ISO 27001:2022 Vedlegg A Kontroll 7.13

Vedlikehold av utstyr

Bestill en demonstrasjon

vid,vinkel,visning,opptatt,design,kontor,med,arbeidere,på

ISO 27001:2022 vedlegg A 7.13 er opptatt av å etablere og implementere hensiktsmessige prosedyrer og tiltak for riktig vedlikehold av utstyr for å sikre at informasjonsmidlene som er lagret på dette utstyret ikke blir kompromittert.

For lagring, bruk og overføring av informasjonskapasitet, IT-utstyr som servere, bærbare datamaskiner, nettverksenheter og skrivere er avgjørende. Unnlatelse av å vedlikeholde dette utstyret i henhold til dets spesifikasjoner og miljørisiko kan føre til dårlig kvalitet og forringelse av ytelsen. På grunn av denne mangelen på vedlikehold kan integriteten, konfidensialiteten og tilgjengeligheten til informasjonsressurser bli kompromittert.

For eksempel kan det hende at en organisasjon ikke innser at diskplassen er full hvis den ikke klarer å utføre regelmessig vedlikehold på servermaskinvaren. Serveren kan miste data som er overført til eller fra den som et resultat.

Hva er formålet med ISO 27001:2022 vedlegg A 7.13?

ISO 27001:2022 vedlegg A 7.13 beskriver hvordan man utfører riktig vedlikehold på utstyr som brukes til å lagre informasjonsressurser basert på tekniske tiltak og prosedyrer.

Tiltak og prosedyrer er iverksatt for å sikre at informasjonsressurser er beskyttet mot tap, skade og uautorisert tilgang, blant annet.

ISO 27001: 2022 Vedlegg A 7.13 beskriver en forebyggende type kontroll der organisasjoner må ta en aktiv tilnærming til vedlikehold av utstyret sitt.

Hvem har eierskap til vedlegg A 7.13?

Overholdelse av vedlegg A 7.13 sier at det skal utarbeides en utstyrsliste, det skal gjennomføres en risikovurdering basert på miljøfaktorer og spesifikasjonene til produktet, samt etablere og implementere hensiktsmessige prosedyrer og tiltak for å sikre forsvarlig vedlikehold av utstyret.

De Informasjonssikkerhetssjef bør være ansvarlig for å sikre samsvar med ISO 27001:2022 vedlegg A 7.13 til tross for viktigheten av at enkeltpersoner håndterer dette utstyret på daglig basis.

Gå til emnet
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Generell veiledning om ISO 27001:2022 vedlegg A 7.13 for samsvar

Vedlegg A 7.13 gir organisasjoner 11 spesifikke anbefalinger:

  1. Det anbefales å følge utstyrsprodusentens spesifikasjoner angående vedlikeholdsprosedyrer, for eksempel anbefalte serviceintervaller.

  2. For alt utstyr bør organisasjoner etablere og implementere et vedlikeholdsprogram.

  3. Vedlikehold eller reparasjon av utstyr skal kun utføres av autorisert personell eller autorisert tredjepart.

  4. Alle utstyrsfeil og feil skal registreres av organisasjoner. Videre skal alle vedlikeholdsaktiviteter på nevnte utstyr også registreres.

  5. Det er viktig for organisasjoner å bruke passende vedlikeholdsprosedyrer uavhengig av om vedlikehold utføres av deres ansatte eller av tredjeparter. Dessuten, konfidensialitetsavtaler skal være signert av relevant personell.

  6. Alt vedlikeholdspersonell skal være under oppsyn til enhver tid.

  7. Adgangs- og autorisasjonsprosedyrer bør håndheves strengt for fjernvedlikeholdsarbeid.

  8. Organisasjoner bør anvende passende sikkerhetstiltak i samsvar med vedlegg A 7.9 når utstyr fjernes fra lokaler for vedlikehold.

  9. Vedlikeholdskrav pålagt av forsikringsleverandører bør følges av organisasjoner.

  10. For å sikre at utstyret ikke er tuklet med og fungerer som det skal, bør bedrifter inspisere det etter vedlikehold.

  11. Organisasjoner bør etablere og implementere passende tiltak og prosedyrer for avhending eller gjenbruk av utstyr i henhold til vedlegg A 7.14.

Supplerende veiledning om vedlegg A 7.13

ISO 27001:2022 vedlegg A 7.13 sier at følgende regnes som utstyr og faller inn under omfanget av vedlegg A 7.13:

  • Strømomformere.
  • Klimaanlegg.
  • Lignende eiendeler.
  • Tekniske komponenter av informasjonsbehandlingsanlegg.
  • Batterier.
  • Brannslukningsapparat.
  • Heiser.

Hva er endringene og forskjellene fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 7.13 erstatter ISO 27001:2013 Vedlegg A 11.2.4 ('Vedlikehold av utstyr').

ISO 27001:2022-versjonen inneholder mer omfattende krav

Sammenlignet med ISO 27001:2013-versjonen, angir vedlegg A 7.13 i 2022-versjonen mer omfattende krav.

Mens ISO 27001:2013-versjonen bare oppførte seks spesifikke krav, inneholder ISO 27001:2022 vedlegg A 7.13 11 krav.

Vedlegg A 7.13 introduserer de fem følgende kravene, som ikke ble behandlet i ISO 27001:2013-versjonen:

  1. For alt utstyr bør organisasjoner etablere og implementere et vedlikeholdsprogram.

  2. Alt vedlikeholdspersonell skal være under oppsyn til enhver tid.

  3. Vedlikeholdsarbeid som utføres eksternt bør være underlagt strenge tilgangs- og autorisasjonskontroller.

  4. I henhold til vedlegg A 7.14 bør organisasjoner etablere og implementere hensiktsmessige tiltak og prosedyrer for avhending eller gjenbruk av utstyr.

  5. Organisasjoner bør anvende passende sikkerhetstiltak i samsvar med vedlegg A 7.9 når utstyr fjernes fra lokaler for vedlikehold.

ISO 27001:2022-revisjonen definerer "utstyr"

Den supplerende veiledningen definerer "Utstyr" i vedlegg A 7.13. I motsetning til dette refererte ikke ISO 27001:2013-versjonen til betydningen av "Utstyr".

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Du kan gjøre følgende med ISMS.online:

  • Sørg for at prosessene dine er dokumentert. Ved å bruke dette intuitive grensesnittet kan du dokumentere prosessene dine uten å installere programvare.

  • Vurder risikoer mer effektivt ved å automatisere prosessen.

  • Med elektroniske rapporter og sjekklister kan du enkelt demonstrere samsvar.

  • Hold oversikt over fremgangen din mens du jobber mot sertifisering.

ISMS.online tilbyr et komplett utvalg funksjoner for å hjelpe organisasjoner og bedrifter med å oppnå samsvar med standarden ISO 27001:2022.

Ta kontakt med oss ​​i dag for å planlegg en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Usikker på om du skal bygge eller kjøpe?

Oppdag den beste måten å oppnå ISMS-suksess

Få din gratis guide

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer