Sisällä ISO 27001:2022 Liite A: Tarkempi katsaus tärkeimpiin säätimiin

Johdatus ISO 27001:2022 liitteeseen A

ISO 27001: 2022 on kansainvälinen tietoturvastandardi, joka on toteutettu tietoturvan hallintajärjestelmän (ISMS) kautta. Standardin liite A sisältää 93 turvakontrollia, joita voidaan soveltaa organisaatiosi tarpeiden ja tavoitteiden mukaan.  

Näiden valvontatoimien avulla organisaatiosi voi puuttua mahdollisiin riskeihin ja saavuttaa ISO 27001 -standardin mukaisuuden. Se on todistettu tapa näyttää asiakkaillesi ja mahdollisille asiakkaillesi, että heidän tietojensa suojaaminen on yrityksesi prioriteetti.  

Tässä artikkelissa tarkastelemme liitettä A, hahmotellaan kriittisiä ohjauskeinoja ja selitämme, miksi asiaankuuluvien liitteen A valvontatoimintojen ymmärtäminen ja käyttöönotto on elintärkeää organisaatiosi ISO 27001 -menestyksen kannalta. 

ISO 27001:2022 liitteen A luokat

 93 ISO 27001:2022 liite A ohjauslaitteet luokitellaan neljään luokkaan: 

•        Organisaation valvonta
•        Ihmiset hallitsevat
•        Fyysiset säätimet 
•        Tekniset kontrollit.

Organisaation valvonta

ISO 27001 sisältää 37 organisaation valvontaa. Nämä kontrollit liittyvät organisaatiosi käytäntöihin, menettelyihin, rakenteisiin ja muuhun, mikä mahdollistaa tehokkaan tietoturvan toteuttamisen organisaatiotasolla.  

Organisaation hallintaan kuuluvat tietoturvakäytännöt, vastuut tietoturvasta, kulunvalvonta, omaisuuden hallinta ja paljon muuta. 

Ihmisten ohjaukset

ISO 27001 sisältää kahdeksan henkilön ohjausta, ja se keskittyy kriittisiin toimenpiteisiin, jotka organisaatioiden tulee toteuttaa varmistaakseen, että työntekijät saavat riittävän tietoturvakoulutuksen ja tietävät vastuunsa. 

Ihmisten valvontaan kuuluvat tietoturvakasvatus, tietoisuus ja koulutus, etätyötoimenpiteet, tietoturvatapahtumien raportointi ja paljon muuta. 

Fyysiset säätimet 

ISO 14:n 27001 fyysistä ohjausta käsittelevät organisaatiosi fyysisen ympäristön turvallisuutta. 

Fyysisiin ohjauksiin kuuluvat turvatoimenpiteet suojatuilla alueilla työskentelyä varten, tallennusvälineiden hallinta, selkeät työpöytä- ja näyttökäytännöt ja paljon muuta. 

Tekniset säädöt

ISO 34:27001:ssa on hahmoteltu 2022 teknologista ohjausta, jotka liittyvät erilaisiin teknologisiin elementteihin organisaatiossasi. 

Teknisiin ohjauksiin kuuluvat suojattu autentikointi, teknisten haavoittuvuuksien hallinta, seurantatoiminnot ja salauksen käyttö. 

Kriittinen ISO 27001:2022 liitteen A hallintalaitteet

Organisaation ei välttämättä tarvitse ottaa käyttöön kaikkia 93 hallintaa, mutta sinun tulee valita organisaatiosi tietoturvatavoitteiden ja tunnistamiesi riskien kannalta oleelliset kontrollit. Useimmat elleivät kaikki organisaatiot vaativat useita tärkeitä valvontatoimia, jotta ne olisivat ISO 27001 -standardin mukaisia. 

Huomaa, että alla oleva luettelo ei ole tyhjentävä. Organisaatiosi tulee harkita jokaista ohjausta yleisten tietoturvatavoitteidesi perusteella. 

A.5.1 Tietoturvakäytännöt

Valvonta: A.5.1, Tietoturvakäytännöt, varmistaa johdon tuen ja ohjauksen jatkuvan soveltuvuuden, riittävyyden ja tehokkuuden organisaatiosi tietoturvaan ja yksityisyyteen. 

Onnistuneesti toteutettu tämä valvonta varmistaa, että organisaatiollasi on joukko tietoturva- ja tietosuojakäytäntöjä, jotka on suunniteltu tiedottamaan ja ohjaamaan yksilöiden käyttäytymistä tietoturvariskien mukaisesti.  

Esimerkiksi sinun tietoturvapolitiikka, mikä on vaatimus ISO 27001:2022, kohta 5.2, tulee johdon hyväksyä ja ilmoittaa organisaatiosi lähestymistapa tietoturvan hallintaan. Siinä tulee ottaa huomioon liiketoimintastrategiasi, vaatimukset, asiaankuuluva lainsäädäntö, määräykset ja sopimukset.  

Politiikassa tulisi: 

• Sisällytä tietoturvan määritelmä 

• Tarjoa puitteet tietoturvatavoitteiden asettamiselle 

• Ilmoita jatkuvasta sitoutumisestasi organisaatiosi ISMS:n parantamiseen 

• Määritä tietoturvan hallinnan vastuut määriteltyihin rooleihin. 

Ylimmän johdon tulee hyväksyä tietoturvapolitiikka ja mahdolliset muutokset tehokkaan toimeenpanon varmistamiseksi. Sinun tulee sitten ilmoittaa käytännöstä (ja mahdollisista siihen liittyvistä alikäytännöistä, kuten kulunvalvonta- ja omaisuudenhallintakäytännöistä) asianomaiselle henkilöstölle. 

 A.5.1. Tulokset: Tietoturvapolitiikka; asiaankuuluvat aihekohtaiset alapolitiikat, esim A.5.10 Tiedon ja muun asiaan liittyvän omaisuuden hyväksyttävä käyttö, A.8.32 Muutoksenhallinta, A.8.13 Tietojen varmuuskopiointi, Jne 

A.5.15 Kulunvalvonta

Valvonta: A.5.15, Kulunvalvonta edellyttää, että organisaatiosi luo ja toteuttaa säännöt, joilla valvotaan fyysistä ja loogista pääsyä tietoihin ja muuhun asiaan liittyvään omaisuuteen liiketoiminta- ja tietoturvavaatimusten perusteella. Tämä varmistaa, että vain valtuutetut profiilit pääsevät käsiksi tietoihin ja muihin resursseihin, ja estää luvattoman käytön. 

Sinun tulee käsitellä tätä valvontaa kulunvalvontakäytännöllä, joka on tietoturvakäytäntösi aihekohtainen käytäntö. Kulunvalvontakäytännössäsi tulee huomioida:  

• Sen määrittäminen, mitkä entiteetit vaativat minkä tyyppisen pääsyn tietoihin ja muihin resursseihin 

• Sovellusten turvallisuus 

• Fyysinen pääsy, jota tukevat fyysiset sisäänpääsyohjaimet 

• Tiedon levitys ja valtuutus sekä tietoturvatasot ja tiedon luokittelu 

• Etuoikeutetun pääsyn rajoitukset 

• Tehtävien eriyttäminen 

• Asiaankuuluvat lait, määräykset ja sopimusvelvoitteet tietojen tai palvelujen saatavuuden rajoittamisesta 

• Kulunvalvontatoimintojen (kuten pääsypyyntö, käyttölupa ja pääsynhallinta) erottelu 

• Käyttöoikeuspyyntöjen virallinen valtuutus 

• Käyttöoikeuksien hallinta 

• Kirjaaminen. 

Tietämis- ja käyttötarpeet -periaatteet ovat yleisesti käytössä kulunvalvonnassa: 

• Tarvitsee tietää tarkoittaa, että yhteisölle (kuten henkilölle tai organisaatiolle) myönnetään pääsy vain tietoihin, joita yhteisö tarvitsee tehtäviensä suorittamiseen.  

• Tarpeellinen käyttää tarkoittaa, että yksikölle annetaan pääsy tietotekniikan infrastruktuuriin vain selkeällä tarpeella.  

Nämä periaatteet voivat ohjata sitä, kuinka organisaatiosi myöntää pääsyn tietoresursseihin. Sinun tulee myös ottaa huomioon liiketoiminnan vaatimukset ja riskitekijät, kun määrität, mitä pääsynvalvontasääntöjä sovelletaan ja mitä tarkkuutta tarvitaan. 

A.5.15 Tulokset: Aihekohtainen kulunvalvontakäytäntö; kulunvalvonta (esim. pakollinen kulunvalvonta, harkinnanvarainen kulunvalvonta, roolipohjainen kulunvalvonta tai attribuuttipohjainen kulunvalvonta). 

A.6.3 Tietoturvatietoisuus, koulutus ja koulutus

Valvonta: A.6.3 Tietoturvatietoisuus, koulutus ja koulutus, on organisaatiosi turvallisuusasennon perusta. Se varmistaa, että työntekijäsi ja asiasta kiinnostuneet osapuolet voivat ehkäistä, tunnistaa ja raportoida mahdollisia tietoturvaloukkauksia.  

Valvonta edellyttää, että henkilöstö ja asianomaiset osapuolet saavat asianmukaista tietoturvatietoisuutta, koulutusta ja koulutusta sekä säännöllisiä päivityksiä organisaatiosi tietoturvapolitiikasta ja aihekohtaisista käytännöistä ja menettelytavoista heidän rooleinsa mukaisesti. 

Sinun tulee perustaa tietoturvatietoisuus-, koulutus- ja koulutusohjelma tietoturvatavoitteidesi mukaisesti, ja koulutusta tulisi järjestää säännöllisesti. Ohjelman tulee saada henkilöstö tiedostamaan vastuunsa tietoturvasta ja siihen tulee sisältyä asianmukainen koulutussuunnitelma, joka auttaa henkilöstöä ymmärtämään tietoturvan tavoitteen ja tietoturvaan liittyvän käyttäytymisensä mahdollisen vaikutuksen yritykseesi. 

Harkitse esimerkiksi seuraavia näkökohtia:  

• Johdon sitoutuminen tietoturvaan koko organisaatiossasi 

• Sovellettavien tietoturvasääntöjen ja -velvoitteiden tuntemus- ja noudattamistarpeet 

• Henkilökohtainen vastuu teoistaan ​​ja toimimatta jättämisestä sekä yleiset vastuut organisaatiolle kuuluvien tietojen turvaamisesta tai suojaamisesta 

• Perustietoturvatoimenpiteet, kuten tapahtumaraportointi ja salasanasuojaus 

• Yhteyspisteet ja resurssit lisätietoja ja neuvoja varten. 

A.6.3 Tulokset: Säännöllinen tietoisuuskoulutus; määräaikaiskoulutusohjelma; asiaankuuluvien tietoturvakäytäntöjen säännöllinen levittäminen, mukaan lukien päivitykset. 

 A.8.24 Kryptografian käyttö

Valvonta: A.8.24, kryptografian käyttö edellyttää, että organisaatiosi määrittelee ja toteuttaa säännöt salauksen tehokkaalle käytölle. Kryptografialla voidaan saavuttaa erilaisia ​​tietoturvatavoitteita, kuten: 

• Luottamuksellisuus, käyttämällä salausta arkaluonteisten tai kriittisten tietojen suojaamiseen 

• Rehellisyys tai aitouskäyttämällä digitaalisia allekirjoituksia tai viestien todennuskoodeja arkaluonteisten tai kriittisten tietojen aitouden tai eheyden tarkistamiseen 

• Kiistämättömyys, käyttämällä kryptografisia tekniikoita antamaan todisteita tapahtuman tai toiminnan tapahtumisesta tai toteutumatta jättämisestä 

• Todennus, by käyttämällä salaustekniikoita todentamaan käyttäjät ja muut entiteetit, jotka pyytävät pääsyä järjestelmääsi, kokonaisuuksiin tai resursseihin. 

Organisaatiosi tulee ottaa käyttöön aihekohtainen salauskäytäntö, joka sisältää yleiset tietojen suojaamisen periaatteet. Sinun tulee myös harkita salaukseen liittyviä asiaankuuluvia lakisääteisiä, lakisääteisiä, lainsäädännöllisiä ja sopimusehtoja. Kriittisiä näkökohtia salauskäytäntöäsi varten ovat: 

• Vaaditun suojaustaso ja tietojen luokittelu sekä tarvittavien salausalgoritmien tyypin, vahvuuden ja laadun määrittäminen 

• Lähestymistapa avainten hallintaan ja avainten luomiseen, mukaan lukien turvalliset prosessit salausavainten luomiseen, tallentamiseen, arkistointiin, hakemiseen, jakeluun, poistamiseen ja tuhoamiseen 

• Roolit ja vastuut salauksen tehokkaan käytön sekä avaintenhallinnan ja -luonnin sääntöjen toimeenpanossa. 

Tämän ohjauksen mukaisesti organisaatiosi tulee määrittää ja käyttää avaintenhallintajärjestelmää. 

A.8.24 Tulokset: Aihekohtainen salauskäytäntö; asianmukaisten salausmenetelmien käyttöönotto; avaintenhallintajärjestelmän käyttöönotto.

Riskinarviointi ja -käsittely standardissa ISO 27001:2022 

Organisaatiosi on määriteltävä ja sovellettava tietoturvariskien arviointiprosessia noudattaakseen ISO 27001:2022 -standardia. Kohta 6.1.2, tietoturvariskin arviointi.  

Tietoturvariskien arviointiprosessin tulee: 

• Luoda ja ylläpitää tietoturvariskikriteerit, mukaan lukien riskien hyväksymiskriteerit ja kriteerit tietoturvariskien arvioinnin suorittamiselle. 

• Varmista, että toistuvat tietoturva-arvioinnit tuottavat johdonmukaisia, kelvollisia ja vertailukelpoisia tuloksia. 

• Tunnista tietoturvariskit. 

• Analysoi tietoturvariskejä, mukaan lukien riskin esiintymisen todennäköisyys, riskin esiintymisen mahdolliset seuraukset ja riskitasot 

• Arvioi tietoturvariskit vertaamalla riskianalyysin tuloksia määrittämiisi riskikriteereihisi ja priorisoimalla analysoidut riskit hoitoa varten. 

Tämän prosessin avulla voit rakentaa systemaattisen viitekehyksen riskien arvioinnille. Kun tämä on todettu, sinun tulee määritellä ja soveltaa tietoturvariskien käsittelyprosessia kohdan 6.1.3 mukaisesti.  

Riskihoitoprosessisi tulee sisältää: 

• Sopivien riskihoitovaihtoehtojen valitseminen. 

• Ottaen huomioon riskinarvioinnin tulokset. 

• Esitettyjen riskinhoitovaihtoehtojen toteuttamiseen tarvittavien kontrollien määrittäminen.  

 Liite A toimii tässä ohjeena kattavalle ja asianmukaiselle riskien käsittelylle. Riskinarviointikehyksen avulla voit priorisoida ja valita kontrollit riskiprofiilisi ja organisaatiovaatimustesi perusteella. Tämän jälkeen sinun tulee valita tarvittavat liitteen A hallintakeinot niiden korjaamiseksi ja varmistaa, ettei kriittisiä toimenpiteitä ole jätetty huomiotta.

Liite A: ISO 27001:2013 vs ISO 27001:2022 

ISO 27001:n nykyinen versio, joka julkaistiin vuonna 2022, sisältää uudelleen jäsennellyt liitteen A ohjausobjektit vuoden 2013 iteraatioon verrattuna. Aikaisemmin liite A sisälsi 114 tarkastusta 14 kategoriassa; nyt liite A sisältää 93 valvontaa neljässä pääkategoriassa: organisaatio, ihmiset, fyysinen ja tekninen.  

Tämä muutos johtuu ensisijaisesti valvonnan konsolidoinnista; On kuitenkin otettava huomioon 11 uutta suojaustoimintoa: 

• A.5.7 Uhkatieto  

• A.5.23 Tietoturva pilvipalvelujen käytössä  

• A.5.30 ICT-valmius liiketoiminnan jatkuvuuden takaamiseksi 

• A.7.4 Fyysisen turvallisuuden valvonta 

• A.8.9 Kokoonpanon hallinta 

• A.8.10 Tietojen poistaminen

• A.8.11 Tietojen peittäminen

• A.8.12 Tietovuotojen esto 

• A.8.16 Seurantatoimet

• A.8.23 Verkkosuodatus 

• A.8.28 Suojattu koodaus 

Vuoden 2022 päivitys sisältää myös viisi uutta ydinattribuuttia luokittelun helpottamiseksi: 

• Valvontatyyppi (ennaltaehkäisevä, etsivä, korjaava) 

• Tietoturvaominaisuudet (luottamuksellisuus, eheys, saatavuus) 

• Kyberturvallisuuskäsitteet (identiteetti, suojaus, havaitseminen, vastaus, palautus) 

• Toiminnalliset valmiudet (hallinto, omaisuudenhallinta jne.) 

• Turvallisuusalat (hallinto ja ekosysteemi, suojelu, puolustus, sietokyky). 

Siirtyminen standardista ISO 27001:2013 standardiin ISO 27001:2022 

Jos organisaatiollasi on jo ISO 27001:2013 -sertifikaatti, uuteen versioon siirtymisen määräaika on 31.  

ISMS.online-sivustolla autamme jo yrityksiä siirtymään ISO 27001:2022 -standardiin. Asiakkaillamme on 100 % onnistumisprosentti sertifioinnissamme Assured Results Method (ARM).  

Aluksi jaamme prosessin seitsemään yksinkertaiseen vaiheeseen. Tämä vaiheittainen opastus on sisäänrakennettu alustaamme, joten opastamme sinua kaikissa vaiheissa – riskienhoitosuunnitelmasi päivittämisestä vuoden 2022 standardivaatimusten noudattamisen osoittamiseen. Autamme sinua myös ylläpitämään vuoden 2013 vaatimustenmukaisuutta siirtäen sertifiointisi vuodelle 2022 ja varmistamaan, että yrityksesi noudattaa jatkuvasti vaatimuksia.   

Liite A: ISO 27001:2022 -standardin avaaminen onnistui 

Organisaatioille, jotka haluavat saavuttaa ISO 27001 -sertifioinnin, on erittäin tärkeää ymmärtää liitteen A säädökset ja toteuttaa ne tehokkaasti ja selkeästi. Näiden hallintatoimintojen avulla voit estää mahdollisten tietoturvariskien esiintymisen ja hahmotella prosesseja ja menettelytapoja, joiden avulla voit reagoida tehokkaasti tapauksen sattuessa. Niiden avulla voit myös rakentaa vankan ISMS:n, joka kehittyy ja kasvaa yrityksesi tarpeiden mukaan. 

Jokaisella organisaatiolla on erilaiset tietoturvavaatimukset, joten sinun tulee arvioida yrityksesi erityistarpeita ja tavoitteita valitessasi liitteen A ohjausobjekteja. Saatat huomata, että jotkin kontrollit käsittelevät riskejä, joita riskiarvioidesi mukaan ei voida soveltaa. ISMS.online-alusta voi yksinkertaistaa tätä prosessia: tunnistaa ja käsitellä nopeasti asiaankuuluvat liitteen A ohjausobjektit esitäytetyillä malleilla ja dynaamisella riskinhallintamoottorillamme.  

Alustamme on yhteydessä myös olemassa oleviin järjestelmiisi, joten löydät kaiken menestymiseen tarvitsemasi yhdestä paikasta. Mikä parasta, käytämme Headstart-sisältö, noudattamismatkasi on 81 % valmis ensimmäisestä kirjautumisestasi.  

Lue lisää siitä, kuinka voit hyödyntää käytännöllistä ja edullista tapaamme saavuttaa ISO 27001 ensimmäistä kertaa Todistettu tie ISO 27001 -menestysraporttiin.