viss risiko for at en informasjonssikkerhetshendelse inntreffer. For å minimere denne risikoen, bruk ulike verktøy og teknikker, for eksempel rapportering, for å identifisere potensielle trusler før de kan forårsake skade.
Hendelsesrapportering for informasjonssikkerhet er en nøkkelkomponent i enhver cybersikkerhetsstrategi. Å implementere den beste teknologien for å beskytte data er én ting, men å forstå hva som skjer er en annen.
Rapportering av informasjonssikkerhetshendelser er prosessen med å notere hendelser, brudd og andre cyberbaserte hendelser som skjer i en organisasjon for å undersøke dem og utarbeide strategier for å forhindre gjentakelser. Dokumentasjon, analyse og forebyggingsstrategier er alle vesentlige elementer.
Rapportering av informasjonssikkerhetshendelser er avgjørende for enhver organisasjon; uten det vil det ikke eksistere kunnskap om hvorvidt nettverket er infiltrert eller om det finnes andre potensielle risikoer. Uten denne forståelsen kan ikke tiltak for å avverge fremtidige hendelser settes i verk, og tidligere angrep kan heller ikke identifiseres og avhjelpes.
Det er viktig å håndtere eventuelle hendelser raskt og effektivt. Responstid er avgjørende for å ivareta virksomheten og minimere effektene på kunder og andre interessenter.
Vedlegg A 6.8 til ISO 27001:2022 ble opprettet for å oppnå dette.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
Målet med ISO 27001:2022 vedlegg A Kontroll 6.8 er å legge til rette for rettidig, konsistent og effektiv rapportering av informasjonssikkerhetshendelser oppdaget av personell.
Å sikre at hendelser raskt rapporteres og dokumenteres nøyaktig er avgjørende for å sikre at hendelsesresponsaktiviteter og andre sikkerhetsstyringsansvar støttes på riktig måte.
Organisasjoner bør ha et hendelsesrapporteringsprogram for informasjonssikkerhet i tråd med ISO 27001:2022 Annex A Control 6.8 for å oppdage og redusere hendelser som kan påvirke informasjonssikkerheten. Programmet skal gjøre det mulig å motta, evaluere og svare på rapporterte hendelser.
ISO 27001: 2022 Vedlegg A Kontroll 6.8 skisserer formålet og instruksjonene for å konstruere et rapporteringssystem for informasjonssikkerhetshendelser i tråd med ISO 27001-rammeverket.
Denne kontrollen er ment å:
Regelmessig gjennomgå hendelser og trender for å oppdage problemer før de blir alvorlige (f.eks. ved å spore antall hendelser eller hvor lang tid hver hendelse tar) bør være en sentral del av implementeringen av vedlegg A 6.8.
ISO 27001:2022 vedlegg A 6.8 krever følgende:
I henhold til vedlegg A 6.8 inkluderer hendelser som krever informasjonssikkerhetsrapportering:
Dessuten er det ikke ansvaret til personellet som rapporterer å teste sårbarheten eller effektiviteten til informasjonssikkerhetshendelsen. Det bør overlates til kvalifisert personell å håndtere dette da det kan medføre juridisk ansvar for den ansatte.
For det første er vedlegg A 6.8 i ISO 27001:2022 ikke en ny kontroll, snarere, det er en sammenslåing av vedlegg A 16.1.2 og vedlegg A 16.1.3 i ISO 27001:2013. Disse to kontrollene ble revidert i ISO 27001:2022 for å gjøre den mer tilgjengelig enn ISO 27001:2013.
Ansatte og kontraktører bør gjøres oppmerksomme på sitt ansvar for å raskt rapportere informasjonssikkerhetshendelser og prosessen for å gjøre dette, inkludert kontaktpersonen som rapporter skal rettes til.
Ansatte og kontraktører bør umiddelbart rapportere eventuelle svakheter i informasjonssikkerheten til kontaktpunktet for å unngå hendelser med informasjonssikkerhet. Rapporteringssystemet skal være så enkelt, tilgjengelig og oppnåelig som mulig.
Du kan se at anbefalingene seks og åtte er blitt konsolidert til én i den reviderte ISO 27001:2022.
Vedlegg A 6.8 inneholder to tilleggshensyn som ikke finnes i vedlegg A 16.1.2 og vedlegg A 16.1.3. Disse er:
På slutten er begge iterasjonene ganske like. De største forskjellene er endringen av kontrollnummeret, kontrollnavnet og språket som er mer tilgjengelig for brukere. Dessuten inkluderer ISO 27001:2022 en attributttabell og kontrollformål, funksjoner som er oversett i 2013-versjonen.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
| Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Informasjonssikkerhet er et samarbeid og alle medlemmer av organisasjonen bør være involvert. Likevel er det flere personer som fungerer som første forsvarslinje under sikkerhetshendelser. Disse personene er ansvarlige for å finne riktig kontakt for å rapportere og administrere responsen på hendelsen for å forhindre gjentakelse.
Hvem er de første som reagerer? Dette varierer avhengig av organisasjonen, men inkluderer vanligvis:
De Chief Information Security Officer (CISO) er ansvarlig for informasjonssikkerheten i sin organisasjon. De jobber sammen med toppledelsen for å effektivt redusere og håndtere eventuelle risikoer.
De Informasjonssikkerhetssjef overvåker rutinemessig daglige aktiviteter, for eksempel overvåking av systemer og håndtering av hendelser, inkludert innlevering av billetter til andre team.
De Chief Human Resources Officer (CHRO) har det overordnede ansvaret for menneskelige ressursspørsmål, som dekker rekruttering, bevaring av ansatte, fordelsstyring og opplæringsprogrammer for ansatte. De spiller en nøkkelrolle i å ta ansettelsesbeslutninger og fremme bevissthet blant personell om rapportering av sikkerhetshendelser.
For å overholde ISO 27001:2022-revisjonen, sørg ganske enkelt for at informasjonssikkerhetsprosessene dine forblir oppdatert. Det ble ikke gjort vesentlige endringer.
Hvis du har anskaffet en ISO 27001-sertifisering, bør din nåværende tilnærming til informasjonssikkerhetsadministrasjon samsvare med de nye standardene. Bekreft at rapportering av informasjonssikkerhetshendelser er integrert i bedriftens strategi.
Når du begynner på nytt, må du referere til detaljene i den reviderte standarden.
Se vår ISO 27001:2022-veiledning for mer informasjon om hvordan tillegg A 6.8-endringer vil påvirke virksomheten din.
ISO 27001 er et rammeverk for informasjonssikkerhetsstyring som hjelper organisasjoner med å etablere et vellykket ISMS. Denne standarden skisserer krav for å konstruere et ISMS i en organisasjon.
Hos ISMS.online hjelper vår skybaserte plattform med å konstruere, opprettholde og vurdere en ISO 27001-standardbasert styringssystem for informasjonssikkerhet (ISMS). Vi tilbyr tilpassbare maler og verktøy for å overholde ISO 27001-forskriftene.
Denne plattformen lar deg konstruere et ISMS som følger den internasjonale standarden og bruke sjekklistene som følger med for å garantere at din informasjonssikkerhetsadministrasjon er opp til standarden. Dessuten kan du utnytte ISMS.online for risiko- og sårbarhetsvurdering for å oppdage eventuelle svake punkter i din eksisterende infrastruktur som krever umiddelbar oppmerksomhet.
ISMS.online gir ressursene til å demonstrere overholdelse av ISO 27001. Ved å bruke disse verktøyene kan du bevise samsvar med den internasjonalt anerkjente standarden.
Kontakt oss nå for å reservere en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
