Binne ISO 27001:2022 Bylae A: 'n Nader kyk na sleutelkontroles

Inleiding tot ISO 27001:2022 Bylae A

Die ISO 27001: 2022 is 'n internasionale inligtingsekuriteitstandaard wat deur 'n inligtingsekuriteitbestuurstelsel (ISMS) geïmplementeer word. Die standaard se Bylae A bevat 93 sekuriteitskontroles wat toegepas kan word op grond van jou organisasie se behoeftes en doelwitte.  

Die implementering van hierdie beheermaatreëls stel jou organisasie in staat om potensiële risiko's aan te spreek en voldoening aan die ISO 27001-standaard te bereik. Dit is 'n bewese benadering om jou kliënte en vooruitsigte te wys dat die beskerming van hul data 'n prioriteit vir jou besigheid is.  

In hierdie artikel sal ons Bylae A ondersoek, kritieke kontroles uiteensit en verduidelik waarom die begrip en implementering van relevante Bylae A-kontroles noodsaaklik is vir jou organisasie se ISO 27001-sukses. 

ISO 27001:2022 Bylae A Kategorieë

 Die 93 ISO 27001:2022 Bylae A kontroles word in vier kategorieë geklassifiseer: 

•        Organisatoriese kontroles
•        Mense beheer
•        Fisiese kontroles 
•        Tegnologiese kontroles.

Organisatoriese kontroles

ISO 27001 bevat 37 organisatoriese kontroles. Hierdie kontroles hou verband met jou organisasie se beleide, prosedures, strukture en meer, wat jou in staat stel om effektiewe inligtingsekuriteit op organisasievlak te implementeer.  

Organisatoriese kontroles sluit jou inligtingsekuriteitsbeleide, verantwoordelikhede vir inligtingsekuriteit, toegangsbeheer, batebestuur en meer in. 

Mense beheer

ISO 27001 bevat agt mensekontroles, wat fokus op kritieke maatreëls wat organisasies moet neem om te verseker dat werknemers voldoende inligtingsekuriteitsopleiding ontvang en hul verantwoordelikhede ken. 

Mensekontroles sluit inligtingsekuriteitsopvoeding, bewustheid en opleiding, afstandwerkmaatreëls, inligtingsekuriteitsgebeurtenisverslagdoening en meer in. 

Fisiese beheer 

Die 14 fisiese kontroles in ISO 27001 spreek die sekuriteit van jou organisasie se fisiese omgewing aan. 

Fisiese kontroles sluit sekuriteitsmaatreëls in om in veilige gebiede te werk, bergingmediabestuur, duidelike lessenaar- en skermbeleide, en meer. 

Tegnologiese kontroles

Daar is 34 tegnologiese beheermaatreëls uiteengesit in ISO 27001:2022 wat verband hou met verskeie tegnologiese elemente regoor jou organisasie. 

Tegnologiese kontroles sluit in veilige verifikasie, bestuur van tegniese kwesbaarhede, moniteringsaktiwiteite en gebruik van kriptografie. 

Kritieke ISO 27001:2022 Bylae A Kontroles

Jou organisasie hoef nie noodwendig al 93 kontroles te implementeer nie, maar jy moet kontroles kies wat relevant is vir jou organisasie se inligtingsekuriteitsdoelwitte en die risiko's wat jy geïdentifiseer het. Verskeie belangrike kontroles word vereis vir die meeste, indien nie alle, organisasies om aan ISO 27001 te voldoen. 

Let daarop dat die lys hieronder nie volledig is nie. Jou organisasie moet elke beheer oorweeg op grond van jou oorkoepelende inligtingsekuriteitsdoelwitte. 

A.5.1 Beleide vir inligtingsekuriteit

Beheer A.5.1, Beleide vir inligtingsekuriteit, verseker voortgesette geskiktheid, toereikendheid en doeltreffendheid van bestuursondersteuning en rigting vir jou organisasie se inligtingsekuriteit en privaatheid. 

Hierdie beheer word suksesvol geïmplementeer en verseker dat jou organisasie 'n stel inligtingsekuriteit- en privaatheidsbeleide het wat ontwerp is om die gedrag van individue in te lig en te lei in ooreenstemming met inligtingsekuriteitsrisiko's.  

Byvoorbeeld, jou inligtingsekuriteitsbeleid, wat 'n vereiste is van ISO 27001:2022 Klousule 5.2, moet deur die bestuur goedgekeur word en noem jou organisasie se benadering tot die bestuur van inligtingsekuriteit. Dit moet jou besigheidstrategie, vereistes, relevante wetgewing, regulasies en kontrakte in ag neem.  

Die beleid moet: 

• Sluit 'n definisie van inligtingsekuriteit in 

• Voorsien 'n raamwerk vir die daarstelling van inligtingsekuriteitsdoelwitte 

• Noem 'n deurlopende verbintenis tot die verbetering van jou organisasie se ISMS 

• Ken verantwoordelikhede vir inligtingsekuriteitbestuur toe aan gedefinieerde rolle. 

Topbestuur moet die inligtingsekuriteitsbeleid goedkeur en enige veranderinge wat aangebring word om effektiewe implementering te verseker. Jy moet dan die beleid (en enige gepaardgaande subbeleide, soos toegangsbeheer en batebestuurbeleide) aan relevante personeel kommunikeer. 

 A.5.1. Uitkomste: Inligtingsekuriteitsbeleid; relevante onderwerpspesifieke subbeleide, bv A.5.10 Aanvaarbare gebruik van inligting en ander verwante bates, A.8.32 Veranderingsbestuur, A.8.13 Rugsteun van inligting, Ens. 

A.5.15 Toegangsbeheer

Beheer A.5.15, Toegangsbeheer vereis dat jou organisasie reëls daarstel en implementeer om fisiese en logiese toegang tot inligting en ander verwante bates te beheer gebaseer op besigheids- en inligtingsekuriteitvereistes. Dit verseker net gemagtigde profiele het toegang tot inligting en ander bates en verhoed ongemagtigde toegang. 

U moet hierdie beheer aanspreek met 'n toegangsbeheerbeleid, wat as 'n onderwerpspesifieke beleid onder u inligtingsekuriteitsbeleid dien. Jou toegangsbeheerbeleid moet die volgende in ag neem:  

• Bepaal watter entiteite watter tipe toegang tot inligting en ander bates benodig 

• Sekuriteit van toepassings 

• Fisiese toegang, ondersteun deur fisiese toegangskontroles 

• Inligtingsverspreiding en -magtiging en inligtingsekuriteitsvlakke en klassifikasie van inligting 

• Beperkings op bevoorregte toegang 

• Skeiding van pligte 

• Relevante wetgewing, regulasies en kontraktuele verpligtinge met betrekking tot beperking van toegang tot data of dienste 

• Skeiding van toegangsbeheerfunksies (soos toegangsversoek, toegangsmagtiging en toegangsadministrasie) 

• Formele magtiging van toegangsversoeke 

• Bestuur van toegangsregte 

• Tekening. 

Behoefte-om-te-weet en behoefte-om-te-gebruik beginsels word algemeen gebruik in toegangsbeheer: 

• Moet weet behels dat 'n entiteit (soos 'n individu of organisasie) slegs toegang verleen word tot inligting wat die entiteit benodig om sy take uit te voer.  

• Behoefte om te gebruik behels dat 'n entiteit slegs toegang kry tot inligtingstegnologie-infrastruktuur met 'n duidelike behoefte.  

Hierdie beginsels kan lei hoe jou organisasie toegang tot inligtingbates verleen. Jy moet ook besigheidsvereistes en risikofaktore in ag neem wanneer jy definieer watter toegangsbeheerreëls toegepas word en die vlak van granulariteit wat nodig is. 

A.5.15 Uitkomste: Onderwerpspesifieke toegangsbeheerbeleid; toegangsbeheerimplementering (bv. verpligte toegangsbeheer, diskresionêre toegangsbeheer, rolgebaseerde toegangsbeheer of kenmerkgebaseerde toegangsbeheer). 

A.6.3 Bewusmaking, onderwys en opleiding van inligtingsekuriteit

Beheer A.6.3, Inligtingsekuriteitsbewustheid, opvoeding en opleiding, is 'n grondslag van jou organisasie se sekuriteitsposisie. Dit verseker dat jou werknemers en belangstellendes potensiële inligtingsekuriteitsinsidente kan voorkom, identifiseer en rapporteer.  

Die beheer vereis dat personeel en relevante partye toepaslike inligtingsekuriteitbewustheid, opvoeding, opleiding en gereelde opdaterings ontvang oor jou organisasie se inligtingsekuriteitsbeleid en onderwerpspesifieke beleide en prosedures soos van toepassing op hul rolle. 

U moet 'n inligtingsekuriteitsbewustheid, -opvoeding en opleidingsprogram in lyn met u inligtingsekuriteitsdoelwitte daarstel, en opleiding moet periodiek plaasvind. Die program moet personeel bewus maak van hul verantwoordelikhede vir inligtingsekuriteit en 'n toepaslike onderwys- en opleidingsplan insluit om personeel te help om die doel van inligtingsekuriteit en die potensiële impak van hul gedrag, soos dit met inligtingsekuriteit verband hou, op jou besigheid te verstaan. 

Oorweeg dit om aspekte soos:  

• Bestuur se verbintenis tot inligtingsekuriteit regdeur jou organisasie 

• Bekendheid en voldoeningsbehoeftes rakende toepaslike inligtingsekuriteitsreëls en -verpligtinge 

• Persoonlike aanspreeklikheid vir 'n mens se optrede en gebreke, en algemene verantwoordelikhede om inligting wat aan die organisasie behoort te beveilig of te beskerm 

• Basiese inligtingsekuriteitsprosedures soos gebeurtenisverslaggewing en wagwoordsekuriteit 

• Kontakpunte en hulpbronne vir bykomende inligting en advies. 

A.6.3 Uitkomste: Periodieke bewusmakingsopleiding; periodieke onderwys- en opleidingsprogram; gereelde verspreiding van relevante inligtingsekuriteitsbeleide, insluitend opdaterings. 

 A.8.24 Gebruik van kriptografie

Beheer A.8.24, gebruik van kriptografie vereis dat jou organisasie reëls definieer en implementeer vir die effektiewe gebruik van kriptografie. Kriptografie kan gebruik word om verskillende inligtingsekuriteitsdoelwitte te bereik, soos: 

• Vertroulikheid, deur enkripsie te gebruik om sensitiewe of kritieke inligting te beskerm 

• Integriteit of egtheid, deur digitale handtekeninge of boodskapverifikasiekodes te gebruik om die egtheid of integriteit van sensitiewe of kritieke inligting te verifieer 

• Nie-repudiëring, deur kriptografiese tegnieke te gebruik om bewyse te verskaf van die voorkoms of nie-voorkoms van 'n gebeurtenis of aksie 

• Verifikasie, by gebruik van kriptografiese tegnieke om gebruikers en ander entiteite te verifieer wat toegang tot jou stelsel, entiteite of hulpbronne versoek. 

Jou organisasie moet 'n onderwerpspesifieke kriptografiebeleid implementeer, insluitend algemene beginsels vir die beskerming van inligting. U moet ook relevante wetlike, statutêre, regulatoriese en kontraktuele vereistes wat met kriptografie verband hou, oorweeg. Kritiese oorwegings vir jou kriptografiebeleid sluit in: 

• Die vereiste vlak van beskerming en klassifikasie van die inligting te identifiseer en gevolglik die tipe, sterkte en kwaliteit van die vereiste kriptografiese algoritmes vas te stel 

• Die benadering tot sleutelbestuur en sleutelgenerering, insluitend veilige prosesse vir die generering, berging, argivering, herwinning, verspreiding, onttrekking en vernietiging van kriptografiese sleutels 

• Rolle en verantwoordelikhede vir die implementering van die reëls vir die effektiewe gebruik van kriptografie en sleutelbestuur en generering. 

In ooreenstemming met hierdie beheer, moet jou organisasie 'n sleutelbestuurstelsel definieer en gebruik. 

A.8.24 Uitkomste: Onderwerpspesifieke kriptografiebeleid; implementering van toepaslike kriptografiese metodes; implementering van sleutelbestuurstelsel.

Risiko-evaluering en -behandeling in ISO 27001:2022 

Jou organisasie sal 'n inligtingsekuriteitsrisiko-assesseringsproses moet definieer en toepas om te voldoen aan ISO 27001:2022 Klousule 6.1.2, inligtingsekuriteitsrisikobeoordeling.  

Die inligtingsekuriteitsrisiko-assesseringsproses moet: 

• Vestig en handhaaf inligtingsekuriteitsrisikokriteria, insluitend risiko-aanvaardingskriteria en kriteria vir die uitvoering van inligtingsekuriteitsrisikobeoordelings. 

• Verseker dat herhaalde inligtingsekuriteitsevaluerings konsekwente, geldige en vergelykbare resultate lewer. 

• Identifiseer die inligtingsekuriteitsrisiko's. 

• Ontleed inligtingsekuriteitsrisiko's, insluitend die waarskynlikheid van risiko-voorkoms, potensiële gevolge van risiko-voorkoms, en die vlakke van risiko 

• Evalueer die inligtingsekuriteitsrisiko's deur die risiko-analise-resultate te vergelyk met u gevestigde risikokriteria en om geanaliseerde risiko's vir behandeling te prioritiseer. 

Hierdie proses laat jou toe om 'n sistematiese raamwerk vir risiko-assessering te bou. Sodra dit vasgestel is, moet jy 'n inligtingsekuriteitsrisikobehandelingsproses definieer en toepas in ooreenstemming met Klousule 6.1.3.  

Jou risikobehandelingsproses moet die volgende insluit: 

• Kies toepaslike risikobehandelingsopsies. 

• Met inagneming van die risiko-assesseringsresultate. 

• Bepaling van die beheermaatreëls wat nodig is om die getoonde risikobehandelingsopsies te implementeer.  

 Hier dien Bylae A as riglyn vir omvattende en toepaslike risikobehandeling. Deur jou risiko-evalueringsraamwerk te gebruik, kan jy beheermaatreëls prioritiseer en kies op grond van jou risikoprofiel en organisatoriese vereistes. Dan moet jy die nodige Bylae A-kontroles kies om te implementeer om dit aan te spreek en te verseker dat geen kritieke beheermaatreëls oor die hoof gesien is nie.

Bylae A: ISO 27001:2013 vs ISO 27001:2022 

Die huidige weergawe van ISO 27001, wat in 2022 vrygestel is, bevat 'n herstruktureerde stel Bylae A-kontroles in vergelyking met die 2013-iterasie. Voorheen het Bylae A uit 114 kontroles in 14 kategorieë bestaan; nou bevat Bylae A 93 kontroles in vier kernkategorieë soos uiteengesit: organisatories, mense, fisies en tegnologies.  

Hierdie verandering is hoofsaaklik te wyte aan beheermaatreëls wat gekonsolideer word; daar is egter 11 nuwe sekuriteitskontroles om te oorweeg: 

• A.5.7 Bedreigingsintelligensie  

• A.5.23 Inligtingsekuriteit vir die gebruik van wolkdienste  

• A.5.30 IKT-gereedheid vir besigheidskontinuïteit 

• A.7.4 Fisiese sekuriteitsmonitering 

• A.8.9 Konfigurasiebestuur 

• A.8.10 Skraping van inligting

• A.8.11 Datamaskering

• A.8.12 Voorkoming van datalekkasie 

• A.8.16 Moniteringsaktiwiteite

• A.8.23 Webfiltrering 

• A.8.28 Veilige kodering 

Die 2022-opdatering stel ook vyf nuwe kernkenmerke bekend vir makliker kategorisering: 

• Beheertipe (voorkomend, speurder, regstellend) 

• Inligtingsekuriteitseienskappe (vertroulikheid, integriteit, beskikbaarheid) 

• Kuberveiligheidskonsepte (identiteit, beskerm, bespeur, reageer, herstel) 

• Operasionele vermoëns (bestuur, batebestuur, ens.) 

• Sekuriteitsdomeine (bestuur en ekosisteem, beskerming, verdediging, veerkragtigheid). 

Oorgang van ISO 27001:2013 na ISO 27001:2022 

As jou organisasie reeds volgens ISO 27001:2013 gesertifiseer is, is die sperdatum vir die oorskakeling na die nuwe hersiening 31 Oktober 2025.  

By ISMS.online help ons reeds maatskappye om na ISO 27001:2022 oor te skakel. Ons kliënte het 'n 100% sukseskoers om sertifisering te behaal deur ons Versekerde resultate-metode (ARM).  

Om te begin, verdeel ons die proses in sewe eenvoudige stappe. Hierdie stap-vir-stap leiding is in ons platform ingebou, so ons sal jou deur elke stap lei – van die opdatering van jou risikobehandelingsplan tot die bewys van voldoening aan die 2022-standaardvereistes. Ons sal jou ook help om voldoening aan 2013 te handhaaf terwyl jy jou sertifisering na 2022 oorskakel, om te verseker dat jou besigheid konsekwent aan voldoen.   

Bylae A: Ontsluiting van ISO 27001:2022 Sukses 

Vir organisasies wat ISO 27001-sertifisering wil behaal, is dit noodsaaklik om Bylae A-kontroles te verstaan ​​en dit effektief en duidelik te implementeer. Hierdie kontroles stel jou in staat om die voorkoms van potensiële inligtingsekuriteitsrisiko's te voorkom en skets prosesse en prosedures om doeltreffend te reageer sou 'n voorval plaasvind. Hulle stel jou ook in staat om 'n robuuste ISMS te bou wat sal ontwikkel en groei met jou besigheid se behoeftes. 

Elke organisasie het verskillende inligtingsekuriteitsvereistes, so jy moet jou besigheid se spesifieke behoeftes en doelwitte evalueer wanneer jy Bylae A-kontroles kies. Jy kan vind dat sommige beheermaatreëls risiko's aanspreek wat jou risiko-beoordelings vind nie van toepassing is nie. Die ISMS.online platform kan hierdie proses vereenvoudig: identifiseer en spreek vinnig jou relevante Bylae A-kontroles aan met vooraf ingevulde sjablone en ons dinamiese risikobestuursenjin.  

Ons platform verbind ook met jou bestaande stelsels, so jy sal alles wat jy nodig het vir sukses alles op een plek vind. Die beste van alles, die gebruik van ons Voorsprong inhoud, is jou nakomingsreis 81% voltooi vanaf jou eerste aanmelding.  

Kom meer te wete oor hoe jy ons praktiese, bekostigbare pad kan benut om die eerste keer ISO 27001 te bereik in ons Bewese pad na ISO 27001 Sukses-witskrif.