ISO 27001:2022 Vedlegg A Kontroll 8.22

Segregering av nettverk

Bestill en demonstrasjon

shutterstock 1410209846 skalert

Når cyberkriminelle infiltrerer datasystemer, tjenester eller enheter, begrenser de seg ikke til disse eiendelene alene.

De benytter seg av den første infiltrasjonen til å trenge inn i et selskaps hele nettverk, få tilgang til sensitive data eller utføre løsepenge-angrep.

Cyberskurker kan stjele innloggingsdetaljene til HR-ansatte ved et sykehus etter et vellykket phishing-angrep, og gi dem tilgang til HR-systemer.

Ved å bruke tilgangspunktet deres kan angriperne krysse nettverket og avdekke nettverk som inneholder konfidensielle pasientdata. Denne inntrengningen kan føre til tap av data, forårsake forstyrrelser i driften eller til og med åpne døren for et løsepenge-angrep.

Sykehuset kan forhindre uautorisert tilgang til konfidensielle data og redusere konsekvensene av et brudd ved å bruke nettverkssegmenteringsteknikker som brannmurer, virtuelle nettverk eller serverisolering.

ISO 27001:2022 vedlegg A 8.22 skisserer hvordan selskaper kan anvende og bevare passende nettverkssegregeringsmetoder for å avverge risikoer for tilgjengeligheten, integriteten og konfidensialiteten til informasjonsmidler.

Formål med ISO 27001:2022 vedlegg A 8.22

ISO 27001:2022 vedlegg A 8.22 tillater organisasjoner å dele sine IT-nettverk i undernettverk avhengig av graden av sensitivitet og viktighet, og begrense overføringen av informasjon mellom de forskjellige undernettverkene.

Organisasjoner kan bruke dette til å stoppe skadelig programvare og virus fra å reise fra infiserte nettverk til de som inneholder sensitive data.

Dette garanterer det organisasjoner sikre konfidensialitet, integritet og tilgjengelighet til dataressurser som er lagret på viktige undernettverk.

Eierskap til vedlegg A 8.22

De Informasjonssikkerhetsansvarlig bør holdes ansvarlig for å følge ISO 27001:2022 vedlegg A 8.22, som krever segmentering av nettverk, enheter og systemer i henhold til risiko og bruk av teknikker og prosedyrer for nettverkssegregering.

Gå til emnet
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 8.22 Samsvar

Organisasjoner bør strebe etter å oppnå likevekt mellom operasjonelle nødvendigheter og sikkerhetsproblemer når de innfører regelverk for nettverkssegregering.

ISO 27001: 2022 Vedlegg A Kontroll 8.22 gir tre anbefalinger å ta hensyn til når du setter opp nettverkssegregering.

Slik skiller du nettverket i mindre undernettverk

Når du deler nettverket i mindre underdomener, bør organisasjoner vurdere følsomheten og viktigheten til hvert nettverksdomene. Avhengig av denne vurderingen, kan nettverksunderdomener merkes som "offentlige domener", "skrivebordsdomener", "serverdomener" eller "høyrisikosystemer".

Organisasjoner bør ta hensyn til forretningsavdelinger som HR, markedsføring og finans i prosessen med å segmentere nettverket sitt.

Organisasjoner kan også slå sammen disse to kriteriene ved å tildele nettverksunderdomener i kategorier som "serverdomene som kobles til salgsavdelingen".

Sikkerhetsperimeter og tilgangskontroll

Organisasjoner må avgrense grensene til hvert nettverksunderdomene eksplisitt. Hvis det skal være tilgang mellom to forskjellige nettverksdomener, bør denne forbindelsen begrenses på perimetrisk nivå gjennom bruk av gatewayer som brannmurer eller filtreringsrutere.

Organisasjoner bør evaluere sikkerhetsbehovene for hvert domene når de etablerer nettverksseparasjon og når de gir tilgang gjennom gatewayer.

Denne vurderingen må utføres i tråd med tilgangskontrollpolicyen som er pålagt av ISO 27001:2022 vedlegg A 5.15, med hensyn til følgende:

  • Klassifiseringen tilordnet informasjonselementer er på hvilket nivå.

  • Viktigheten av informasjonen er avgjørende.

  • Kostnader og praktiske egenskaper er viktige faktorer når man skal bestemme hvilken gateway-teknologi som skal brukes.

Trådløse nettverk

ISO 27001: 2022 Vedlegg A 8.22 anbefaler at organisasjoner følger følgende praksis når de oppretter nettverkssikkerhetsparametere for trådløse nettverk:

  • Vurder bruken av justeringsmetoder for radiodekning for å dele trådløse nettverk.

  • For delikate nettverk kan organisasjoner ta alle forsøk på trådløs tilgang som eksterne tilkoblinger og forby tilgang til interne nettverk inntil gatewaykontrollen gir godkjenning.

  • Personell skal kun bruke sine egne enheter i tråd med organisasjonens retningslinjer; nettverkstilgangen som gis til personell og gjester bør holdes adskilt.

  • Besøkende bør være underlagt de samme reglene for bruk av Wi-Fi som teammedlemmer.

Supplerende veiledning om ISO 27001:2022 vedlegg A 8.22

Organisasjoner bør sikre at alle forretningspartnerskap er underlagt passende sikkerhetstiltak. Vedlegg A 8.22 råder organisasjoner til å implementere tiltak for å beskytte nettverket, IT-enhetene og andre informasjonsfasiliteter når de samarbeider med forretningspartnere.

Nettverk som er sensitive kan bli utsatt for økt risiko for uautorisert tilgang. For å beskytte mot dette, bør organisasjoner ta de nødvendige skritt.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.22 erstatter ISO 27001:2013 Vedlegg A 13.1.3 i siste ISO-revisjon.

Sammenlignet med ISO 27001:2013, krever ISO 27001:2022-revisjonen følgende av trådløse nettverk:

  • Hvis ansatte følger organisasjonens retningslinjer og kun bruker sine egne enheter, bør den trådløse nettverkstilgangen som er gitt for personell og besøkende holdes adskilt.

  • Gjester bør være underlagt de samme restriksjonene og kontrollene angående Wi-Fi som personell.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.Online gjør det mulig for deg å:

  • Dokumentprosesser enkelt med dette brukervennlige grensesnittet. Ingen programvareinstallasjon er nødvendig på datamaskinen eller nettverket.

  • Strømlinjeform risikoevalueringsprosedyren ved å automatisere den.

  • Oppnå enkelt overholdelse ved å bruke elektroniske rapporter og sjekklister.

  • Hold oversikt over progresjonen din mens du jobber mot sertifisering.

ISMS.online tilbyr et omfattende sett med funksjoner for å hjelpe organisasjoner og bedrifter i møte med bransjen ISO 27002 og/eller ISO 27001:2022 ISMS-standard.

Ta kontakt med oss ​​for å organisere en demonstrasjon.

Se hvordan vi kan hjelpe deg

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din
Metode for sikrede resultater

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer