ISO 27001:2022 liitteen A tarkoitus 5.23
ISO 27001: 2022 Liite A 5.23 on uusi ohjaus, joka hahmottaa pilvipalvelujen hankinnassa, käytössä, hallinnassa ja niistä poistumisessa tarvittavat prosessit suhteessa organisaation ainutlaatuisiin tietoturvavaatimuksiin.
Liite A Ohjaus 5.23 antaa organisaatioille mahdollisuuden määrittää ensin ja sen jälkeen hallita ja hallinnoida tietoturvakäsitteet pilvipalveluihin liittyen "pilvipalveluasiakkaana".
Liite A 5.23 on a ennaltaehkäisevä valvonta että ylläpitää riskiä määrittämällä tietoturvaa ohjaavat käytännöt ja menettelyt, kaupallisten pilvipalvelujen alalla.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Liitteen A omistusoikeus 5.23
Tällaista on pilvipalvelujen yleistyminen viimeisen vuosikymmenen aikana, ISO 27001 2022 Liite A Ohjaus 5.23 sisältää joukon menettelyjä, jotka sisältävät monia organisaation toiminnan erillisiä osia.
Koska kaikki pilvipalvelut eivät ole tieto- ja viestintätekniikkakohtaisia – vaikka voidaan kohtuudella väittää, että useimmat ovat – liitteen A ohjausobjektin 5.23 omistus olisi jaettava organisaation kesken. CTO or KUJERTAA, riippuen vallitsevista käyttöolosuhteista.
Ohjeet ISO 27001:2022 liitteen A valvontaan 5.23 – Organisaatiovelvoitteet
Control 5.23:n noudattaminen edellyttää ns. a "aihekohtainen" lähestymistapa pilvipalveluihin ja tietoturvaan.
Kun otetaan huomioon tarjolla olevien pilvipalvelujen valikoima, aihekohtaiset lähestymistavat rohkaisevat organisaatioita luomaan pilvipalvelukäytäntöjä, jotka on räätälöity yksittäisiä liiketoimintatoimintoja varten sen sijaan, että noudatettaisiin yleistä käytäntöä, joka koskee tietoturva- ja pilvipalvelut kautta linjan.
On huomattava, että ISO pitää liitteen A Control 5.23:n noudattamista yhteistyönä organisaation ja sen pilvipalvelukumppanin välillä. Liite A Valvonta 5.23 olisi myös linjattava tiiviisti valvontatoimien 5.21 ja 5.22 kanssa, jotka koskevat toimitusketjun tiedonhallintaa ja toimittajapalvelujen hallintaa.
Riippumatta siitä, miten organisaatio päättää toimia, liitteen A valvontaa 5.23 ei pidä tarkastella erillään, ja sen tulisi täydentää olemassa olevia pyrkimyksiä toimittajasuhteiden hallitsemiseksi.
Tietoturvan eturintamassa organisaation tulisi määritellä:
- Kaikki asiaankuuluvat tietoturvavaatimukset tai huolenaiheet, jotka liittyvät pilvialustan käyttöön.
- Pilvipalveluntarjoajan valinnan kriteerit ja niiden palvelujen käyttö.
- Yksityiskohtainen kuvaus rooleista ja asiaankuuluvista vastuista, jotka ohjaavat pilvipalvelujen käyttöä koko organisaatiossa.
- Tarkkaan, mitä tietoturva-alueita pilvipalveluntarjoaja hallitsee ja mitkä kuuluvat organisaation itsensä toimivaltaan.
- Parhaat tavat ensin lajitella ja sitten hyödyntää pilvipalvelualustan tarjoamia tietoturvaan liittyviä palvelukomponentteja.
- Kuinka saada kategorisia takeita pilvipalveluntarjoajan antamista tietoturvaan liittyvistä toimenpiteistä.
- Vaiheet, jotka on suoritettava muutosten, viestinnän ja ohjauksen hallitsemiseksi useiden eri pilvialustojen välillä, eikä aina samalta toimittajalta.
- Tapahtumien hallinta menettelyt, jotka koskevat yksinomaan pilvipalvelujen tarjoamista.
- Miten organisaatio odottaa hallitsevansa jatkuvaa pilvialustojen käyttöä ja/tai tukkumyyntiä laajempien tietoturvavelvoitteidensa mukaisesti.
- Strategia pilvipalvelujen lopettamiseksi tai muuttamiseen joko toimittajakohtaisesti tai pilvestä paikan päällä tapahtuvaan siirtymiseen.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Ohjeet liitteen A hallintaan 5.23 – Pilvipalvelusopimukset
Liite A Control 5.23 tunnustaa, että toisin kuin muut toimittajasuhteet, pilvipalvelusopimukset ovat jäykkiä asiakirjoja, joita ei voi muuttaa useimmissa tapauksissa.
Tätä silmällä pitäen organisaatioiden tulee tarkastaa pilvipalvelusopimukset ja varmistaa, että neljä pääasiallista toiminnallista vaatimusta täyttyvät:
- Luottamuksellisuus.
- Tietoturva/tietojen eheys.
- Palvelun saatavuus.
- Tietojen käsittely.
Kuten muissakin toimittajasopimuksissa, pilvipalvelusopimuksille tulee ennen hyväksymistä käydä läpi perusteellinen riskiarviointi, joka tuo esiin mahdolliset ongelmat niiden lähteellä.
Vähintäänkin organisaation tulisi tehdä pilvipalvelusopimus vasta, kun se on vakuuttunut siitä, että seuraavat 10 ehtoa on täytetty:
- Pilvipalvelut tarjotaan ja toteutetaan organisaation ainutlaatuisten toiminta-alueeseen liittyvien vaatimusten mukaan, mukaan lukien alan hyväksymät pilvipohjaisen arkkitehtuurin ja isännöidyn infrastruktuurin standardit ja käytännöt.
- Pääsy mihin tahansa pilvialustaan täyttää organisaation rajatietoturvavaatimukset.
- Haittaohjelmien torjunta- ja virustorjuntapalvelut, mukaan lukien ennakoiva valvonta ja uhkien suojaus, otetaan riittävästi huomioon.
- Pilvipalveluntarjoaja noudattaa ennalta määritettyjä tietojen tallennus- ja käsittelymääräyksiä, jotka liittyvät yhteen tai useampaan erilliseen globaaliin alueeseen ja sääntely-ympäristöön.
- Organisaatiolle tarjotaan ennakoivaa tukea, mikäli pilvialustaan tulee katastrofaalinen vika tai tietoturvaan liittyvä tapahtuma.
- Jos tulee tarve tehdä alihankinta- tai muutoin ulkoistaa jokin pilvialustan osa, toimittajan tietoturvavaatimukset pysyvät jatkuvasti huomioituna.
- Mikäli organisaatio tarvitsee apua digitaalisen tiedon kokoamisessa mihin tahansa asiaankuuluvaan tarkoitukseen (lainvalvonta, sääntelyn yhdenmukaistaminen, kaupalliset tarkoitukset), pilvipalvelujen tarjoaja tukee organisaatiota mahdollisuuksien mukaan.
- Suhteen päätyttyä pilvipalvelun tarjoajan tulee tarjota kohtuullinen tuki ja asianmukainen saatavuus siirtymä- tai käytöstäpoistojakson aikana.
- Pilvipalveluntarjoajan tulee toimia vankalla BUDR-suunnitelmalla, joka keskittyy riittävän varmuuskopiointiin organisaation tiedoista.
- Kaikki asiaankuuluvat lisätiedot siirretään pilvipalvelujen tarjoajalta organisaatiolle, mukaan lukien konfigurointitiedot ja koodi, joihin organisaatiolla on vaatimus.
Lisätiedot liitteen A tarkastuksesta 5.23
Edellä olevan ohjeen lisäksi Liite A Control 5.23 ehdottaa, että organisaatiot muodostavat läheisen yhteistyösuhteen pilvipalveluntarjoajien kanssa niiden tarjoaman tärkeän palvelun mukaisesti, ei vain tietoturvan kannalta, vaan organisaation koko kaupallisen toiminnan osalta.
Organisaatioiden tulee mahdollisuuksien mukaan pyytää pilvipalveluntarjoajilta seuraavat ehdot parantaakseen toiminnan kestävyyttä ja nauttiakseen parannetusta tietoturvasta:
- Kaikista infrastruktuurin muutoksista tulee ilmoittaa etukäteen, jotta ne kertovat organisaation omasta tietoturvastandardista.
- Organisaatiota on pidettävä ajan tasalla kaikista tietojen tallennusmenetelmien muutoksista, jotka edellyttävät tietojen siirtämistä toiselle lainkäyttöalueelle tai maailmanlaajuiselle alueelle.
- Pilvipalveluntarjoajan aikomus hyödyntää vertaispilvipalveluntarjoajia tai ulkoistaa niiden toiminta-alueita alihankkijoille, joilla voi olla tietoturvavaikutuksia organisaation kannalta.
Liitteen A valvonnan tukeminen
- ISO 27001:2022 Liite A 5.21
- ISO 27001:2022 Liite A 5.22
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä muutoksia ja eroja on ISO 27001:2013:sta?
Liite A Valvonta 5.23 on a uusi ohjaus jota ei mainita ISO 27001:2013:ssa missään ominaisuudessa.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
ISO 27001:2022 Organisaation valvonta
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 | Liite A 5.1.1 Liite A 5.1.2 | Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 | Liite A 6.1.5 Liite A 14.1.1 | Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 | Liite A 8.1.1 Liite A 8.1.2 | Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 | Liite A 8.1.3 Liite A 8.2.3 | Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 | Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 | Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 | Liite A 9.1.1 Liite A 9.1.2 | Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 | Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 | Todennustiedot |
| Organisaation valvonta | Liite A 5.18 | Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 | Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 | Liite A 15.2.1 Liite A 15.2.2 | Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 | Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 | Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 | Liite A 18.1.1 Liite A 18.1.5 | Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 | Liite A 18.2.2 Liite A 18.2.3 | Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
ISO 27001:2022 People Controls
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 | Liite A 16.1.2 Liite A 16.1.3 | Tietoturvatapahtumien raportointi |
ISO 27001:2022 Fyysiset kontrollit
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 | Liite A 11.1.2 Liite A 11.1.6 | Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 | Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 | Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
ISO 27001:2022 Tekniset hallintalaitteet
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 | Liite A 6.2.1 Liite A 11.2.8 | Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 | Liite A 12.6.1 Liite A 18.2.3 | Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 | Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 | Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttö |
| Tekniset säädöt | Liite A 8.19 | Liite A 12.5.1 Liite A 12.6.2 | Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 | Liite A 10.1.1 Liite A 10.1.2 | Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 | Liite A 14.1.2 Liite A 14.1.3 | Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 | Liite A 14.2.8 Liite A 14.2.9 | Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 | Liite A 12.1.4 Liite A 14.2.6 | Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 | Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 | Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Asiakastapaukset
MIRACL muuttaa luottamuksen kilpailueduksi ISO 27001 -sertifikaatin avulla
Lue tapaustutkimus
Asiakastapaukset
Xergyn työkalu Proteus tuottaa kasvua ISO 27001 -yhteensopivuuden ansiosta ISMS.onlinen avulla
Lue tapaustutkimusMiten ISMS.online auttaa
ISMS.online virtaviivaistaa ISO 27001 -standardin käyttöönottoprosessia tarjoamalla kehittyneen pilvipohjaisen kehyksen tietoturvan hallintajärjestelmän menettelyjen ja tarkistuslistojen dokumentoimiseksi tunnustettujen standardien noudattamisen varmistamiseksi.
Kun käytät ISMS.onlinea, voit:
- Luo ISMS, joka on yhteensopiva ISO 27001 -standardien kanssa.
- Suorita tehtäviä ja toimita todisteet siitä, että he ovat täyttäneet standardin vaatimukset.
- Jaa tehtäviä ja seuraa edistymistä lain noudattamisessa.
- Hanki käyttöösi erikoistunut neuvonantajatiimi, joka auttaa sinua koko tielläsi kohti vaatimustenmukaisuutta.
Ota yhteyttä ja varaa esittely.
Hyppää aiheeseen
