Annex A-kontroller

Annex A i ISO 27001:2022 indeholder 93 sikkerhedskontroller, der dækker hele spektret fra organisatorisk sikkerhedsstyring til teknisk adgangskontrol og fysisk sikkerhed. Kontrollerne er et referencekatalog, som din organisation bruger til at vælge de rette sikkerhedsforanstaltninger baseret på din risikovurdering.

Tilbage til ordbog

Hvad er Annex A?

Annex A (bilag A) i ISO 27001 er et normativt bilag, der indeholder et katalog over informationssikkerhedskontroller. Det er ikke en del af selve styringssystemet, men fungerer som et opslågsværk over mulige kontroller, som organisationen kan vælge at implementere som led i sin risikobehandling.

Annex A er direkte koblet til ISO 27002, som giver detaljeret vejledning i implementering af hver enkelt kontrol. ISO 27001 stiller krav til at have et ISMS, mens ISO 27002 hjælper med hvordan du implementerer de konkrete kontroller.

De fire kategorier i ISO 27001:2022

Med revisionen i 2022 blev Annex A reorganiseret fra 14 til fire overordnede kategorier:

Organisatoriske kontroller (5.1–5.37): 37 kontroller om politikker, roller, leverandørstyring, hændelses-håndtering og mere.
Personrelaterede kontroller (6.1–6.8): 8 kontroller om screening, ansættelses-vilkår, oplæring og disciplinærsager.
Fysiske kontroller (7.1–7.14): 14 kontroller om fysisk adgang, udstyrssikkerhed og ryddebordsrutiner.
Teknologiske kontroller (8.1–8.34): 34 kontroller om adgangsstyring, kryptering, logning, sårbarhedshåndtering og cloud-sikkerhed.

Nye kontroller i 2022

ISO 27001:2022 introducerede 11 nye kontroller, der afspejler moderne sikkerhedsudfordringer:

Trusselsanalyse (Threat intelligence) – 5.7
Informationssikkerhed i cloud-tjenester – 5.23
IKT-beredskab – 5.30
Fysisk sikkerhed ved overvågning – 7.4
Konfigurationsstyring – 8.9
Sletning af information – 8.10
Datamaskering – 8.11
Forebyggelse af datalæk – 8.12
Overvågningsaktiviteter – 8.16
Webfiltrering – 8.23
Sikker kodning – 8.28

Annex A og anvendelseserklæringen

For hver Annex A-kontrol skal du i din anvendelseserklæring (SoA) angive, om kontrollen er inkluderet eller ekskluderet, og give en begrundelse baseret på din risikovurdering. Det er ikke et krav at implementere alle 93 kontroller, men du skal kunne begrunde fravalget.

Ofte stillede spørgsmål om Annex A-kontroller

Hvor mange kontroller er der i Annex A?

ISO 27001:2022 (den seneste version) indeholder 93 kontroller i Annex A, fordelt på fire kategorier: 37 organisatoriske, 8 personrelaterede, 14 fysiske og 34 teknologiske kontroller.

Skal man implementere alle Annex A-kontroller?

Nej. Du skal implementere de kontroller, der er relevante for din organisations risikomiljø. Kontroller du fravælger, skal dokumenteres og begrundes i din anvendelseserklæring (SoA).

Hvad er nyt i ISO 27001:2022 Annex A?

ISO 27001:2022 reducerede antallet af kontroller fra 114 til 93 og omorganiserede dem fra 14 til 4 kategorier. 11 nye kontroller blev tilføjet, herunder kontroller om trusselsanalyse, cloud-sikkerhed og datamaskering.

Hvad er forholdet mellem Annex A og ISO 27002?

Annex A opremser kontrollerne, mens ISO 27002 giver detaljeret implementeringsvejledning for hver enkelt. Tænk på Annex A som ‘hvad’ og ISO 27002 som ‘hvordan’.

Hvordan vælger jeg de rette Annex A-kontroller?

Valget bør drives af din risikovurdering. Identificer dine informationsaktiver, vurder trusler og sårbarheder, og vælg derefter de kontroller, der effektivt mitigerer de identificerede risici.