ISO 27001:2022 Vedlegg A Kontroll 8.32

Endringsledelse

Bestill en demonstrasjon

data,senter,programmerer,bruker,digital,bærbar,datamaskin,vedlikehold,it,spesialist.

Endringer til informasjonssystemer, som å bytte ut en nettverksenhet, opprette en ny databaseforekomst eller oppgradere programvare, er ofte nødvendig for å forbedre ytelsen, redusere kostnadene og øke effektiviteten.

Hvis det ikke utføres på riktig måte, kan endringer i informasjonsbehandlingsanlegg og -systemer kompromittere dataene som er lagret eller behandlet i dem.

ISO 27001: 2022 Vedlegg A 8.32 undersøker hvordan organisasjoner kan sette opp og utføre endringsstyringsprosedyrer for å overvåke, undersøke og administrere endringer i informasjonsbehandlingsfasilitetene og systemene.

Formål med ISO 27001:2022 vedlegg A 8.32

ISO 27001:2022 vedlegg A Kontroll 8.32 tillater organisasjoner å beskytte informasjonsressurser mens de gjør endringer i informasjonsbehandlingssystemer og -fasiliteter. Den gjør dette ved å sette opp, gjennomføre og administrere regler og prosedyrer for endringsledelse.

Eierskap til vedlegg A 8.32

Chief Information Security Officers, med ekspertisen til domeneeksperter, bør være ansvarlige for å utforme og håndheve endringskontrollprosedyrer som gjelder alle stadier av informasjonssystemets livssyklus, i samsvar med ISO 27001:2022 vedlegg A Kontroll 8.32.

Gå til emnet
Si hei til ISO 27001 suksess

Få 81 % av arbeidet gjort for deg og bli sertifisert raskere med ISMS.online

Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 8.32 Samsvar

Alle endringer i informasjonssystemer, så vel som implementering av nye systemer, bør følge et etablert sett med forskrifter og prosedyrer. Detaljene i disse endringene må være eksplisitt oppgitt og dokumentert. I tillegg må de gjennom vurderings- og kvalitetssikringsprosesser.

Organisasjoner bør tildele ledelsesoppgaver til den mest passende ledelsen og fastsette nødvendige prosedyrer for å sikre at alle endringer er i tråd med endringskontrollforskrifter og standarder.

ISO 27001:2022 vedlegg A Kontroll 8.32 oppregner ni komponenter som skal vises i endringsadministrasjonsprosedyren:

  1. Organisasjoner bør kartlegge og vurdere den potensielle effekten av foreslåtte modifikasjoner, med tanke på alle avhengigheter.

  2. Implementere autorisasjonskontroller for endringer. Sørg for at alle modifikasjoner er autorisert av riktig personell. Sørg for at kun autorisert personell har tilgang til systemet og at alle endringer er forsvarlig dokumentert.

  3. Varsle gjeldende innenfor og utenfor grupper om de foreslåtte endringene.

  4. Sikre overholdelse av ISO 27001:2022 vedlegg A 8.29 ved å utvikle og utføre testing og aksepttester for modifikasjoner.

  5. Implementeringen av endringene og deres praktiske implementering vil bli ivaretatt.

  6. Etablere nød- og beredskapsplaner og -prosedyrer, inkludert en reserveprosedyre.

  7. Opprettholde oversikt over alle endringer og tilknyttede aktiviteter, som omfatter 1-6 nevnt ovenfor.

  8. For å sikre samsvar med vedlegg A 5.37 til ISO 27001:2022, blir driftsdokumentasjon og brukerprosedyrer regelmessig gjennomgått og endret etter behov.

  9. IKT-kontinuitetsplaner og gjenopprettings- og responsprosedyrer må evalueres og oppdateres for å imøtekomme endringene.

Organisasjoner bør bestrebe seg på å innlemme endringskontrollprosedyrer for programvare og IKT-infrastruktur så mye som mulig.

Supplerende veiledning om vedlegg A 8.32

Endringer i produksjonsmiljøet, f.eks. operativsystemer og databaser, kan sette applikasjonsintegritet og tilgjengelighet i fare, nærmere bestemt overføring av programvare fra utvikling til produksjon.

Organisasjoner bør være på vakt mot de potensielle resultatene av å endre programvare i produksjonsmiljøet. Uforutsette konsekvenser kan oppstå, så det bør utvises forsiktighet.

Organisasjoner bør kjøre tester på IKT-komponenter i et trygt, separat miljø, vekk fra utvikling og produksjon.

Organisasjoner kan få mer kontroll over ny programvare og beskytte de virkelige dataene som brukes til testing med patcher og oppdateringspakker, og gir et ekstra lag med beskyttelse.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.32 erstatter de fire delene av ISO 27001:2013 Vedlegg A 12.1.2, 14.2.2, 14.2.3 og 14.2.4.

I ISO 27001:2013 var endringskontrollprosedyrene mer spesifisert enn de vil være i 2022.

Tre sentrale forskjeller kan identifiseres mellom de to versjonene.

ISO 27001:2013-versjonen var mer detaljert når det gjelder hva "endringsprosedyre" bør innebære

ISO 27001:2022 og ISO 27001:2013-versjonene angir begge på en ikke-uttømmende måte hva som skal inkluderes i en endringsprosedyre.

2013-utgaven inneholdt komponenter som ikke er nevnt i 2022-varianten:

  • Identifiser og gjennomgå sikkerhetskritisk kode for å løse eventuelle svakheter.

  • Organisasjoner bør opprettholde versjonskontroll for alle programvareendringer.

  • Organisasjoner bør opprette og registrere en liste over maskinvare- og programvarekomponenter som krever endring og oppdatering.

ISO 27001:2013-versjonen adressert 'Endringer i driftsplattformer'

Vedlegg A 14.2.3 i ISO 27001:2013 skisserer måter organisasjoner kan redusere negative påvirkninger og forstyrrelser på forretningsdrift som kan komme fra endringer i operativsystemer.

Til sammenligning inneholder ikke ISO 27001:2022 noen krav til modifikasjoner.

ISO 27001:2013 adressert 'Endringer i programvarepakker'

Vedlegg A 14.2.4, adressert til 'Endringer i programvarepakker' i ISO 27001:2013, dette er ikke inkludert i ISO 27001:2022-versjonen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Skyplattformen vår tilbyr en sterk struktur av informasjonssikkerhetstiltak, slik at du kan krysse av for ISMS-prosessen din etter hvert som du gjør fremgang, og garanterer at den oppfyller ISO 27000k-kriteriene.

ISMS.online kan hjelpe deg med å oppnå sertifisering effektivt og med minimale ressurser. Når den brukes riktig, kan den være en stor fordel for å nå dette målet.

Kontakt oss nå for å planlegge en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppnå din første ISO 27001

Last ned vår gratis guide til rask og bærekraftig sertifisering

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer