- Se ISO 27002:2022 Kontroll 7.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 11.1.1 for mer informasjon.
Hva er ISO 27001:2022 vedlegg A 7.1?
ISO 27001: 2022 Vedlegg A 7.1 krever at organisasjoner etablerer sikkerhetsperimeter og bruker dem til å beskytte informasjon og tilhørende eiendeler.
Informasjons- og informasjonssikkerhetsressurser forklart
Informasjon kan beskrives som enhver data, kunnskap eller innsikt som har verdi for en organisasjon eller bedrift. Dette inkluderer alle opplysninger innhentet om enkeltpersoner, kunder, partnere, ansatte og andre interessenter.
Informasjonssikkerhetsressurser kan grovt klassifiseres i:
Data
Data og informasjon blir ofte forvekslet med hverandre, men det er en tydelig forskjell. Data er rå, ubehandlet og generelt sett til ingen nytte i sin nåværende form. På den annen side er informasjon data som er ordnet i et brukbart format, for eksempel en e-post eller et telefonnummer.
Infrastruktur
Infrastruktur omfatter alle komponenter i et nettverk – servere, skrivere, rutere og mer – for å skape et sammenhengende system.
Programvareinfrastruktur, som f.eks operativsystemer og applikasjoner, må beskyttes mot cybertrusler, akkurat som maskinvare gjør. For å unngå utnyttelse av ondsinnede hackere som søker tilgang til sensitive data, må begge oppdateres jevnlig med oppdateringer og rettinger for eventuelle sårbarheter som er utsatt av hackere.
Fysiske sikkerhetsgrenser forklart
Fysisk sikkerhet refererer til de fysiske tiltakene som ivaretar en organisasjons ressurser og lokaler. Det er en grunnleggende og uunnværlig del av informasjonssikkerhet. Det innebærer mer enn bare å låse døren; det innebærer også å være klar over hvem som har tilgang til hva, når, hvor og hvordan.
Fysiske sikkerhetsomkrets identifiserer de fysiske grensene til en bygning eller et område og kontrollerer tilgangen til den. Gjerder, vegger, porter og andre barrierer kan brukes for å hindre uautorisert adgang av personer eller kjøretøy. Videre kan elektronisk overvåkingsutstyr som CCTV-kameraer brukes til å overvåke aktivitet utenfor anlegget.
Fysiske sikkerhetsomkretser tilbyr det første laget av beskyttelse mot utenforstående som forsøker å få tilgang til datasystemet ditt via en kablet eller trådløs tilkobling i en bedrift. De kombineres ofte med ytterligere informasjonssikkerhetskontroller, for eksempel identitetsadministrasjon, tilgangskontroll og inntrengningsdeteksjonssystemer.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Veiledning om ISO 27001:2022 vedlegg A 7.1
ISO 27001:2022 vedlegg A 7.1 garanterer at en organisasjon kan vise at den har passende fysiske sikkerhetsgrenser på plass for å stoppe uautorisert fysisk tilgang til informasjon og andre relaterte eiendeler.
Dette innebærer å ta skritt for å forhindre:
- Uautorisert adgang til bygninger, rom eller områder som inneholder informasjonsressurser er forbudt.
- Fjerning av eiendeler uten tillatelse fra lokalene er uakseptabelt.
- Uautorisert bruk av lokaler, slik som datamaskiner og relaterte enheter, er ikke tillatt.
- Uautorisert tukling med elektronisk kommunikasjonsutstyr, som telefoner, fakser og dataterminaler, er ikke tillatt.
Det er mulig å implementere fysiske sikkerhetsperimeter på to forskjellige måter:
Fysisk tilgangskontroll – sikrer adgang til anlegg og bygninger og bevegelse innenfor disse. Dette inkluderer låsing av dører, alarmer, gjerder og bommer.
Maskinvaresikkerhet – gir kontroll over fysisk utstyr, som datamaskiner, skrivere og skannere, som behandler data som inneholder sensitiv informasjon.
Denne kontrollen hjelper beskytte informasjon og andre relaterte eiendeler, for eksempel konfidensielle dokumenter, poster og utstyr, ved å forhindre uautorisert bruk av plass, utstyr og forsyninger.
Hva er involvert og hvordan du oppfyller kravene
Retningslinjer som skal tas i betraktning for fysiske sikkerhetsomkretser bør vedtas der det er mulig:
- Etablere sikkerhetsbarrierer og finne nøyaktig plassering og styrke for hver i tråd med informasjonssikkerhetsbestemmelser vedrørende ressursene innenfor grensen.
- Det er viktig å sikre den fysiske sikkerheten til en bygning eller et område som inneholder informasjonsbehandlingssystemer, uten hull eller svake punkter i omkretsen der et innbrudd kan forenkles.
- De ytre overflatene på stedet, inkludert tak, vegger, tak og gulv, må være av solid konstruksjon, og alle utvendige dører bør være utstyrt med kontrollmekanismer som stenger, alarmer og låser for å hindre uautorisert adgang.
- Sørg for at vinduer og dører er låst når de ikke er opptatt, og vurder ekstern sikkerhet for vinduer, spesielt i første etasje; ventilasjon må også tas i betraktning.
For ytterligere innsikt i hva som forventes for samsvar med ISO 27001:2022-standarden, se den tilhørende dokumentasjonen.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 7.1 erstatter ISO 27001:2013 Vedlegg A 11.1.1; konteksten og betydningen forblir stort sett like, om enn formulert annerledes.
2022-versjonen så en reduksjon i implementeringskrav sammenlignet med tidligere kontroll.
Vedlegg A 7.1 mangler kravene beskrevet i vedlegg A 11.1.1, som er som følger:
- Det bør være et bemannet resepsjonsområde eller annen måte å administrere fysisk inngang til stedet eller bygningen.
- Kun autorisert personell skal tillates adgang til tomter og bygninger.
- Konstruer fysiske barrierer, når det er aktuelt, for å hindre uautorisert fysisk tilgang og avverge miljøforurensning.
- Det er nødvendig å installere inntrengerdeteksjonssystemer som oppfyller nasjonale, regionale eller internasjonale standarder og teste dem regelmessig for å sikre alle ytterdører og tilgjengelige vinduer.
- Alle ubebodde områder bør til enhver tid være utstyrt med alarmsystem.
- Vi bør sørge for dekning av andre områder, som data- og kommunikasjonsrom.
- Organisasjonen bør holde sine informasjonsbehandlingsfasiliteter fysisk atskilt fra de som administreres av eksterne kilder.
Ingen utelatelse reduserer effektiviteten til den nye ISO 27001:2022-standarden; i stedet ble de eliminert for å gjøre kontrollen enklere å bruke og forstå.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvem er ansvarlig for denne prosessen?
Ocuco Chief Information Officer (CIO) er leder ansvarlig for å ivareta bedriftens data og systemer. De samarbeider med andre ledere for å vurdere sikkerhet når de tar forretningsbeslutninger, for eksempel finansdirektøren og administrerende direktør. Implementering av retningslinjer og prosedyrer for å beskytte selskapets informasjon er en sentral del av CIOs rolle.
Økonomisjefen har en rolle i å bestemme fysiske sikkerhetsomkretser. I samarbeid med andre C-suite-ledere, inkludert CIO, bestemmer de hvor mye de skal investere i fysiske sikkerhetstiltak som overvåkingskameraer, tilgangskontroller og alarmer.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hva betyr disse endringene for deg?
ISO 27001:2022 er ikke en større overhaling, så ingen vesentlige endringer er nødvendige for å overholde.
Det er verdt å undersøke din nåværende implementering for å sikre at den er i tråd med de nye kravene. Spesielt hvis det ble gjort endringer siden versjonen av 2013. Det er verdt å revurdere disse endringene for å finne ut om de fortsatt er gyldige eller må endres.
Hvordan ISMS.Online Hjelp
ISMS.online kan hjelpe til med å bevise samsvar med ISO 27001 ved å tilby et online system som muliggjør lagring av dokumenter på ett enkelt tilgjengelig sted. Det forenkler også utvikling av sjekklister for hvert dokument, og letter gjennomgang og endring av dokumenter.
Vil du oppleve hvordan det fungerer?
Kontakt oss i dag for reservere en demonstrasjon.