ISMS Guiden 1.0
Search
Search
Search
Dark mode
Light mode
Explorer
ISO 27000
ISO 27002
5 - Organisatoriske tiltak
5.26 - Reaksjon på informasjonssikkerhetsbrudd
5.26 - Reaksjon på informasjonssikkerhetsbrudd
Informasjonssikkerhetsbrudd
9 - Evaluering av prestasjon
9.2 - Internrevisjon
9.2.1 - Generelt
9.2.2 - Internrevisjonsprogram
9.3 - Ledelsen
9.3.1 - Generelt
9.3.2 Grunnlag for ledelsens gjennomgang
9.3.3 Resultater av ledelsens gjennomgang
9.1 - Overvåking, måling, analyse og evaluering
5.1 - Policyer for informasjonssikkerhet
5.2 - Roller og ansvar for informasjonssikkerhet
5.3 - Arbeidsdeling
5.4 - Ledelsens ansvar
5.5 - Kontakt med myndigheter
5.6 - Kontakt med spesielle interessegrupper
5.7 - Trusseletteretning
5.8 - Informasjonssikkerhet i prosjektledelse
5.9 - Oversikt over informasjon og andre tilhørende aktiva
5.10 - Akseptabel bruk av informasjon og andre tilhørende aktiva
5.11 - Retur av aktiva
5.12 - Klassifisering av informasjon
5.13 - Merking av informasjon
5.14 - Informasjonsoverføring
5.15 - Tilgangskontroll
5.16 - Identitetshåndtering
5.17 - Autentiseringsinformasjon
5.18 - Tilgangsrettigheter
5.19 - Informasjonssikkerhet i leverandørforhold
5.20 - Behandling av informasjonssikkerhet i leverandøravtaler
5.21 - Informasjonssikkerhet i forsyningskjeden for IKT
5.22 - Overvåkning, gjennomgang og endringsledelse av leverandørtjenester
5.23 - Informasjonssikkerhet for bruk av skytjenester
5.24 - Planlegging og forberedelse av styring av Informasjonssikkerhetsbrudd
5.25 - Behandling av informasjonssikkerhetshendelser
5.27 - Læring av informasjonssikkerhetsbrudd
5.28 - Innsamling av bevis
5.29 - Informasjonssikkerhet ved forstyrrelser
5.30 - IKT beredskap for virksomhetskontinuitet
5.31 - Juridiske, lovbestemte, forskriftsmessige og kontraktsfestede krav
5.32 - Immaterielle rettigheter
5.33 - Beskyttelse av arkiver
5.34 - Personvern og beskyttelse av personlig identifiserbar informasjon (PII)
5.35 - Uavhengig gjennomgang av informasjonssikkerhet
5.36 - Samsvar med policyer , regler og standarder for informasjonssikkerhet
5.37 - Dokumenterte driftsprosedyrer
6 - Sikkerhetstiltak for personer
6.1 - Bakgrunnssjekking
6.2 - Vilkår og betingelser for ansettelse
6.3 - Bevisstgjøring, utdanning og opplæring i informasjonssikkerhet
6.4 - Disiplinærprosess
6.5 - Ansvar etter opphør eller endring av ansettelsesforhold
6.6 - Konfidensialitets- eller taushetserklæringer
6.7 - Fjernarbeid
6.8 - Rapportering av informasjonssikkerhetshendelser
7 - Adgangskontroll
7.1 - Fysisk sikkerhetssone
7.2 - Fysisk adgang
7.3 - Sikring av kontorer, rom og fasiliteter
7.4 - Overvåkning av fysisk sikkerhet
7.5 - Beskyttelse mot fysiske og miljømessige trusler
7.6 - Arbeid i sikre områder
7.7 - Ryddig arbeidspult og låst skjerm
7.8 - Plassering og beskyttelse av utstyr
7.9 - Sikring av aktiva utenfor organisasjonen
7.10 - Lagringsmedier
7.11 - Understøttende utstyr
7.12 - Kablingssikkerhet
7.13 - Vedlikehold av utstyr
7.14 - Sikker avhending eller gjenbruk av utstyr
8 - Teknologiske tiltak
8.1 - Sluttbrukerenheter
8.2 - Privilegerte tilgangsrettigheter
8.3 - Tilgangsbegrensning for informasjon
8.4 - Tilgang til kildekode
8.5 - Sikker autentisering
8.6 - Kapasitetsstyring
8.7 - Beskyttelse mot skadevare
8.8 - Håndtering av tekniske sårbarheter
8.9 - Konfigurasjonsstyring
8.10 Informasjonssletting
8.11 - Datamaskering
8.12 - Forebygging av datalekkasje
8.13 - Sikkerhetskopiering av informasjon
8.14 - Redundans i informasjonsbehandlingsutstyr
8.15 - Loggføring
8.16 - Overvåkningsaktiviteter
8.17 - Klokkesynkronisering
8.18 - Bruk av privilegerte hjelpeprogrammer
8.19 - Installasjon av programvare i driftsystemer
8.20 Nettverksikkerhet
8.21 Sikring av nett tjenester
8.22 - Atskillelse i nettverk
8.23 Nettfiltrering
8.24 Bruk av kryptografi
8.25 Sikkert livsløp for utvikling
8.26 Krav til applikasjonsikkerhet
8.27 Prinsipper for prosjektering av sikker systemarkitektur
8.28 Sikker koding
8.29 Sikkerhetstesting utvikling og akseptanse
8.30 Utkontraktert utvikling
8.31 Separasjon av miljøer for utvikling, testing og produksjon
8.32 Endringsledelse
8.33 Testinformasjon
8.34 Beskyttelse av informasjonssystemer under revisjonstesting
ISO 27000 Forklart
Oversikt ISO-27002
NSM-GP
1 - Identifisere og kartlegge
1.1 - Kartlegg styringsstrukturer, leveranser og understøttende systemer
1.1 - Kartlegg styringsstrukturer, leveranser og understøttende systemer
1.1.1 - Identifiser virksomhetens strategi og prioriterte mål
1.1.2 - Identifiser virksomhetens strukturer og prosesser for sikkerhetsstyring
1.1.3 - Identifiser virksomhetens prosesser for risikostyring knyttet til IKT
1.1.4 - Identifiser virksomhetens toleransegrenser for risiko knyttet til IKT
1.1.5 - Kartlegg virksomhetens leveranser, informasjonssystemer og understøttende IKT-funksjoner
1.1.6 - Kartlegg informasjonsbehandling og dataflyt i virksomheten
1.2 - Kartlegg enheter og programvare
1.2 - Kartlegg enheter og programvare
1.2.1 - Etabler en prosess for å kartlegge enheter og programvare som er i bruk i virksomheten
1.2.2 - Fastsett retningslinjer for godkjente enheter og programvare i virksomheten
1.2.3 - Kartlegg enheter i bruk i virksomheten
1.2.4 - Kartlegg programvare i bruk i virksomheten
1.3 - Kartlegg brukere og behov for tilgang
1.3 - Kartlegg brukere og behov for tilgang
1.3.1 - Kartlegg brukere i informasjonssystemene
1.3.2 - Kartlegg og definer de ulike brukerkategoriene
1.3.3 - Kartlegg ansvar og roller spesielt knyttet til IKT-sikkerhet
1 - Identifisere og kartlegge
2 - Beskytte og opprettholde
2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser
2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser
2.1.1 - Integrer sikkerhet i virksomhetens prosess for anskaffelser
2.1.2 - Kjøp moderne og oppdatert maskin- og programvare
2.1.3 - Foretrekk IKT-produkter som er sertifiserte og evaluert av en tiltrodd tredjepart
2.1.4 - Reduser risiko for målrettet manipulasjon av IKT-produkter i leverandørkjeden
2.1.5 - Benytt en metode for sikker utvikling av programvare
2.1.6 - Benytt separate miljøer for utvikling, test og produksjon
2.1.7 - Gjennomfør tilstrekkelig med testing gjennom hele utviklingsprosessen
2.1.8 - Vedlikehold programvarekode som utvikles eller benyttes i virksomheten
2.1.9 - Ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting
2.1.10 - Undersøk sikkerheten hos tjenesteleverandør ved tjenesteutsetting
2.2 - Etabler en sikker IKT-arkitektur
2.2 - Etabler en sikker IKT-arkitektur
2.2.1 - Etabler og vedlikehold en helhetlig sikkerhetsarkitektur
2.2.2 - Bygg IKT-systemet med IKT-produkter som fungerer godt sammen sikkerhetsmessig
2.2.3 - Del opp virksomhetens nettverk etter virksomhetens risikoprofil
2.2.4 - Skill fysisk de mest kritiske del-nettverkene
2.2.5 - Del opp domenearkitekturen iht. virksomhetens behov
2.2.6 - Reguler tilgang til tjenester basert på kjennskap til både brukere og enhet
2.2.7 - Etabler en robust og motstandsdyktig IKT-arkitektur
2.3 - Ivareta en sikker konfigurasjon
2.3 - Ivareta en sikker konfigurasjon
2.3.1 - Etabler et sentralt styrt regime for sikkerhetsoppdatering
2.3.2 - Konfigurer klienter slik at kun kjent programvare kjører på dem
2.3.3 - Deaktiver unødvendig funksjonalitet
2.3.4 - Etabler og vedlikehold standard sikkerhetskonfigurasjoner
2.3.5 - Verifiser at aktivert sikkerhetskonfigurasjon er i henhold til virksomhetens godkjente sikkerhetskonfigurasjon
2.3.6 - Utfør all konfigurasjon, installasjon, og drift for øvrig på en trygg måte
2.3.7 - Endre alle standardpassord på IKT-produktene før produksjonssetting
2.3.8 - Ikke deaktiver kodebeskyttelsesfunksjoner
2.3.9 - Etabler sikker tid i virksomheten
2.3.10 - Reduser risiko med IoT-enheter
2.4 - Beskytt virksomhetens nettverk
2.4 - Beskytt virksomhetens nettverk
2.4.1 - Etabler tilgangskontroll på flest mulige nettverksporter
2.4.2 - Krypter alle trådløse og kablede forbindelser
2.4.3 - Kartlegg fysisk tilgjengelighet for svitsjer og kabler
2.4.4 - Aktiver brannmur på alle klienter og servere
2.5 - Kontroller dataflyt
2.5 - Kontroller dataflyt
2.5.1 - Styr dataflyt mellom nettverks-soner
2.5.2 - Begrens tilgangen til interne tjenester fra eksterne lokasjoner
2.5.3 - Sperr all direkte-trafikk mellom klienter
2.5.4 - Isoler utstyr som er sårbart og har lav tillit
2.5.5 - Styr dataflyten til spesielt eksponerte tjenester
2.5.6 - Beskytt spesielt kritiske tjenester med egen dataflyt
2.5.7 - Ha kontroll på trafikk mellom virksomheten og samarbeidspartnere eller tjenesteleverandører
2.5.8 - Styr all trafikk (ikke bare interne tjenester) til og fra forvaltede mobile klienter via virksomhetens nett
2.6 - Kontroll på identiteter og tilganger
2.6 - Kontroll på identiteter og tilganger
2.6.1- Etabler retningslinjer for tilgangskontroll
2.6.2 - Etabler en formell prosess for administrasjon av kontoer, tilganger og rettigheter
2.6.3 - Benytt et sentralisert og automatiserbart verktøy for å styre kontoer, tilganger og rettigheter
2.6.4 - Minimer rettigheter til sluttbrukere og spesialbrukere
2.6.5 - Minimer rettigheter på drifts-kontoer
2.6.6 - Styr tilganger til enheter
2.6.7 - Bruk multi-faktor autentisering
2.7 - Beskytt data i ro og i transitt
2.7 - Beskytt data i ro og i transitt
2.7.1 - Etabler en strategi for håndtering av kryptografi i virksomheten
2.7.2 - Aktiver kryptering i de tjenestene som tilbyr slik funksjonalitet
2.7.3 - Krypter lagringsmedier som holder konfidensiell data og som lett kan mistes eller kompromitteres
2.7.4 - Benytt kryptering når konfidensiell informasjon overføres eller når tilliten til informasjonskanalen er lav
2.7.5 - Definer krav til sikringsnivå for ulike typer informasjon
2.8 - Beskytt e-post og nettleser
2.8 - Beskytt e-post og nettleser
2.8.1 - Verifiser at innkommende e-post er fra en legitim avsender-adresse
2.8.2 - Aktiver STARTTLS på virksomhetens e-postserver
2.8.3 - Bruk kun støttede e-postklienter, nettlesere og programtillegg
2.8.4 - Tillat kun virksomhetsgodkjente programtillegg
2.9 - Etabler evne til gjenoppretting av data
2.9 - Etabler evne til gjenoppretting av data
2.9.1 - Legg en plan for regelmessig sikkerhetskopiering av alle virksomhetsdata
2.9.2 - Inkluder sikkerhetskopier av programvare
2.9.3 - Test sikkerhetskopier regelmessig
2.9.4 - Beskytt sikkerhetskopier mot tilsiktet og utilsiktet sletting, manipulering og avlesning
2.10 - Sikkerhet i prosess for endringshåndtering
2.10 - Sikkerhet i prosess for endringshåndtering
2.10.1 - Integrer sikkerhet i virksomhetens prosess for endringshåndtering
2.10.2 - Involver nødvendig IKT-sikkerhetspersonell i forbindelse med endringer
2.10.3 - Gjennomfør nødvendig endring, konfigurering og testing av påvirkede sikkerhetsfunksjoner
2.10.4 - Integrer sikkerhet i virksomhetens prosess for hasteendringer
2 - Beskytte og opprettholde
3 - Oppdage
3.1 - Oppdag og fjern kjente sårbarheter og trusler
3.1 - Oppdag og fjern kjente sårbarheter og trusler
3.1.1 - Gjennomfør jevnlig sårbarhetskartlegging
3.1.2 - Abonner på tjenester relatert til sårbarhetsetterretning
3.1.3 - Benytt automatisert og sentralisert verktøy for å håndtere kjente trusler (som skadevare)
3.2 - Etabler sikkerhetsovervåkning
3.2 - Etabler sikkerhetsovervåkning
3.2.1 - Fastsett virksomhetens strategi og retningslinjer for sikkerhetsovervåkning
3.2.2 - Følg lover, reguleringer og virksomhetens retningslinjer for sikkerhetsovervåkning
3.2.3 - Avgjør hvilke deler av IKT-systemet som skal overvåkes
3.2.4 - Beslutt hvilke data som er sikkerhetsrelevant og bør samles inn
3.2.5 - Verifiser at innsamling fungerer etter hensikt
3.2.6 - Påse at innsamlet data ikke kan manipuleres
3.2.7 - Gjennomgå og konfigurer innhenting av sikkerhetsrelevant data og den sentrale loggdatabasen jevnlig
3.3 - Analyser data fra sikkerhetsovervåkning
3.3 - Analyser data fra sikkerhetsovervåkning
3.3.1 - Lage en plan for analyse av data fra sikkerhetsovervåkning
3.3.2 - Etabler og vedlikehold kompetanse om normaltilstanden i virksomhetens informasjonssystemer
3.3.3 - Ta i bruk verktøy som muliggjør manuelle og automatiske søk, samt alarmering basert på kriterier
3.3.4 - Innhent og bearbeid trusselinformasjon fra relevante kilder
3.3.5 Vurder fortløpende om innhentet data er tilstrekkelig relevant og detaljert
3.3.6 - Etabler rutine for eskalering av alarmer
3.3.7 - Benytt analyseverktøy, teknologi og algoritmer
3.4 - Gjennomfør inntrengningstester
3.4 - Gjennomfør inntrengningstester
3.4.1 - Planlegg inntrengingstester med tydelig mål og omfang
3.4.2 - Involver relevante interesseparter i forkant
3.4.3 - Benytt verktøy for sårbarhetskartlegging og angrepsverktøy
3.4.4 - Gjennomfør jevnlige inntrengingstester (minst årlige) for å identifisere sårbarheter.
3.4.5 - Test rutiner for deteksjon og beredskap
3.4.6 - Kommuniser resultater fra inntrengingstester til relevante interesseparter
3 - Oppdage
4 - Håndtere og gjenopprette
4.1 - Forbered virksomheten på håndtering av hendelser
4.1 - Forbered virksomheten på håndtering av hendelser
4.1.1 - Etabler et planverk for hendelseshåndtering
4.1.2 - Gjennomfør en analyse av virksomhetskritiske effekter
4.1.3 - Utarbeid rolle- og ansvarsbeskrivelse for personell som skal involveres i hendelseshåndtering
4.1.4 - Utarbeid avtaler med relevante tredjeparter
4.1.5 - Fastsett hvilke kommunikasjonskanaler som skal benyttes i forbindelse med hendelser
4.1.6 - Test og øv på planer jevnlig slik at disse er godt innøvd
4.2 - Vurder og klassifiser hendelser
4.2 - Vurder og klassifiser hendelser
4.2.1 - Gjennomgå loggdata og samle relevante data om hendelsen for å oppnå et godt beslutningsgrunnlag
4.2.2 - Avgjør alvorlighetsgrad for hendelsen
4.2.3 - Informer relevante interesseparter
4.3 - Kontroller og håndter hendelser
4.3 - Kontroller og håndter hendelser
4.3.1 - Kartlegg omfang og påvirkning på forretningsprosesser
4.3.2 - Undersøk om hendelsen er under kontroll og gjennomfør nødvendige reaktive tiltak
4.3.3 - Loggfør alle aktiviteter, resultater og relevante avgjørelser
4.3.4 - Iverksett gjenopprettingsplan i løpet av, eller i etterkant av hendelsen
4.3.5 - Koordiner og kommuniser med interne og eksterne interessenter underveis i hendelseshåndteringen
4.3.6 - Gjennomfør nødvendige aktiviteter i etterkant av hendelsen
4.4 - Evaluer og lær av hendelser
4.4 - Evaluer og lær av hendelser
4.4.1 - Identifiser erfaringer og læringspunkter (lessons learned) fra hendelser
4.4.2 - Kartlegg og gjennomgå identifiserte, kompromitterte sikkerhetstiltak
4.4.3 - Vurdere effektiviteten av prosesser, prosedyrer, rapporteringsformater og organisatoriske strukturer med tanke på å respondere på hendelser
4.4.4 - Kommuniser og del erfaringsresultatene med (relevante) interessenter
4 - Håndtere og gjenopprette
Forklaringer
enhet
enheter
Om sektorvise responsmiljøer
sårbarheter
Begreper
Oversikt
5.3 - Arbeidsdeling
May 03, 2024
1 min read
Oppgaver og ansvar innenfor ulike områder skal være atskilt.
Graph View
Backlinks
Oversikt ISO-27002
1.1 - Kartlegg styringsstrukturer, leveranser og understøttende systemer