Kontrollmappning av skissexemplet ISO 27001 Delade tjänster

Viktigt!

Den 11 juli 2026 kommer skisser (förhandsversion) att bli inaktuella. Migrera dina befintliga skissdefinitioner och tilldelningar till mallspecifikationer och distributionsstackar. Skissartefakter ska konverteras till ARM JSON-mallar eller Bicep-filer som används för att definiera distributionsstackar. Information om hur du skapar en artefakt som en ARM-resurs finns i:

• Princip
• RBAC
• Distributioner

I följande artikel beskrivs hur skissexemplet i Azure Blueprints ISO 27001 Shared Services mappar till ISO 27001-kontrollerna.

Följande mappningar är till ISO 27001:2013-kontrollerna . Använd navigeringen till höger för att gå direkt till en specifik kontrollmappning. Många av de mappade kontrollerna implementeras med ett Azure Policy-initiativ . Om du vill granska hela initiativet öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj kontrollerna [Förhandsversion] Granska ISO 27001:2013 och distribuera specifika VM-tillägg för att stödja inbyggda principinitiativ för granskningskrav .

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy-definitioner för det här kompatibilitetsskissexemplet kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

A.6.1.2 Ansvarsfördelning

Att bara ha en Azure-prenumerationsägare tillåter inte administrativ redundans. Omvänt kan för många Azure-prenumerationsägare öka risken för intrång via ett komprometterat ägarkonto. Den här skissen hjälper dig att upprätthålla ett lämpligt antal Azure-prenumerationsägare genom att tilldela två Azure Policy-definitioner som granskar antalet ägare för Azure-prenumerationer. Genom att hantera behörigheter för prenumerationsägare kan du implementera lämplig ansvarsfördelning.

• Prenumerationen får ha högst 3 ägare
• Det bör finnas fler än en ägare för prenumerationen

A.8.2.1 Klassificering av information

Azures SQL Vulnerability Assessment-tjänst kan hjälpa dig att identifiera känsliga data som lagras i dina databaser och innehåller rekommendationer för att klassificera dessa data. Den här skissen tilldelar en Azure Policy-definition för att granska att sårbarheter som identifieras under SQL Vulnerability Assessment-genomsökningen åtgärdas.

• Sårbarheter i dina SQL-databaser bör åtgärdas

A.9.1.2 Åtkomst till nätverk och nätverkstjänster

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper till att hantera vem som har åtkomst till Azure-resurser. Den här skissen hjälper dig att styra åtkomsten till Azure-resurser genom att tilldela sju Azure Policy-definitioner . Dessa principer granskar användningen av resurstyper och konfigurationer som kan ge mer tillåtande åtkomst till resurser. Att förstå resurser som bryter mot dessa principer kan hjälpa dig att vidta korrigerande åtgärder för att säkerställa att åtkomsten till Azure-resurser begränsas till behöriga användare.

• Visa granskningsresultat från virtuella Linux-datorer som har konton utan lösenord
• Visa granskningsresultat från virtuella Linux-datorer som tillåter fjärranslutningar från konton utan lösenord
• Lagringskonton ska migreras till nya Azure Resource Manager-resurser
• Virtuella datorer bör migreras till nya Azure Resource Manager-resurser
• Granska virtuella datorer som inte använder hanterade diskar

A.9.2.3 Hantering av privilegierade åtkomsträttigheter

Den här skissen hjälper dig att begränsa och kontrollera privilegierade åtkomsträttigheter genom att tilldela fyra Azure Policy-definitioner för granskning av externa konton med ägar- och/eller skrivbehörigheter och konton med ägar- och/eller skrivbehörigheter som inte har multifaktorautentisering aktiverat. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper till att hantera vem som har åtkomst till Azure-resurser. Den här skissen tilldelar också tre Azure Policy-definitioner för granskning av användning av Azure Active Directory-autentisering för SQL-servrar och Service Fabric. Med Azure Active Directory-autentisering kan du förenkla behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft usluge. Den här skissen tilldelar också en Azure Policy-definition för att granska användningen av anpassade Azure RBAC-regler. Att förstå var anpassade Azure RBAC-regler implementeras kan hjälpa dig att verifiera behovet och korrekt implementering, eftersom anpassade Azure RBAC-regler är felbenägna.

• MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
• Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen
• Externa konton med ägarbehörigheter bör tas bort från din prenumeration
• Externa konton med skrivbehörigheter bör tas bort från prenumerationen
• En Azure Active Directory-administratör bör etableras för SQL-servrar
• Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering
• Granska användningen av anpassade RBAC-regler

A.9.2.4 Hantering av information om hemlig autentisering för användare

Den här skissen tilldelar tre Azure Policy-definitioner till granskningskonton som inte har multifaktorautentisering aktiverat. Multifaktorautentisering hjälper till att skydda konton även om en del av autentiseringsinformationen komprometteras. Genom att övervaka konton utan multifaktorautentisering aktiverat kan du identifiera konton som kan vara mer benägna att komprometteras. Den här skissen tilldelar också två Azure Policy-definitioner som granskar filbehörigheter för lösenordsfiler för virtuella Linux-datorer för att avisera om de har angetts felaktigt. Med den här konfigurationen kan du vidta korrigerande åtgärder för att säkerställa att autentiseringen inte komprometteras.

• MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
• MFA ska aktiveras på konton med läsbehörighet för din prenumeration
• Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen
• Visa granskningsresultat från virtuella Linux-datorer som inte har behörigheten för passwd-filen inställd på 0644

A.9.2.5 Granskning av användaråtkomsträttigheter

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till resurser i Azure. Med hjälp av Azure-portalen kan du granska vem som har åtkomst till Azure-resurser och deras behörigheter. Den här skissen tilldelar fyra Azure Policy-definitioner till granskningskonton som ska prioriteras för granskning, inklusive avprecierade konton och externa konton med förhöjd behörighet.

• Inaktuella konton bör tas bort från din prenumeration
• Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration
• Externa konton med ägarbehörigheter bör tas bort från din prenumeration
• Externa konton med skrivbehörigheter bör tas bort från prenumerationen

A.9.2.6 Borttagning eller justering av åtkomsträttigheter

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till resurser i Azure. Med Hjälp av Azure Active Directory och Azure RBAC kan du uppdatera användarroller för att återspegla organisationsändringar. Vid behov kan konton blockeras från att logga in (eller tas bort), vilket omedelbart tar bort åtkomsträttigheter till Azure-resurser. Den här skissen tilldelar två Azure Policy-definitioner för granskning av avskrivt konto som bör övervägas för borttagning.

• Inaktuella konton bör tas bort från din prenumeration
• Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration

A.9.4.2 Säkra inloggningsprocedurer

Den här skissen tilldelar tre Azure Policy-definitioner till granskningskonton som inte har multifaktorautentisering aktiverat. Azure AD Multi-Factor Authentication ger ytterligare säkerhet genom att kräva en andra form av autentisering och leverera stark autentisering. Genom att övervaka konton utan multifaktorautentisering aktiverat kan du identifiera konton som kan vara mer benägna att komprometteras.

• MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
• MFA ska aktiveras på konton med läsbehörighet för din prenumeration
• Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen

A.9.4.3 Lösenordshanteringssystem

Den här skissen hjälper dig att framtvinga starka lösenord genom att tilldela 10 Azure Policy-definitioner som granskar virtuella Windows-datorer som inte tillämpar minsta styrka och andra lösenordskrav. Medvetenhet om virtuella datorer i strid med principen för lösenordsstyrka hjälper dig att vidta korrigerande åtgärder för att säkerställa att lösenord för alla virtuella datoranvändarkonton är kompatibla med principen.

• Visa granskningsresultat från virtuella Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad
• Visa granskningsresultat från virtuella Windows-datorer som inte har en maximal lösenordsålder på 70 dagar
• Visa granskningsresultat från virtuella Windows-datorer som inte har en lägsta lösenordsålder på 1 dag
• Visa granskningsresultat från virtuella Windows-datorer som inte begränsar den minsta lösenordslängden till 14 tecken
• Visa granskningsresultat från virtuella Windows-datorer som tillåter återanvändning av de tidigare 24 lösenorden

A.10.1.1 Princip för användning av kryptografiska kontroller

Den här skissen hjälper dig att tillämpa din princip för användning av kryptografkontroller genom att tilldela 13 Azure Policy-definitioner som tillämpar specifika kryptografkontroller och granskning av svaga kryptografiska inställningar. Att förstå var dina Azure-resurser kan ha icke-optimala kryptografiska konfigurationer kan hjälpa dig att vidta korrigerande åtgärder för att säkerställa att resurser konfigureras i enlighet med din informationssäkerhetsprincip. Mer specifikt kräver de principer som tilldelas av den här skissen kryptering för bloblagringskonton och Data Lake-lagringskonton. kräver transparent datakryptering på SQL-databaser. granska kryptering som saknas på lagringskonton, SQL-databaser, virtuella datordiskar och automationskontovariabler. granska osäkra anslutningar till lagringskonton, funktionsappar, webbappar, API-appar och Redis Cache. granska svag lösenordskryptering för virtuell dator. och granska okrypterad Service Fabric-kommunikation.

• Funktionsappen ska endast vara tillgänglig via HTTPS
• Webbappen bör endast vara åtkomlig via HTTPS
• API-appen bör endast vara tillgänglig via HTTPS
• Visa granskningsresultat från virtuella Windows-datorer som inte lagrar lösenord med reversibel kryptering
• Diskkryptering bör tillämpas på virtuella datorer
• Automation-kontovariabler ska krypteras
• Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade
• Säker överföring till lagringskonton ska vara aktiverat
• Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign
• Transparent datakryptering på SQL-databaser ska vara aktiverat

A.12.4.1 Händelseloggning

Den här skissen hjälper dig att se till att systemhändelser loggas genom att tilldela sju Azure Policy-definitioner som granskar logginställningar på Azure-resurser. Diagnostikloggar ger insikter om åtgärder som har utförts i Azure-resurser.

• Granska distribution av beroendeagent – VM-avbildning (OS) olistad
• Granska distribution av beroendeagent i VM-skalningsuppsättningar – VM-avbildning (OS) ej listad
• [Förhandsversion]: Granska log analytics-agentdistribution – VM-avbildning (OS) olistad
• Granska Log Analytics-agentdistribution i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
• Granska diagnostikinställning
• Granskning på SQL-servern ska vara aktiverad

A.12.4.3 Administratörs- och operatorloggar

Den här skissen hjälper dig att se till att systemhändelser loggas genom att tilldela sju Azure Policy-definitioner som granskar logginställningar på Azure-resurser. Diagnostikloggar ger insikter om åtgärder som har utförts i Azure-resurser.

• Granska distribution av beroendeagent – VM-avbildning (OS) olistad
• Granska distribution av beroendeagent i VM-skalningsuppsättningar – VM-avbildning (OS) ej listad
• [Förhandsversion]: Granska log analytics-agentdistribution – VM-avbildning (OS) olistad
• Granska Log Analytics-agentdistribution i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
• Granska diagnostikinställning
• Granskning på SQL-servern ska vara aktiverad

A.12.4.4 Klocksynkronisering

Den här skissen hjälper dig att se till att systemhändelser loggas genom att tilldela sju Azure Policy-definitioner som granskar logginställningar på Azure-resurser. Azure-loggar förlitar sig på synkroniserade interna klockor för att skapa en tidskorrelerad post med händelser mellan resurser.

• Granska distribution av beroendeagent – VM-avbildning (OS) olistad
• Granska distribution av beroendeagent i VM-skalningsuppsättningar – VM-avbildning (OS) ej listad
• [Förhandsversion]: Granska log analytics-agentdistribution – VM-avbildning (OS) olistad
• Granska Log Analytics-agentdistribution i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
• Granska diagnostikinställning
• Granskning på SQL-servern ska vara aktiverad

A.12.5.1 Installation av programvara på driftsystem

Anpassningsbar programkontroll är en lösning från Azure Security Center som hjälper dig att styra vilka program som kan köras på dina virtuella datorer i Azure. Den här skissen tilldelar en Azure Policy-definition som övervakar ändringar i uppsättningen med tillåtna program. Den här funktionen hjälper dig att styra installationen av programvara och program på virtuella Azure-datorer.

• Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer

A.12.6.1 Hantering av tekniska säkerhetsrisker

Den här skissen hjälper dig att hantera sårbarheter i informationssystemet genom att tilldela fem Azure Policy-definitioner som övervakar saknade systemuppdateringar, säkerhetsproblem i operativsystemet, SQL-sårbarheter och sårbarheter för virtuella datorer i Azure Security Center. Azure Security Center tillhandahåller rapporteringsfunktioner som gör att du kan få insikter i realtid om säkerhetstillståndet för distribuerade Azure-resurser.

• Övervaka avsaknad av slutpunktsskydd i Azure Security Center
• Systemuppdateringar ska ha installerats på dina datorer
• Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
• Sårbarheter i dina SQL-databaser bör åtgärdas
• Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning

A.12.6.2 Begränsningar för programvaruinstallation

Anpassningsbar programkontroll är en lösning från Azure Security Center som hjälper dig att styra vilka program som kan köras på dina virtuella datorer i Azure. Den här skissen tilldelar en Azure Policy-definition som övervakar ändringar i uppsättningen med tillåtna program. Begränsningar för programvaruinstallation kan hjälpa dig att minska sannolikheten för att programsårbarheter introduceras.

• Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer

A.13.1.1 Nätverkskontroller

Den här skissen hjälper dig att hantera och kontrollera nätverk genom att tilldela en Azure Policy-definition som övervakar nätverkssäkerhetsgrupper med tillåtande regler. Regler som är för tillåtande kan tillåta oavsiktlig nätverksåtkomst och bör granskas. Den här skissen tilldelar också tre Azure Policy-definitioner som övervakar oskyddade slutpunkter, program och lagringskonton. Slutpunkter och program som inte skyddas av en brandvägg och lagringskonton med obegränsad åtkomst kan tillåta oavsiktlig åtkomst till information som finns i informationssystemet.

• Åtkomst via internetuppkopplad slutpunkt bör begränsas
• Lagringskonton bör begränsa nätverksåtkomsten

A.13.2.1 Principer och procedurer för informationsöverföring

Skissen hjälper dig att säkerställa att informationsöverföringen med Azure-tjänster är säker genom att tilldela två Azure Policy-definitioner för granskning av osäkra anslutningar till lagringskonton och Azure Cache for Redis.

• Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade
• Säker överföring till lagringskonton ska vara aktiverat

Nästa steg

Nu när du har granskat kontrollmappningen av iso 27001 Shared Services-skissen går du till följande artiklar för att lära dig mer om arkitekturen och hur du distribuerar det här exemplet:

Skiss för ISO 27001 Delade tjänster – Översikt överskissen ISO 27001 Delade tjänster – Distribuera steg

Ytterligare artiklar om skisser och hur de används:

• Mer information om livscykeln för en skiss.
• Förstå hur du använder statiska och dynamiska parametrar.
• Lär dig hur du anpassar sekvensordningen för en skiss.
• Lär dig hur du använder resurslåsning för en skiss.
• Lär dig hur du uppdaterar befintliga tilldelningar.