ISO 27001:2022 Vedlegg A Kontroll 8.9

Configuration Management

Bestill en demonstrasjon

nærbilde,bilde,afrikansk,mann,hender,skriving,på,bærbar datamaskin,tastatur.

Formål med ISO 27001:2022 vedlegg A 8.9

Konfigurasjoner, enten som en individuell konfigurasjonsfil eller en samling av konfigurasjoner koblet sammen, bestemmer hvordan maskinvare, programvare og nettverk administreres.

For eksempel vil en brannmurs konfigurasjonsfil inneholde grunnlinjeattributtene som enheten bruker for å administrere trafikken som kommer inn og ut av en organisasjons nettverk, for eksempel blokkeringslister, portvideresending, virtuelle LAN og VPN-informasjon.

Konfigurasjonsadministrasjon utgjør en viktig del av enhver organisasjon Kapitalforvaltning strategi. Konfigurasjoner er avgjørende for å sikre at et nettverk kjører som det skal, og for å beskytte enheter mot ikke-godkjente endringer eller upassende endringer av vedlikeholdspersonell og/eller leverandører.

Eierskap til vedlegg A 8.9

Konfigurasjonsadministrasjon er en administrativ plikt dedikert til å opprettholde og observere aktiva-relaterte data og informasjon som finnes på ulike enheter og applikasjoner. Derfor bør eierskapet være i hendene på Leder for IT eller tilsvarende.

Gå til emnet

Veiledning om ISO 27001:2022 vedlegg A 8.9 Samsvar

Organisasjoner må lage og vedta retningslinjer for konfigurasjonsadministrasjon for både nye og eksisterende systemer og maskinvare. Interne kontroller bør omfatte nøkkelelementer som sikkerhetskonfigurasjoner, maskinvare med konfigurasjonsfiler, og all relevant programvare eller systemer.

ISO 27001: 2022 Vedlegg A 8.9 krever at organisasjoner vurderer alle relevante roller og plikter når de etablerer en konfigurasjonspolicy, inkludert å tildele eierskap til konfigurasjoner på enhet-for-enhet eller applikasjon-for-applikasjon basis.

Veiledning om standardmaler

Organisasjoner bør strebe etter å bruke standardiserte maler for å sikre all maskinvare, programvare og systemer når det er praktisk mulig. Disse malene bør:

  • Forsøk å bruke fritt tilgjengelige leverandørspesifikke og åpen kildekodeinstruksjoner for å konfigurere maskinvare- og programvareressurser optimalt.

  • Sørg for at enheten, applikasjonen eller systemet overholder minimumssikkerhetskravene.

  • Samarbeide med selskapets større informasjonssikkerhet aktiviteter, inkludert alle gjeldende ISO-forskrifter.

  • Ta hensyn til organisasjonens spesielle forretningsbehov – spesielt med hensyn til sikkerhetsinnstillinger – samt muligheten for å bruke eller administrere en mal til enhver tid.

  • Gjennomgå system- og maskinvareoppdateringer med jevne mellomrom, og eventuelle aktuelle sikkerhetstrusler, for å sikre optimal ytelse.

Veiledning om sikkerhetskontroller

Sikkerhet er av største betydning når du bruker konfigurasjonsmaler eller endrer eksisterende i samsvar med veiledningen nevnt ovenfor.

Når de vurderer maler som skal implementeres på tvers av selskapet, bør organisasjoner strebe etter å redusere potensielle informasjonssikkerhetsfarer ved å:

  • Begrens mengden personell med administrativ myndighet til minst mulig.

  • Deaktiver eventuelle identiteter som ikke brukes eller ikke er nødvendige.

  • Spor tilgang til vedlikeholdsprogrammer, verktøy og interne innstillinger nøye.

  • Sørg for at klokkene er koordinert for å registrere konfigurasjonen nøyaktig og hjelpe eventuelle fremtidige sonder.

  • Bytt umiddelbart standardpassord eller sikkerhetsinnstillinger som følger med enhver enhet, tjeneste eller program.

  • Implementer en forhåndsinnstilt avloggingsperiode for alle enheter, systemer eller applikasjoner som har vært inaktive i en forhåndsbestemt tidsramme.

  • Sørg for samsvar med ISO 27001:2022 vedlegg A 5.32 for å garantere at alle lisensieringskrav er oppfylt.

Veiledning om administrering og overvåking av konfigurasjoner

Organisasjonen er forpliktet til å beholde og registrere konfigurasjoner, sammen med en historikk over eventuelle endringer eller nye oppsett, i tråd med ISO 27001:2022 Annex A 8.32 Change Management-prosessen.

Logger bør inneholde informasjon som detaljer:

  • Hvem har eiendelen.

  • Registrer tidspunktet for den siste konfigurasjonsendringen.

  • Denne versjonen av konfigurasjonsmalen som er i kraft.

  • Forklar eventuelle data som er relevante for eiendelens tilknytning til konfigurasjoner på andre gadgets/systemer.

Organisasjoner bør bruke et bredt spekter av metoder for å holde oversikt over hvordan konfigurasjonsfiler fungerer på tvers av nettverket, for eksempel:

  • Automasjon.

  • Spesialiserte konfigurasjonsvedlikeholdsprogrammer er tilgjengelige for bruk. Disse programmene muliggjør effektiv og effektiv styring av innstillinger.

  • Fjernstøtteverktøy som automatisk fyller ut konfigurasjonsdata for hver enhet.

  • Bedriftsenhets- og programvareadministrasjonsverktøy er laget for å observere store mengder konfigurasjonsdata samtidig.

  • BUDR-programvaren gir automatiserte sikkerhetskopier av konfigurasjoner til et sikkert sted, og kan eksternt eller på stedet gjenopprette maler til funksjonsfeil eller kompromitterte enheter.

Organisasjoner bør bruke spesialisert programvare for å overvåke endringer i en enhets konfigurasjon, og ta raske tiltak for å enten godkjenne eller tilbakestille transformasjonen til dens opprinnelige status.

Medfølgende vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 5.32

  • ISO 27001:2022 vedlegg A 8.32

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.9 finnes ikke i ISO 27001:2013, ettersom det er et nytt tillegg i 2022-revisjonen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.Online gir en omfattende tilnærming til ISO 27001 implementering. Den tilbyr en fullservicepakke, som sikrer at hele prosessen håndteres raskt og effektivt. Den gir alle nødvendige verktøy, ressurser og veiledning for å gjøre det mulig for organisasjoner å implementere standarden med tillit.

Dette nettbaserte systemet lar deg demonstrere at din Informasjonssikkerhetsstyringssystem (ISMS) oppfyller aksepterte standarder, med gjennomtenkte prosesser, prosedyrer og sjekklister.

Kontakt oss nå for å arrangere en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer