ISO 27001:2022 Vedlegg A Kontroll 8.8

Håndtering av tekniske sårbarheter

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Formål med ISO 27001:2022 vedlegg A 8.8

Ingen datanettverk, system, programvare eller enheter er helt sikre. Å kjøre et moderne LAN eller WAN innebærer sårbarheter som en del av prosessen, så det er viktig for organisasjoner å akseptere deres tilstedeværelse og strebe etter å redusere potensielle risikoer.

ISO 27001:2022 vedlegg A 8.8 gir et vell av råd for å hjelpe organisasjoner med å beskytte nettverkene sine mot intern og ekstern utnyttelse av sårbarheter. Den benytter seg av prosedyrer og retningslinjer fra flere andre ISO 27001: 2022 Vedlegg A kontroller, spesielt de for Endringsledelse (se vedlegg A 8.32) og Access Control .

Eierskap til vedlegg A 8.8

ISO 27001:2022 vedlegg A 8.8 omhandler teknisk og administrativ styring av programvare, systemer og IKT-ressurser. Den foreskriver en omfattende tilnærming for programvareadministrasjon, Kapitalforvaltning, og revisjon av nettverkssikkerhet.

Personen som har det endelige ansvaret for vedlikeholdet av organisasjonens IKT-infrastruktur, slik som IT-sjefen eller tilsvarende, bør være eier av ISO 27001:2022 vedlegg A 8.8.

Gå til emnet

Veiledning for identifisering av sårbarheter

Før man utfører sårbarhetskontroller er det viktig å anskaffe en omfattende og oppdatert liste over fysiske og digitale eiendeler (se vedlegg A 5.9 og 5.14) som eies og drives av organisasjonen.

Programvaredata bør omfatte:

  • Versjonsnummer i drift.

  • Hvor programvaren er distribuert over eiendommen.

  • Leverandørnavn.

  • Programnavn.

Organisasjoner bør bestrebe seg på å identifisere tekniske sårbarheter ved å:

  • Det er viktig å tydelig definere hvem i organisasjonen som er ansvarlig for sårbarhetshåndtering fra en teknisk synspunkt, og oppfyller sine ulike funksjoner, som inkluderer (men er ikke begrenset til):

  • Innad i organisasjonen, hvem er ansvarlig for programvaren.

  • Hold oversikt over applikasjoner og verktøy for å identifisere tekniske svakheter.

  • Be leverandører og leverandører om å avsløre eventuelle følsomheter med nye systemer og maskinvare når de leverer dem (i henhold til vedlegg A 5.20 i ISO 27001:2022), og spesifiser tydelig så mye i alle gjeldende kontrakter og serviceavtaler.

  • Bruk verktøy for sårbarhetsskanning og oppdateringsfasiliteter.

  • Utfør periodiske, dokumenterte penetrasjonstester, enten av internt personale eller av en autentisert tredjepart.

  • Vær oppmerksom på potensialet for underliggende programmatiske sårbarheter ved bruk av tredjeparts kodebiblioteker eller kildekode (se ISO 27001:2022 vedlegg A 8.28).

Veiledning om offentlig virksomhet

Organisasjoner bør lage retningslinjer og prosedyrer som oppdager sårbarheter i alle deres produkter og tjenester og få vurderinger av disse sårbarhetene knyttet til deres forsyning.

ISO råder organisasjoner til å iverksette tiltak for å identifisere eventuelle sårbarheter, og å motivere tredjeparter til å delta i sårbarhetshåndteringsaktiviteter ved å tilby dusørprogrammer (der potensielle utnyttelser søkes og rapporteres til organisasjonen i bytte mot en belønning).

Organisasjoner bør gjøre seg tilgjengelige for publikum gjennom fora, offentlige e-postadresser og forskning, slik at de kan utnytte den kollektive kunnskapen til publikum for å beskytte sine produkter og tjenester.

Organisasjoner bør vurdere alle utbedrende tiltak som er tatt, og vurdere å gi ut relevant informasjon til berørte enkeltpersoner eller organisasjoner. Dessuten bør de samarbeide med spesialiserte sikkerhetsorganisasjoner for å spre kunnskap om sårbarheter og angrepsvektorer.

Organisasjoner bør tenke på å tilby et valgfritt automatisert oppdateringssystem som kundene kan velge å bruke eller ikke, i henhold til deres forretningskrav.

Veiledning om evaluering av sårbarheter

Nøyaktig rapportering er avgjørende for å sikre raske og effektive korrigerende tiltak når sikkerhetsrisikoer oppdages.

Organisasjoner bør vurdere sårbarheter ved å:

  • Undersøk rapportene grundig og finn ut hva som er nødvendig, for eksempel å endre, oppdatere eller eliminere påvirkede systemer og/eller utstyr.

  • Nå en løsning som tar hensyn til andre ISO-kontroller (spesielt de som er relatert til ISO 27001:2022) og anerkjenner risikonivået.

Veiledning for å motvirke programvaresårbarheter

Programvaresårbarheter kan håndteres effektivt ved å bruke en proaktiv tilnærming til programvareoppdateringer og patchadministrasjon. Å sikre regelmessige oppdateringer og oppdateringer kan bidra til å beskytte systemet mot potensielle trusler.

Organisasjoner bør passe på å beholde eksisterende programvareversjoner før de foretar endringer, utføre grundige tester på alle modifikasjoner og bruke disse på en utpekt kopi av programvaren.

Når sårbarheter er identifisert, bør organisasjoner iverksette tiltak for å løse dem:

  • Mål å raskt og effektivt fikse alle sikkerhetssvakheter.

  • Der det er mulig, observer organisasjonsprotokollene for endringsledelse (se ISO 27001:2022 vedlegg A 8.32) og hendelseshåndtering (se ISO 27001:2022 vedlegg A 5.26).

  • Bruk bare oppdateringer og oppdateringer fra pålitelige, sertifiserte kilder, spesielt for tredjepartsleverandører av programvare og utstyr:

    • Organisasjoner bør evaluere dataene for hånden for å avgjøre om det er viktig å bruke automatiske oppdateringer (eller komponenter av dem) på kjøpt programvare og maskinvare.

  • Før du installerer, test eventuelle oppdateringer for å forhindre uventede problemer i et levende miljø.

  • Gi toppprioritet til å takle høyrisiko og vitale forretningssystemer.

  • Sørg for at utbedrende tiltak er vellykkede og ekte.

I tilfelle ingen oppdatering er tilgjengelig, eller noen hindringer for å installere en (f.eks. kostnadsrelatert), bør organisasjoner vurdere andre metoder, som:

  • Be om veiledning fra leverandøren om en midlertidig løsning mens utbedringsarbeidet intensiveres.

  • Slå av alle nettverkstjenester som er berørt av sikkerhetsproblemet.

  • Implementering av sikkerhetskontroller ved viktige gatewayer, for eksempel trafikkregler og filtre, for å beskytte nettverket.

  • Opptrapp overvåkingen i forhold til den tilhørende risikoen.

  • Sørg for at alle berørte parter er klar over feilen, inkludert leverandører og kjøpere.

  • Utsett oppdateringen og evaluer risikoene, spesielt merk eventuelle potensielle driftskostnader.

Medfølgende vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 5.14

  • ISO 27001:2022 vedlegg A 5.20

  • ISO 27001:2022 vedlegg A 5.9

  • ISO 27001:2022 vedlegg A 8.20

  • ISO 27001:2022 vedlegg A 8.22

  • ISO 27001:2022 vedlegg A 8.28

Supplerende veiledning om vedlegg A 8.8

Organisasjoner bør opprettholde en revisjonsspor av alle relevante sårbarhetshåndteringsaktiviteter for å hjelpe til med korrigerende tiltak og forhåndsprotokoller i tilfelle et sikkerhetsbrudd.

Regelmessig vurdering og gjennomgang av hele sårbarhetsbehandlingsprosessen er en fin måte å forbedre ytelsen og proaktivt identifisere eventuelle sårbarheter.

Hvis organisasjonen bruker en skytjenesteleverandør, bør de sikre at leverandørens tilnærming til sårbarhetshåndtering er kompatibel med deres egen og bør inkluderes i den bindende tjenesteavtalen mellom begge parter, inkludert eventuelle rapporteringsprosedyrer (se ISO 27001:2022 vedlegg A 5.32) .

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.8 erstatter to vedlegg A-kontroller fra ISO 27001:2013, disse er:

  • 12.6.1 – Håndtering av tekniske sårbarheter

  • 18.2.3 – Teknisk samsvarsgjennomgang

ISO 27001:2022 vedlegg A 8.8 introduserer en ny, distinkt tilnærming til sårbarhetshåndtering enn den som finnes i ISO 27001:2013. Det er en bemerkelsesverdig avvik fra tidligere standard.

ISO 27001:2013 vedlegg A 12.6.1 fokuserte hovedsakelig på å sette på plass korrigerende tiltak når en sårbarhet er oppdaget, mens vedlegg A 18.2.3 kun gjelder tekniske midler (stort sett penetrasjonstesting).

ISO 27001:2022 vedlegg A 8.8 introduserer nye seksjoner som omhandler en organisasjons offentlige ansvar, metoder for å gjenkjenne sårbarheter, og rollen skyleverandører spiller for å holde sårbarheter på et minimum.

ISO 27001:2022 legger sterk vekt på rollen til sårbarhetshåndtering på andre områder (som endringsledelse) og oppfordrer til en helhetlig tilnærming, som inkluderer flere andre kontroller og informasjonssikkerhetsprosesser.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Vår plattformen er brukervennlig og grei. Det er ment for alle i organisasjonen, ikke bare teknologikyndige mennesker. Vi anbefaler å involvere personell fra alle nivåer i virksomheten konstruere ISMS da dette bidrar til å skape et system som vil vare.

Ta kontakt nå for å arrangere en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Si hei til ISO 27001 suksess

Få 81 % av arbeidet gjort for deg og bli sertifisert raskere med ISMS.online

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer