Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 8.15 – Logging

ISO 27002:2022 Kontroll 8.15 – Logging fremhever viktigheten av logging for sikkerhetsovervåking, etterforskning av hendelser og samsvar. Den skisserer viktige loggingskrav, beste praksis for loggbeskyttelse og rollen til IT-team i å opprettholde loggintegritet og analyse.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

Formål med kontroll 8.15

Logger – enten det er i form av søknadslogger, hendelseslogger eller generell systeminformasjon – utgjør en sentral del av å få et ovenfra-og-ned-bilde av IKT-hendelser og ansattes handlinger. Logger lar organisasjoner etablere en tidslinje med hendelser og granske både logiske og fysiske mønstre på tvers av hele nettverket.

Å produsere tydelig og lett tilgjengelig logginformasjon er en viktig del av en organisasjons overordnede IKT-strategi, og følger med en rekke viktige informasjonssikkerhetskontroller innenfor ISO 27002:2002.

Logger skal:

  • Registrer hendelser.
  • Samle bevis.
  • Beskytte sin egen integritet.
  • Sikre loggdata mot uautorisert tilgang.
  • Identifiser handlinger og hendelser som kan føre til informasjons-/sikkerhetsbrudd.
  • Fungere som et verktøy for å støtte interne og eksterne undersøkelser.

Attributttabell for kontroll 8.15

Kontroll 8.15 er en detektiv kontrollere det endrer risiko ved å ta i bruk en tilnærming til logging som oppfyller målene ovenfor.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Detektiv #Konfidensialitet #Oppdag #Informasjonssikkerhet hendelsesadministrasjon #Beskyttelse
#Integritet #Forsvar
#Tilgjengelighet

Eierskap til kontroll 8.15

Kontroll 8.15 omhandler IKT-operasjoner som utføres ved bruk av systemadministratortilgang, og faller inn under paraplyen nettverksadministrasjon og vedlikehold. Som sådan bør eierskapet til Kontroll 8.15 ligge hos IT-sjefen, eller tilsvarende organisatorisk.



ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Veiledning – Hendelseslogginformasjon

En "hendelse" er enhver handling utført av en logisk eller fysisk tilstedeværelse på et datasystem – for eksempel en forespørsel om data, en ekstern pålogging, en automatisk systemavslutning, en filsletting.

Kontroller 8.15 spesifikt at hver enkelt hendelseslogg skal inneholde 5 hovedkomponenter, for at den skal oppfylle sitt operasjonelle formål:

  • Bruker-ID – Hvem eller hvilken konto utførte handlingene.
  • Systemaktivitet – Hva skjedde
  • Tidsstempler – Dato og klokkeslett for nevnte hendelse
  • Enhets- og systemidentifikatorer og plassering – Hvilken ressurs hendelsen skjedde på
  • Nettverksadresser og protokoller – IP-informasjon

Veiledning – hendelsestyper

For praktiske formål er det kanskje ikke mulig å logge hver enkelt hendelse som skjer på et gitt nettverk.

Med det i tankene identifiserer Control 8.15 de 10 hendelsene nedenfor som spesielt viktige for loggformål, gitt deres evne til å endre risiko og rollen de spiller for å opprettholde tilstrekkelig informasjonssikkerhetsnivå:

  1. Systemtilgangsforsøk.
  2. Forsøk på data- og/eller ressurstilgang.
  3. System/OS konfigurasjon endringer.
  4. Bruk av forhøyede rettigheter.
  5. Bruk av hjelpeprogrammer eller vedlikeholdsfasiliteter (se Kontroll 8.18).
  6. Filtilgangsforespørsler og hva som skjedde (sletting, migrering osv.).
  7. Adgangskontrollalarmer og kritiske avbrudd.
  8. Aktivering og/eller deaktivering av frontend- og backend-sikkerhetssystemer, for eksempel antivirusprogramvare på klientsiden eller brannmurbeskyttelsessystemer.
  9. Identitetsadministrasjonsarbeid (både fysisk og logisk).
  10. Visse handlinger eller system-/dataendringer utført som en del av en økt i en applikasjon.

Som forklart i kontroll 8.17, er det svært viktig at alle logger er koblet til den samme synkroniserte tidskilden (eller sett med kurs), og i tilfelle av tredjeparts applikasjonslogger, eventuelle tidsavvik som tas hensyn til og registreres.

Veiledning – Loggbeskyttelse

Logger er den laveste fellesnevneren for å etablere bruker-, system- og applikasjonsatferd på et gitt nettverk, spesielt når de står overfor en undersøkelse.

Det er derfor svært viktig for organisasjoner å sikre at brukere – uavhengig av tillatelsesnivåer – ikke beholder muligheten til å slette eller endre sine egne hendelseslogger.

Individuelle logger skal være fullstendige, nøyaktige og beskyttet mot eventuelle uautoriserte endringer eller driftsproblemer, inkludert:

  • Endringer av meldingstype.
  • Slettede eller redigerte loggfiler.
  • Enhver unnlatelse av å generere en loggfil, eller unødvendig overskriving av loggfiler på grunn av rådende problemer med lagringsmedier eller nettverksytelse.

ISO anbefaler at logger beskyttes ved å bruke følgende metoder for å forbedre informasjonssikkerheten:

  • Kryptografisk hashing.
  • Bare vedlegg opptak.
  • Skrivebeskyttet opptak.
  • Bruk av offentlige åpenhetsfiler.

Organisasjoner må kanskje sende logger til leverandører for å løse hendelser og feil. Hvis dette skulle oppstå, bør logger "avidentifiseres" (se kontroll 8.11) og følgende informasjon skal maskeres:

  • brukernavn
  • IP-adresser
  • Vertsnavn

I tillegg til dette bør det iverksettes tiltak for å sikre personlig identifiserbar informasjon (PII) i tråd med organisasjonens egne datavernprotokoller, og eventuell gjeldende lovgivning (se kontroll 5.34).



ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Veiledning – Logganalyse

Når du analyserer logger med det formål å identifisere, løse og analysere informasjonssikkerhetshendelser – med det endelige målet å forhindre fremtidige hendelser – må følgende faktorer tas i betraktning:

  • Kompetansen til personellet som utfører analysen.
  • Hvordan logger analyseres, i tråd med selskapets prosedyre.
  • Type, kategori og attributter for hver hendelse som krever analyse.
  • Eventuelle unntak som brukes via nettverksregler som kommer fra maskinvare og plattformer for sikkerhetsprogramvare.
  • Standardflyten av nettverkstrafikk sammenlignet med uforklarlige mønstre.
  • Trender som identifiseres som et resultat av spesialisert dataanalyse.
  • Trusseletterretning.

Veiledning – Loggovervåking

Logganalyse bør ikke utføres isolert, og bør gjøres i takt med strenge overvåkingsaktiviteter som identifiserer nøkkelmønstre og unormal atferd.

For å oppnå en tofrontstilnærming bør organisasjoner:

  1. Gjennomgå alle forsøk på å få tilgang til sikre og/eller forretningskritiske ressurser, inkludert domeneservere, nettportaler og fildelingsplattformer.
  2. Granske DNS-logger for å oppdage utgående trafikk knyttet til ondsinnede kilder og skadelige serveroperasjoner.
  3. Samle databruksrapporter fra tjenesteleverandører eller interne plattformer for å identifisere ondsinnet aktivitet.
  4. Samle logger fra fysiske tilgangspunkter, for eksempel nøkkelkort/fob-logger og romtilgangsinformasjon.

Tilleggsinformasjon

Organisasjoner bør vurdere å bruke spesialiserte hjelpeprogrammer som hjelper dem å søke gjennom de enorme mengdene informasjon som systemlogger genererer, for å spare tid og ressurser når de undersøker sikkerhetshendelser, for eksempel et SIEM-verktøy.

Hvis en organisasjon bruker en skybasert plattform for å utføre noen del av driften, bør loggadministrasjon betraktes som et delt ansvar mellom tjenesteleverandøren og organisasjonen selv.

Støttekontroller

  • 5.34
  • 8.11
  • 8.17
  • 8.18


klatring

Frigjør deg fra et fjell av regneark

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din


Endringer og forskjeller fra ISO 27002:2013

ISO 27002:2002-8.15 erstatter tre kontroller fra ISO 27002:2003 som omhandler lagring, administrasjon og analyse av loggfiler:

  • 12.4.1 – Hendelseslogging
  • 12.4.2 – Beskyttelse av logginformasjon
  • 12.4.3 – Administrator- og operatørlogger

27002:2002-8.15 bekrefter i stor grad alle veiledningspunktene fra de tre ovennevnte kontrollene til én klar protokoll som omhandler logging, med noen få bemerkelsesverdige utvidelser, inkludert (men ikke begrenset til):

  • Et utvidet sett med retningslinjer som omhandler beskyttelse av logginformasjon.
  • Ytterligere veiledning om de ulike hendelsestypene som bør vurderes for gransking.
  • Veiledning om hvordan logger både skal overvåkes og analyseres i et felles arbeid for å forbedre informasjonssikkerheten.
  • Råd om hvordan du administrerer logger produsert av skybaserte plattformer.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.Online-plattformen hjelper med alle aspekter ved implementering av ISO 27002, fra styring av risikovurderingsaktiviteter til utvikling av retningslinjer, prosedyrer og retningslinjer for å overholde standardens krav.

Med sitt automatiserte verktøysett gjør ISMS.Online det enkelt for organisasjoner å demonstrere samsvar med ISO 27002-standarden.

Kontakt oss i dag for planlegg en demonstrasjon.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbord fullt på krystall

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Høst 2025
Høypresterende, småbedrifter - høsten 2025 Storbritannia
Regional leder - høsten 2025 Europa
Regional leder - høsten 2025 EMEA
Regional leder - høsten 2025 Storbritannia
Høypresterende - Høsten 2025 Europa Mellommarked

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.