ISO 27001:2022 Vedlegg A Kontroll 8.7

Beskyttelse mot skadelig programvare

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Formål med ISO 27001:2022 vedlegg A 8.7

Skadelig programvare er en av de største truslene mot forretningskontinuitet og datasikkerhet i den digitale tidsalderen.

Den globale forretningsverden står overfor utallige daglige farer fra et stort utvalg av angrepsvektorer som tar sikte på å få tilgang til konfidensielle systemer og data uten tillatelse, trekke ut data og penger, lure intetanende personell og bruke løste data til å kreve store løsepenger.

Sikker beskyttelse mot skadelig programvare bør være en prioritet når du oppretter en informasjonssikkerhetspolicy. Det er viktig at organisasjoner tar skritt for å sikre seg mot skadelig programvare.

ISO 27001: 2022 Vedlegg A 8.7 skisserer en rekke tiltak for å utdanne personell om risikoen ved skadelig programvare og implementere effektive forebyggende tiltak for å beskytte mot interne og eksterne trusler, og dermed unngå avbrudd og tap av data.

Eierskap til vedlegg A 8.7

Beskyttelse av skadelig programvare er et bredt emne, som omfatter flere forretningsfunksjoner med ulik grad av risiko og en rekke ISO-kontroller. Som sådan bør ansvaret for ISO 27001:2022 vedlegg A 8.7 gis til Sjef for informasjonssikkerhet, eller tilsvarende. IKT-administratorer og standardbrukere må ta praktiske skritt for å beskytte mot skadelig programvare.

Gå til emnet

Veiledning om ISO 27001:2022 vedlegg A 8.7 Samsvar

Vedlegg A 8.7 krever at selskaper utfører et forsvar mot skadelig programvare som omfatter fire hovedaspekter:

  1. Kontrollerte systemer og kontotilgang.

  2. Endringsledelse.

  3. Anti-malware programvare.

  4. Organisasjons informasjonssikkerhet bevisstgjøring (brukeropplæring).

ISO advarer mot å tro at anti-malware programvare er nok til å gi et sikkert miljø. ISO 27001:2022 vedlegg A 8.7 oppfordrer organisasjoner til å ta i bruk en ende-til-ende-strategi mot skadelig programvare, en som begynner med opplæring av brukere og kulminerer i et sikkert nettverk som minimerer muligheten for inntrenging fra en rekke angrepskilder.

Organisasjoner bør iverksette tiltak for å nå sine mål, inkludert:

  • Fraråder bruk av ikke-godkjent programvare (se vedlegg A 8.19 og vedlegg A 8.32).

  • Stopp tilgangen til ondsinnede eller uegnede nettsteder.

  • Reduser antallet sårbarheter som eksisterer på nettverket deres som kan utnyttes av skadevare eller personer med dårlige hensikter (se vedlegg A 8.8 og vedlegg A 8.19).

  • Gjennomfør hyppige programvarevurderinger for å oppdage uautorisert programvare, systemendringer og/eller data på nettverket.

  • Sikre data og applikasjoner med minimal risiko, gjennom intern eller ekstern anskaffelse.

  • Organisasjoner bør implementere en policy for deteksjon av skadelig programvare som involverer regelmessige og omfattende skanninger av alle relevante systemer og filer, skreddersydd for hvert områdes distinkte risiko. En "defence in depth"-tilnærming, inkludert endepunktenheter og gatewaykontroller, bør tas i bruk, som tar hensyn til en rekke angrepsvektorer (f.eks. løsepengevare).

  • Avverge inntrenging som stammer fra nødprotokoller og -prosedyrer – spesielt når det er en hendelse eller høyrisiko vedlikeholdsaktiviteter.

  • Lag en prosess som gjør det mulig for teknisk personell å deaktivere noen eller alle tiltak mot skadelig programvare når de hindrer organisasjonens drift.

  • Implementer en solid plan for sikkerhetskopiering og katastrofegjenoppretting (BUDR) som gjør det lettere for organisasjonen å gjenoppta driften så tidlig som mulig, etter avbrudd (se vedlegg A 8.13). Dette bør omfatte prosedyrer for programvare som ikke kan beskyttes av anti-malware programvare (f.eks. maskinprogramvare).

  • Del nettverket og/eller digitale og virtuelle arbeidsrom i seksjoner for å forhindre katastrofal skade dersom et angrep skulle oppstå.

  • Gi alt personell opplæring i anti-malware for å øke deres forståelse av en stor samling av emner, inkludert (men ikke begrenset til):

    • E-post sikkerhet

    • Installerer skadelig programvare

    • Sosialteknikk

  • Samle informasjon om de nyeste fremskrittene innen skadevaresikkerhet knyttet til bransjen.

  • Sørg for at alle varsler om potensielle skadelig programvareangrep (spesielt fra programvare- og maskinvareleverandører) kommer fra en pålitelig kilde og er presise.

Medfølgende vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 8.13

  • ISO 27001:2022 vedlegg A 8.19

  • ISO 27001:2022 vedlegg A 8.32

  • ISO 27001:2022 vedlegg A 8.8

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.7 erstatter ISO 27001:2013 Vedlegg A 12.2.1 (som tok for seg kontroller mot skadelig programvare).

ISO 27001:2022 Annex A 8.7 ligner ISO 27001:2013 Annex A 12.2.1, men noen av tilleggsrådene har fått høyere prioritet, tatt i betraktning deres betydning for firmaers anti-malware-programmer. Konkret inkluderer det:

  • Det er viktig å sikre sikkerhet mot skadelig programvare i vedlikeholdsperioder.

ISO 27001:2013 Annex A 12.2.1 ber organisasjoner tenke på å bruke to forskjellige anti-malware-plattformer, mens ISO 27001:2022 Annex A 8.7 er fornøyd med én enkelt integrert løsning.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Vår plattform gir deg tilpassbare dashboards som gir deg sanntidsforståelse av din etterlevelse.

Du kan overvåke og kontrollere hele ISO 27001:2022-samsvaret ditt fra ett sted, inkludert revisjonsledelse, gapanalyse, opplæringsstyring, risikovurdering og mer.

Denne omfattende plattformen tilbyr en enkel og integrert løsning som kan brukes døgnet rundt fra alle enheter koblet til internett. Det legger til rette for et sømløst og sikkert samarbeid mellom ansatte for å overvåke sikkerhetsrisikoer og holde oversikt over organisasjonens fremgang med å oppnå ISO 27001:2022-sertifisering.

Kontakt oss nå for å arrangere en demonstrasjon.

Se vår plattform
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Bruk 30 minutter på å se hvordan ISMS.online sparer deg for timer (og timer!)

Book et møte

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer