- nähdä ISO 27002:2022 Control 8.22 lisätietoja.
- nähdä ISO 27001:2013 Liite A 13.1.3 lisätietoja.
ISO 27001 Liite A 8.22: Turvallisuuden vahvistaminen verkon erottelulla
Kun verkkorikolliset tunkeutuvat tietokonejärjestelmiin, palveluihin tai laitteisiin, he eivät rajoita itseään pelkästään näihin varoihin.
He käyttävät ensimmäistä tunkeutumista tunkeutuakseen yrityksen koko verkkoon, saadakseen pääsyn arkaluontoisiin tietoihin tai suorittaakseen kiristysohjelmahyökkäyksiä.
Verkkohuijarit saattoivat varastaa sairaalan HR-henkilöstön kirjautumistiedot onnistuneen tietojenkalasteluhyökkäyksen jälkeen, jolloin he pääsevät käyttämään HR-järjestelmiä.
Tukiasemansa avulla hyökkääjät voivat kulkea verkon läpi ja paljastaa luottamuksellisia potilastietoja sisältäviä verkkoja. Tämä tunkeutuminen voi johtaa tietojen menetykseen, häiritä toimintaa tai jopa avata oven kiristysohjelmahyökkäykselle.
Sairaala voisi estää luvattoman pääsyn luottamuksellisiin tietoihin ja vähentää tietomurron seurauksia käyttämällä verkon segmentointitekniikoita, kuten palomuuria, virtuaalisia verkkoja tai palvelineristystä.
ISO 27001:2022 liitteessä A 8.22 kuvataan, kuinka yritykset voivat soveltaa ja säilyttää sopivia verkon erottelumenetelmiä tietovarojen saatavuuteen, eheyteen ja luottamuksellisuuteen kohdistuvien riskien välttämiseksi.
ISO 27001:2022 liitteen A tarkoitus 8.22
ISO 27001:2022 Liite A 8.22 antaa organisaatioille mahdollisuuden jakaa IT-verkkonsa aliverkkoihin herkkyyden ja tärkeyden mukaan ja rajoittaa tiedonsiirtoa näiden eri aliverkkojen välillä.
Organisaatiot voivat käyttää tätä estääkseen haittaohjelmia ja viruksia kulkemasta tartunnan saaneista verkoista arkaluontoisia tietoja sisältäviin verkkoihin.
Tämä takaa sen organisaatiot turvassa olennaisiin aliverkkoihin tallennettujen tietovarojen luottamuksellisuus, eheys ja saavutettavuus.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Liitteen A omistusoikeus 8.22
Tietoturvavastaava olisi saatava vastuuseen ISO 27001:2022 liitteen A 8.22:n noudattamisesta, joka edellyttää verkkojen, laitteiden ja järjestelmien segmentointia riskien mukaan sekä verkkojen erottelutekniikoiden ja -menettelyjen soveltamista.
Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.22 Vaatimustenmukaisuus
Organisaatioiden tulee pyrkiä saavuttamaan tasapaino toiminnallisten tarpeiden ja turvallisuuteen liittyvien huolenaiheiden välillä ottaessa käyttöön verkkojen erottelusäännöksiä.
ISO 27001: 2022 Liite A Ohjaus 8.22 sisältää kolme suositusta, jotka on otettava huomioon verkon erottelua määritettäessä.
Kuinka erottaa verkko pienempiin aliverkkoihin
Jakaessaan verkkoa pienempiin aliverkkotunnuksiin organisaatioiden tulee ottaa huomioon kunkin verkkoalueen herkkyys ja merkitys. Tästä arvioinnista riippuen verkon aliverkkotunnukset voidaan merkitä "julkisiksi verkkotunnuksiksi", "työpöydän verkkotunnuksiksi", "palvelinverkkotunnuksiksi" tai "suuren riskin järjestelmiksi".
Organisaatioiden tulee ottaa huomioon liiketoimintayksiköt, kuten HR, markkinointi ja rahoitus verkostonsa segmentoinnissa.
Organisaatiot voivat myös yhdistää nämä kaksi kriteeriä ja määrittää verkon aliverkkotunnukset luokkiin, kuten "myyntiosastoon linkittävä palvelinverkkotunnus".
Turvapiirit ja kulunvalvonta
Organisaatioiden on rajattava kunkin verkon aliverkkotunnuksen rajat selvästi. Jos kahden eri verkkoalueen välillä on pääsy, tätä yhteyttä tulee rajoittaa kehätasolla käyttämällä yhdyskäytäviä, kuten palomuureja tai suodatusreitittimiä.
Organisaatioiden tulee arvioida kunkin toimialueen tietoturvatarpeita luodessaan verkkoerottelua ja myöntäessään pääsyä yhdyskäytävien kautta.
Tämä arviointi on suoritettava ISO 27001:2022 liitteen A 5.15 mukaisen kulunvalvontapolitiikan mukaisesti ottaen huomioon seuraavat seikat:
- Tietoomaisuuksille annettu luokitus on millä tasolla.
- Tiedon merkitys on ensiarvoisen tärkeä.
- Kustannukset ja käytännöllisyys ovat tärkeitä tekijöitä päätettäessä käytettävästä yhdyskäytäväteknologiasta.
Langattomat nettiyhteydet
ISO 27001: 2022 Liite A 8.22 suosittelee, että organisaatiot noudattavat seuraavia käytäntöjä luodessaan verkon suojausparametreja langattomille verkoille:
- Arvioi radiopeiton säätömenetelmien käyttöä langattomien verkkojen jakamiseen.
- Herkissä verkoissa organisaatiot voivat ottaa kaikki langattomat yhteysyritykset ulkoisina yhteyksinä ja estää pääsyn sisäisiin verkkoihin, kunnes yhdyskäytävän ohjaus antaa luvan.
- Henkilöstön tulee käyttää vain omia laitteitaan organisaation politiikan mukaisesti; henkilökunnalle ja vieraille tarjottu verkkoyhteys on pidettävä erillään.
- Vierailijoihin tulee soveltaa samoja Wi-Fi:n käyttöä koskevia sääntöjä kuin tiimin jäseniin.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
ISO 27001:2022 -standardin liitteen A täydentävät ohjeet 8.22
Organisaatioiden tulee varmistaa, että kaikkiin liikekumppanuuksiin sovelletaan asianmukaisia turvatoimia. Liite A 8.22 neuvoo organisaatioita toteuttamaan toimenpiteitä verkkonsa, IT-laitteidensa ja muiden tietomahdollisuuksiensa suojaamiseksi liikekumppaneidensa kanssa.
Herkät verkot voivat altistua lisääntyneelle luvattoman käytön riskille. Suojatakseen tätä vastaan organisaatioiden tulee ryhtyä asianmukaisiin toimiin.
Muutokset ja erot standardista ISO 27001:2013
ISO 27001:2022 Liite A 8.22 korvaa standardin ISO 27001:2013 Liite A 13.1.3 uusimmassa ISO-versiossa.
Verrattuna standardiin ISO 27001:2013, ISO 27001:2022 -versio edellyttää seuraavat langattomat verkot:
- Jos henkilökunta noudattaa organisaation politiikkaa ja käyttää vain omia laitteitaan, tulee henkilökunnalle ja vierailijoille varattu langaton verkkoyhteys pitää erillään.
- Vieraisiin tulee soveltaa samoja Wi-Fi-yhteyttä koskevia rajoituksia ja valvontaa kuin henkilöstöön.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Miten ISMS.online Ohje
ISMS.Online auttaa sinua:
- Asiakirjojen käsittely on helppoa tämän käyttäjäystävällisen käyttöliittymän avulla. Ohjelmiston asennusta ei vaadita tietokoneellesi tai verkkoon.
- Virtaviivaista riskinarviointimenettelyäsi automatisoimalla se.
- Saavuta vaatimustenmukaisuus helposti käyttämällä online-raportteja ja tarkistuslistoja.
- Pidä kirjaa edistymisestäsi, kun työskentelet sertifioinnin eteen.
ISMS.online tarjoaa kattavan joukon toimintoja, jotka auttavat organisaatioita ja yrityksiä kohtaamaan alan ISO 27002 ja/tai ISO 27001:2022 ISMS-standardi.
Ota yhteyttä meihin järjestää mielenosoituksen.