- nähdä ISO 27002:2022 Control 5.28 lisätietoja.
- nähdä ISO 27001:2013 Liite A 16.1.7 Lisätietoja
Liitteen A tarkoitus 5.28
Uudistettu ISO 27001:2022 liite A 5.28 Todisteiden kerääminen varmistaa, että organisaatiot hallitsevat todisteita vankalla ja johdonmukaisella tavalla koko raportoinnin ja tietoturvan ratkaisu vaaratilanteita.
On ratkaisevan tärkeää kerätä oikeat todisteet ajoissa, sillä ne kertovat kaikesta kurinpitomenettelystä oikeuskäsittelyyn.
Kenellä on liitteen A 5.28 omistusoikeus?
ISO 27001: 2022 Liite A 5.28 käsittelee tietoturvaloukkaukseen liittyvien todisteiden keräämisen nimenomaisia oikeudellisia ja kurinpidollisia seurauksia. Liite A 5.28 käsittelee ensisijaisesti sisäisiä tietoturvaan liittyviä teknisiä kysymyksiä, mutta on tilanteita, joissa menettelyjen noudattaminen on laillista.
Organisaatioiden tulisi harkita liitteen A 5.28 omistusoikeuden delegoimista ylimmän johdon jäsenelle, joka on vastuussa HR- ja/tai lakiasioista.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset ohjeet liitteestä A 5.28
Liitteen A kohdassa 5.28 todetaan nimenomaisesti, että todisteiden keruumenettelyt on suunniteltava siten, että on nimenomaisesti tarkoitus täyttää organisaation kurinpidolliset ja/tai oikeudelliset velvoitteet.
Lisäksi todisteiden keräämisessä tulisi keskittyä velvoitteiden täyttämiseen useissa eri sääntely-ympäristöissä ja lainkäyttöalueilla, jotta useat erilliset ulkopuoliset elimet voivat analysoida tapauksia samassa määrin useiden muuttujien perusteella, kuten:
- Omaisuus ja laitteet.
- Laitteen tila (kuten kirjautumisyritykset, virran tila jne.).
- Tallennusväline.
Organisaatioiden on tärkeää osoittaa:
- Heidän tapaustensa tiedot ovat täydelliset, eikä niitä ole muutettu.
- Sähköinen todiste on soveltuvin osin täydellinen kopio aineellisista todisteista.
- Todisteiden kirjaamisen aikana sisäisillä järjestelmillä ja ICT-alustoilla oli toimintakykyä todisteiden keräämiseen.
- Todisteita keräävät henkilöt, jotka ovat asianmukaisesti päteviä ja sertifioituja tehtävissään.
- Tarvittaessa heillä on laillinen oikeus kerätä digitaalisia todisteita.
Täydentävät lisäohjeet liitettä A varten 5.28
Kuten liitteessä A 5.28 todetaan, organisaatioiden ei tule tehdä oletuksia tulevissa oikeudenkäynneissä kerätyn todisteen merkityksellisyydestä.
Tapahtumaan liittyvien todisteiden tahattoman tai tahallisen tuhoamisen välttämiseksi järjestöjä kehotetaan hakemaan oikeudellista neuvontaa ja/tai ottamaan yhteyttä lainvalvontaviranomaisiin mahdollisimman pian.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitä muutoksia ja eroja on ISO 27001:2013:sta?
ISO 27001:2022 Liite A 5.28 korvaa standardin ISO 27001:2013 Liite A 16.1.7 (tunnetaan nimellä "todisteiden kerääminen").
ISO 27001:2022 liite A 5.28 noudattaa samoja toimintaperiaatteita kuin ISO 27001:2013 liite A 16.1.7 neljällä merkittävällä lisäyksellä:
- Sen varmistamiseksi, että todisteita ei peukaloida.
- Keräysprosessin aikana ICT-järjestelmät toimivat oikein.
- Organisaatio voi kerätä tiettyjä digitaalisia todisteita laillisesti.
- Sähköinen todiste on identtinen sen fyysisen vastineen kanssa (jos mahdollista).
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta henkilöstä ISO 27001:2022 liitteen A valvonta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
NHS Professionals saavuttaa ISO 27001 -sertifikaatin ja parantaa tietoturvan hallintaansa
Tiukan kuuden kuukauden määräajan ja useiden olemassa olevien integroitavien viitekehysten edessä NHS Professionals tarvitsi alustan, joka voisi sisällyttää ISO 27001 -standardin ilman käytäntöjen päällekkäisyyttä tai riskien lisäämistä jo ennestään monimutkaiseen vaatimustenmukaisuusympäristöönsä.
Xergy-työkalu Proteus luo kasvua ISO 27001 -vaatimustenmukaisuuden avulla ISMS.online-palvelun avulla
Startup-yrityksenä, joka kehittää ohjelmistoja tarkasti säännellyille tekniikan aloille, Xergy tarvitsi ISO 27001 -standardin luodakseen kasvua luottamuksen kautta – ja luotettavan ulkoisen kumppanin, joka pystyisi käsittelemään tiukat vaatimukset ilman, että kehitystiimin työmäärä häiriintyy.
Kuinka Blue Services saavutti kolminkertaisen ISO-sertifioinnin
Blue Services tarvitsi ulkoista tukea ISO 27001-, ISO 9001- ja ISO 14001 -standardien käyttöönotossa ja parhaiden käytäntöjen noudattamisessa sekä alustan, jolla se voisi keskittää vaatimustenmukaisuuden hallinnan.
Kuinka Evolution Funding onnistui ISO 27001 -sertifioinnissa
ISO 27001 -sertifioinnin saavuttaminen oli Evolution Fundingin keskeinen tavoite. Tiimi tarvitsi keskitetyn alustan, jonka avulla he voisivat ottaa ISO 27001 -standardin käyttöön ja työskennellä vaatimustenmukaisuusprosessin läpi.
Kuinka 4way Consulting tasoitti tietä ISO 27001 -menestykseen
Käsitellessään arkaluonteisia asiakastietoja useiden standardien mukaisesti 4way tarvitsi kustannus- ja aikatehokkaan tavan noudattaa ISO 27001 -standardia – ilman, että ISMS-järjestelmää rakennettaisiin tyhjästä tai turvauduttaisiin kalliisiin ulkopuolisiin konsultteihin.
Nesevon monisertifikaattien vaatimustenmukaisuus onnistui IO:n kanssa
Nesevo kamppaili ISO 27001 -standardin noudattamisen kanssa hajanaisissa dokumenteissa ja laskentataulukoissa, joten yritys tarvitsi keskitetyn alustan, joka voisi opastaa heitä standardin läpi ilman jatkuvia ulkoisten konsulttien kustannuksia.
Miten ISMS.online Ohje
Voit saavuttaa ISO 27001:2022 -standardin noudattamisen käyttämällä ISMS.online-alustalla tehokkaita työkaluja, jotka yksinkertaistavat tietoturvan hallintajärjestelmän (ISMS) dokumentointia, käyttöönottoa, ylläpitoa ja parantamista.
Työkaluillamme voit luoda joukon käytäntöjä ja menettelytapoja, jotka on räätälöity organisaatiosi erityisiin riskeihin ja tarpeisiin.
Lisäksi se helpottaa kollegoiden sekä ulkoisten kumppanien, kuten tavarantoimittajien ja tilintarkastajien, välistä yhteistyötä.
Ota yhteyttä jo tänään varaa lyhyt 30 minuutin demo.
