ISO 27001:2022 Vedlegg A Kontroll 8.3

Begrensning for informasjonstilgang

Bestill en demonstrasjon

medarbeidere,arbeid,moderne,studio.produksjon,ledere,team,arbeidende,nytt,prosjekt.ung,bedrift

Formål med ISO 27001:2022 vedlegg A 8.3

En organisasjons informasjonssikkerhetspolicy er sterkt avhengig av intern og ekstern tilgang til informasjon.

ISO 27001: 2022 Vedlegg A 8.3 er en forebyggende tiltak til administrere risiko ved å etablere regler og prosedyrer for å hindre uautorisert tilgang/misbruk av en organisasjons informasjon og IKT-midler.

Eierskap til vedlegg A 8.3

ISO 27001:2022 vedlegg A 8.3 handler om en organisasjons kapasitet til å regulere tilgang til informasjon. Den sikrer at informasjon kun er tilgjengelig for autorisert personell.

Eierskap til informasjon og datasikkerhetspraksis bør ligge hos Sjef for informasjonssikkerhet (eller deres organisatoriske ekvivalent). Denne personen tar fullt ansvar for organisasjonens overordnede sikkerhetstilnærming.

Gå til emnet

Generell veiledning for ISO 27001:2022 vedlegg A 8.3

For å opprettholde effektiv kontroll over informasjon og IKT-ressurser, bør organisasjoner ta en emnespesifikk tilnærming til informasjonstilgang og støtte tilgangsbegrensningstiltak, for eksempel:

  1. Blokker anonym tilgang til informasjon, inkludert bred offentlig tilgang:

  2. Sørg for riktig vedlikehold av systemer for å regulere tilgang og eventuelle tilknyttede forretningsapplikasjoner eller prosedyrer.

  3. Angi datatilgang på individuelt nivå.

  4. Beskriv datatilgangsrettighetene mellom grupper som validerer operasjoner, for eksempel lese, skrive, slette og utføre.

  5. Oppretthold kapasiteten til å dele opp vitale prosesser og applikasjoner med en rekke fysiske og digitale tilgangsbegrensninger.

Veiledning om Dynamic Access Management

ISO 27001:2022 vedlegg A 8.3 anbefaler å ha en dynamisk tilnærming til informasjonstilgang.

Dynamisk tilgangsstyring har mange positive effekter på organisasjonsaktiviteter som involverer deling eller bruk av interne data med eksterne brukere, noe som resulterer i raskere hendelsesløsning.

Teknikker for dynamisk tilgangsadministrasjon sikrer en rekke informasjonstyper, fra vanlige dokumenter til e-poster og databaseinformasjon. Videre kan de brukes på individuelle filer, slik at organisasjoner kan ha en presis kontroll over dataene deres.

Organisasjoner bør ta hensyn til dette når:

  • Granulær kontroll er nødvendig for å bestemme hvilke menneskelige og ikke-menneskelige brukere som kan få tilgang til informasjonen til enhver tid.

  • Det er behov for å dele data med eksterne enheter (f.eks. leverandører eller offentlige etater).

  • En "sanntids"-tilnærming til datahåndtering og distribusjon innebærer overvåking og styring av datautnyttelsen mens det skjer.

  • Beskytte data mot uautoriserte endringer, distribusjon eller utskrift.

  • Overvåking av tilgang til og endringer av informasjon, spesielt når den er sensitiv, er viktig.
Dynamisk tilgangsadministrasjon er spesielt fordelaktig for organisasjoner som krever observasjon og bevaring av data fra begynnelse til destruksjon, inkludert:

  • En use-case eller serie med use-cases kan skisseres for å bruke datatilgangsregler basert på variablene nedenfor:

    • Sted

    • Søknad

    • Identitet

    • Enhet

  • Skisser en prosess inkludert data drift og overvåking, samt etablere et omfattende rapporteringssystem basert på en pålitelig teknisk infrastruktur.

Alle forsøk på å lage et effektivt system for tilgangskontroll bør resultere i at data beskyttes av:

  1. Å sikre datatilgang er resultatet av en vellykket autentisering.

  2. En grad av begrenset tilgang, avhengig av typen data og dens evne til å påvirke Forretnings kontinuitet, må på plass.

  3. Utskriftstillatelser.

  4. Kryptering.

  5. Omfattende revisjonslogger at registreringen av hvem som har tilgang til data, og formålet med dataenes bruk, skal oppbevares.

  6. En prosedyre for varsler som flagger all feil bruk av data, inkludert (men ikke begrenset til) uautorisert tilgang, distribusjon og forsøk på å slette.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.3 erstatter ISO 27001:2013 Vedlegg A 9.4.1 (Begrensning av informasjonstilgang), representerer et stort skifte i hvordan ISO vurderer administrasjon av informasjonstilgang.

Denne dynamiske tilnærmingen, som ikke ble nevnt i ISO 27001:2013 vedlegg A 9.4.1, tar hensyn til utviklingen av informasjonssikkerhet.

ISO 27001:2022 vedlegg 8.3 gir et vell av veiledningsnotater om dynamisk tilgangsadministrasjon som ikke finnes i ISO 27001:2013-utgaven. Derfor bør organisasjoner se over disse forslagene emne for emne når de søker sertifisering.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.Online er den fremste ISO 27001-styringssystemprogramvaren som hjelper til med samsvar med ISO 27001 og gjør det mulig for bedrifter å tilpasse sine sikkerhetspolicyer og prosedyrer med standarden.

Dette skybasert plattform gir organisasjoner en komplett pakke med verktøy for å hjelpe dem med å bygge et styringssystem for informasjonssikkerhet (ISMS) i samsvar med ISO 27001:2022.

Vi har konstruert plattformen vår fra grunnen av, i samarbeid med internasjonale informasjonssikkerhetsspesialister. Vi har designet den for å være intuitiv og enkel for brukere som mangler teknisk ekspertise på Informasjonssikkerhetsstyringssystemer (ISMS).

Kontakt oss nå for å arrangere en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer