- Se ISO 27002:2022 Kontroll 7.10 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 8.3.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 8.3.2 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 8.3.3 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 11.2.5 for mer informasjon.
ISO 27001 vedlegg A 7.10: Beskyttelse av sensitive data på lagringsmedier
Bruken av lagringsmedieenheter, som SSD-er, USB-er, eksterne stasjoner og mobiler, er avgjørende for en rekke viktige informasjonshåndteringsoperasjoner, inkludert sikkerhetskopiering, lagring og overføring av data.
Lagring av sensitive og viktige data på disse enhetene utgjør en risiko for nøyaktigheten, hemmeligholdet og tilgjengeligheten til informasjonsressurser. Disse risikoene kan omfatte forsvinning eller tyveri av lagringsmedier med konfidensiell informasjon, overføring av skadelig programvare på tvers av alle bedriftens datanettverk via lagringsmediene, og sammenbrudd eller reduksjon i kvaliteten på lagringsmedier som brukes til sikkerhetskopiering.
ISO 27001:2022 vedlegg A 7.10 skisserer trinnene organisasjoner må ta for å sikre sikkerheten til lagringsmedier gjennom hele livssyklusen, fra anskaffelse til avhending. Retningslinjer og kontroller må på plass for å garantere sikkerheten.
Formål med ISO 27001:2022 vedlegg A 7.10
ISO 27001:2022 vedlegg A 7.10 gjør det lettere for organisasjoner å redusere og utrydde risikoer knyttet til uautorisert tilgang, bruk, sletting, endring og overføring av konfidensielle data på lagringsmedieenheter. Den etablerer prosedyrer for å administrere lagringsmedier gjennom hele livssyklusen.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva dekker vedlegg A 7.10?
ISO 27001:2022 vedlegg A 7.10 gjelder både digitale og fysiske lagringsmedier. For eksempel er lagring av data på fysiske dokumenter også omfattet av denne kontrollen.
Sammen med flyttbare lagringsmedier er harddisker som en form for fast lagring også underlagt ISO 27001:2022 vedlegg A 7.10.
Eierskap til vedlegg A 7.10
ISO 27001:2022 vedlegg A 7.10 gir organisasjoner mandat til å opprette og utføre passende prosedyrer, tekniske kontroller og organisasjonsomfattende retningslinjer for bruk av lagringsmedier i henhold til organisasjonens eget klassifiseringsskjema og eventuell datahåndtering krav som juridiske og kontraktsmessige forhold.
Informasjonssikkerhetsledere bør ta ansvar for hele samsvarssyklusen.
Veiledning om ISO 27001:2022 vedlegg A 7.10 Samsvar
Flyttbare lagringsmedier
Flyttbare medier er uunnværlige for mange forretningsoperasjoner og er mye ansatt av personell. De utgjør imidlertid den største risikoen for sensitive data.
ISO 27001:2022 vedlegg A 7.10 angir ti betingelser som organisasjoner må overholde for håndtering av flyttbare lagringsmedier i løpet av livssyklusen:
- Organisasjoner bør lage en policy som fokuserer på anskaffelse, autorisasjon, bruk og avhending av flyttbare lagringsmedier, og informere alt personell og relevante parter om dets eksistens.
- Organisasjoner bør, der det er praktisk og nødvendig, implementere autorisasjonsprosedyrer for å ta flyttbare lagringsmedier ut av bedriftens lokaler. I tillegg bør det føres en logg over fjerninger revisjonssporing.
- Oppbevar alle flyttbare lagringsmedier på et sikkert sted som en safe, tatt i betraktning informasjonsklassifisering nivå tildelt informasjonen og eventuelle miljømessige og fysiske trusler mot media.
- Hvis det er av ytterste viktighet å opprettholde konfidensialiteten og påliteligheten til informasjonen på flyttbare medier, bør kryptografiske metoder brukes for å beskytte mediene mot uautorisert tilgang.
- For å forhindre forringelse av flyttbare lagringsmedier og tap av data, bør informasjonen flyttes til en ny lagringsmedieenhet før risikoen oppstår.
- Det er avgjørende å kopiere og lagre sensitive data på flere lagringsmedier for å redusere sjansen for at kritisk informasjon går tapt.
- For å redusere muligheten for fullstendig tap av data, kan registrering av flyttbare lagringsmedieenheter være en levedyktig løsning.
- Med mindre det er en forretningsmessig nødvendighet, bør ikke USB-porter og SD-kortspor brukes.
- Det er nødvendig å overvåke overføringen av informasjon til eventuelle flyttbare lagringsmedieenheter.
- Ved overføring av informasjon i fysiske dokumenter via post eller bud, er det stor sjanse for uautorisert tilgang. For å motvirke dette bør det iverksettes passende tiltak.
Veiledning om sikker gjenbruk og avhending av lagringsmedier
ISO 27001: 2022 Vedlegg A 7.10 gir veiledning om sikker gjenbruk og avhending av lagringsmedier for å hjelpe organisasjoner med å redusere og kvitte seg med faren for at konfidensialiteten til informasjon blir brutt.
Vedlegg A 7.10 sier at organisasjoner bør lage og gjennomføre planer for resirkulering og avhending av lagringsmedier, med tanke på sensitiviteten til dataene som lagres i lagringsmediene.
Organisasjoner bør vurdere følgende når de setter opp disse tiltakene:
- Hvis en organisasjons interne part skal gjenbruke et lagringsmedium, bør sensitiv informasjon som ligger på det slettes ugjenkallelig eller omformateres før autorisasjon.
- Sikker ødeleggelse av lagringsmedier som er vert for sensitiv informasjon er nødvendig når den ikke lenger er nødvendig. Papirdokumenter kan makuleres og digitalt utstyr kan bli fysisk ødelagt.
- Det bør utvikles et system for å identifisere lagringsmedier som må kasseres.
- Organisasjoner bør utføre due diligence når de velger en ekstern part til å samle inn og kaste lagringsmedier, og sørge for at den valgte leverandøren er kompetent og har de nødvendige kontrollene på plass.
- Dokumentere alle avhendede gjenstander for et revisjonsspor.
- Ved avhending av flere lagringsmedier sammen, bør den kumulative effekten tas i betraktning: Kombinering av ulike deler av data fra hvert lagringsmedium kan resultere i transformasjon av ikke-sensitiv informasjon til sensitivt materiale.
Til slutt gir ISO 27001:2022 vedlegg A 7.10 organisasjoner mandat til å evaluere risikoen for konfidensielle data lagret på skadet utstyr, for å avgjøre om utstyret skal ødelegges eller repareres.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 7.10 erstatter ISO 27001:2013 Vedlegg A 08.3.1, 08.3.2, 08.3.3 og 11.2.5.
Det er fire bemerkelsesverdige forskjeller.
Endringer i struktur
I motsetning til 2013-versjonen, som hadde tre separate kontroller for mediehåndtering, medieavhending og fysisk medieoverføring, kombinerer 2022-versjonen dem under vedlegg A 7.10.
Krav for gjenbruk av lagringsmedier lagt til 2022-versjonen
I motsetning til 2013-versjonen, som kun dekket sikker medieavhending, inkluderer 2022-versjonen også krav til sikker gjenbruk av medier.
Fysiske overføringskrav er mer omfattende i 2013-versjonen
2013-versjonen hadde mer omfattende krav til fysisk overføring av lagringsmedier, inkludert ID-verifisering for kurerer og emballasjestandarder. I motsetning til dette foreslår vedlegg A 7 7.10 i 2022-versjonen bare at organisasjoner opptrer med forsiktighet når de velger kurerer.
Emnespesifikk policy for flyttbare lagringsmedier kreves i 2022-versjonen
Mens 2022- og 2013-versjonene er like når det gjelder krav til flyttbare lagringsmedier, krever 2022-versjonen en emnespesifikk policy for flyttbare lagringsmedier. 2013-versjonen dekket ikke dette kravet.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
ISMS.online har en risikobasert tilnærming, ved å bruke bransjeledende beste praksis og maler, for å hjelpe deg med å oppdage risikoene organisasjonen din er utsatt for og kontrollene som trengs for å administrere dem. Dette bidrar til å redusere både risiko og etterlevelseskostnader.
Kontakt oss nå for å arrangere en demonstrasjon.