ISO 27001:2022 Vedlegg A Kontroll 8.27

Sikker systemarkitektur og ingeniørprinsipper

Bestill en demonstrasjon

nærbilde,bilde,av,kvinne,hender,skriving,på,bærbar datamaskin

ISO 27001: 2022 Vedlegg A 8.27 spesifiserer at organisasjoner skal implementere sikker systemarkitektur og tekniske prinsipper for å sikre at utforming, implementering og styring av informasjonssystemet er hensiktsmessig i forhold til organisasjonens sikkerhetskrav. Dette inkluderer etablering av sikre systemarkitekturer, ingeniørprinsipper og sikker designpraksis.

De intrikate strukturene til moderne informasjonssystemer, kombinert med det ustanselige skiftende miljøet for cybersikkerhetsrisiko, gjør informasjonssystemer mer utsatt for eksisterende og potensielle sikkerhetstrusler.

Vedlegg A 8.27 skisserer hvordan organisasjoner kan beskytte informasjonssystemene deres fra sikkerhetstrusler gjennom implementering av sikre systemtekniske prinsipper i alle stadier av informasjonssystemets livssyklus.

Formål med ISO 27001:2022 vedlegg A 8.27

Vedlegg A 8.27 legger til rette for at organisasjoner kan sikre informasjonssystemer i fasene av design, distribusjon og drift, via etablering og implementering av sikre systemingeniørprinsipper som systemingeniører må forholde seg til.

Eierskap til vedlegg A 8.27

De Sjef for informasjonssikkerhet skal holdes ansvarlig for å bygge opp, opprettholde og sette i verk reglene som styrer sikker utvikling av informasjonssystemer.

Gå til emnet

Generell veiledning for ISO 27001:2022 vedlegg A 8.27 Samsvar

ISO 27001:2022 vedlegg A 8.27 understreker nødvendigheten for organisasjoner å bygge inn sikkerhet i hele informasjonssystemer, inkludert forretningsprosesser, applikasjoner og dataarkitektur.

Sikker ingeniørpraksis bør implementeres for alle oppgaver knyttet til informasjonssystemer, regelmessig gjennomgått og oppdatert for å ta hensyn til nye trusler og angrepsmønstre.

Vedlegg A 8.27 gjelder også for systemer laget av eksterne leverandører, i tillegg til de som er utviklet og driftet internt.

Organisasjoner bør garantere at praksisen og standardene til tjenesteleverandører er i tråd med deres sikre tekniske protokoller.

ISO 27001:2022 vedlegg A 8.27 krever sikre systemtekniske prinsipper for å ta opp følgende åtte emner:

  1. Metoder for brukerautentisering.

  2. Sikker veiledning for øktkontroll.

  3. Prosedyrer for desinfisering og validering av data.

  4. Sikkerhetstiltak for å beskytte informasjonsressurser og -systemer mot kjente trusler analyseres omfattende.

  5. Sikkerhetstiltak analysert for deres evne til å identifisere, eliminere og svare på sikkerhetstrusler.

  6. Analysere sikkerhetstiltakene som brukes på spesifikke forretningsaktiviteter, for eksempel informasjonskryptering.

  7. Hvor og hvordan sikkerhetstiltak skal iverksettes. En spesifikk sikkerhetskontroll i vedlegg A kan integreres i den tekniske infrastrukturen som en del av denne prosessen.

  8. Måten ulike sikkerhetstiltak fungerer sammen og fungerer som et kombinert system.

Veiledning om Zero Trust-prinsippet

Organisasjoner bør huske på disse null-tillit-prinsippene:

  • Basert på antakelsen om at organisasjonens systemer allerede er kompromittert og at den definerte perimetersikkerheten til nettverket ikke kan gi tilstrekkelig beskyttelse.

  • En policy med "verifisering før tillit" bør vedtas når det gjelder å gi tilgang til informasjonssystemer. Dette sikrer at tilgang kun gis etter gransking, og sørger for at de rette personene har den.

  • Å sikre at forespørsler til informasjonssystemer er sikret med ende-til-ende-kryptering, gir sikkerhet.

  • Verifikasjonsmekanismer implementeres forutsatt tilgangsforespørsler fra eksterne, åpne nettverk til informasjonssystemer.

  • Implementer minst rettigheter og dynamisk tilgangskontroll i samsvar med ISO 27001:2022 vedlegg A 5.15, 5.18 og 8.2. Dette må omfatte autentisering og autorisasjon av sensitiv informasjon og infosystemer som tar hensyn til kontekstuelle aspekter som brukeridentiteter (ISO 27001:2022 vedlegg A 5.16) og informasjonsklassifisering (ISO 27001:2022 vedlegg A 5.12).

  • Autentiser identiteten til rekvirenten og verifiser autorisasjonsforespørsler for å få tilgang til informasjonssystemer i henhold til autentiseringsinformasjonen i ISO 27001:2022 vedlegg A 5.17, 5.16 og 8.5.

Hva bør sikre systemtekniske teknikker dekke?

Organisasjonen din bør huske på følgende:

  • Inkorporerer sikre arkitekturprinsipper som "sikkerhet ved design", "forsvar i dybden", "sikkert feil", "mistro input fra eksterne applikasjoner", "anta brudd", "minste privilegium", "brukervennlighet og administrerbarhet" og "minst funksjonalitet". " er det viktigste.

  • Gjennomføre en sikkerhetsorientert designgjennomgang for å oppdage eventuelle informasjonssikkerhetsproblemer og sørge for at sikkerhetstiltak er etablert og oppfyller sikkerhetsbehovene.

  • Det er viktig å dokumentere og anerkjenne sikkerhetstiltak som ikke oppfyller kravene.

  • Systemherding er avgjørende for sikkerheten til ethvert system.

Hvilke kriterier bør man vurdere når man designer sikre ingeniørprinsipper?

Organisasjoner bør ta hensyn til følgende punkter når de setter opp sikre systemtekniske prinsipper:

  • Kravet om å koordinere vedlegg A-kontroller med spesiell sikkerhetsarkitektur er uunnværlig.

  • En organisasjons eksisterende tekniske sikkerhetsinfrastruktur, inkludert offentlig nøkkelinfrastruktur, identitetsadministrasjon og forebygging av datalekkasje.

  • Kan organisasjonen konstruere og opprettholde den valgte teknologien.

  • Kostnaden og tiden som trengs for å oppfylle sikkerhetskravene, tatt i betraktning deres kompleksitet, må vurderes.

  • Det er viktig å følge gjeldende beste praksis.

Veiledning om anvendelse av prinsipper for sikker systemteknikk

ISO 27001:2022 vedlegg A 8.27 sier at organisasjoner kan bruke sikre tekniske prinsipper når de setter opp følgende:

  • Feiltoleranse og andre motstandsdyktighetsstrategier er avgjørende. De bidrar til å sikre at systemene forblir operative til tross for uventede hendelser.

  • Segregering gjennom virtualisering er en teknikk som kan brukes.

  • Inngrepssikker, sørg for at systemene forblir sikre og ugjennomtrengelige for ondsinnet forstyrrelse.

Sikker virtualiseringsteknologi kan redusere risikoen for avlytting mellom applikasjoner som kjører på samme enhet.

Det understrekes at manipulasjonsmotstandssystemer kan oppdage både logisk og fysisk manipulasjon av informasjonssystemer, og forhindrer uautorisert tilgang til data.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.27 erstatter ISO 27001:2013 vedlegg A 14.2.5 i den reviderte 2022-standarden.

2022-versjonen inneholder mer omfattende krav enn 2013-versjonen, for eksempel:

  • I forhold til 2013 gir 2022-versjonen veiledning om hva sikre ingeniørprinsipper bør omfatte.

  • I motsetning til 2013-iterasjonen, vurderer 2022-versjonen kriteriene som organisasjoner bør ta hensyn til når de konstruerer sikre systemtekniske prinsipper.

  • 2022-versjonen gir veiledning om null-tillit-prinsippet, som ikke var inkludert i 2013-versjonen.

  • 2022-utgaven av dokumentet inneholder anbefalinger for sikre ingeniørteknikker, for eksempel "sikkerhet ved design", som ikke var til stede i 2013-versjonen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Vår trinnvise sjekkliste gjør implementeringen av ISO 27001 til en lek. Vår komplett overholdelsesløsning for ISO/IEC 27001:2022 vil veilede deg gjennom prosessen fra start til slutt.

Ved pålogging kan du forvente opptil 81 % fremgang.

Denne løsningen er helt omfattende og grei.

Nå ut nå for å bestille en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer