- Se ISO 27002:2022 Kontroll 7.2 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 11.1.2 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 11.1.6 for mer informasjon.
Sikre sikker tilgang: ISO 27001 vedlegg A 7.2 Fysiske inngangskontroller
ISO 27001:2022 vedlegg A 7.2 understreker kravet til organisasjoner om å sikre områder gjennom bruk av egnede inngangskontroller og tilgangspunkter.
Hva er ISO 27001:2022 vedlegg A 7.2?
Inngangskontroller og tilgangspunkter er avgjørende for sikkerhetssystemet til enhver bygning. De lar beboere komme inn og ut samtidig som de opprettholder sikkerheten, og kan stoppe de som ikke er autorisert eller ønsket fra å gå inn.
Inngangskontroller
Inngangskontrollsystemer gir tilgang til en bygning ved hjelp av dører og porter, inkludert tastaturer, kortlesere, biometriske skannere og fjernkontroller. I tillegg gir de låsemekanismer for dører og porter, i tillegg til svingkors og svingdører.
Tilgangspunkter
Et tilgangspunkt er en elektronisk enhet som sørger for sikkerhet i store næringsbygg. Den bruker RFID-teknologi for å spore all bevegelse innenfor og ut av lokalene. Tilgangspunktet sender data tilbake til hovedkvarteret, slik at sikkerhetspersonell kan observere når noen går inn eller ut av anlegget og hvilke områder de har tilgang til under oppholdet.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er formålet med ISO 27001:2022 vedlegg A 7.2?
ISO 27001:2022 vedlegg A Kontroll 7.2 garanterer kun autorisert fysisk tilgang til organisasjonens data og andre relaterte eiendeler.
Fysisk sikkerhet er avgjørende for å ivareta konfidensialitet, integritet og tilgjengelighet til informasjonsressurser. Vedlegg A Kontroll 7.2 av ISO 27001: 2022 er primært opptatt av å bevare data og andre relaterte eiendeler fra uautorisert tilgang, tyveri eller tap. Derfor bør nødvendige inngangs- og tilgangspunkter implementeres for å garantere at kun autorisert personell har tilgang sikre områder.
Kontroller bør implementeres for å sikre rimelig sikkerhet for at kun autoriserte personer har fysisk tilgang, og at de er nøyaktig identifisert.
Bruk av låser, nøkler (manuelle og elektroniske), sikkerhetsvakter, overvåkingssystemer og andre barrierer ved innganger og tilgangspunkter bør implementeres. Adgangskontrollsystemer som passord, kortnøkler eller biometriske enheter bør brukes for å sikre sensitive områder i anlegget.
Hva er involvert og hvordan du oppfyller kravene
Organisasjoner må kontrollere og om mulig separere tilgangspunkter som leverings- og lastesoner og andre inngangspunkter til lokalene fra sine IT-fasiliteter for å forhindre uautorisert tilgang, for å oppfylle kravene i vedlegg A 7.2 implementering. Disse områdene bør begrenses til kun autorisert personell.
ISO 27001:2022-dokumentet gir implementeringsveiledning for vedlegg A 7.2, som hjelper til med å oppfylle kravene til personell, besøkende og leveringsfolk. For å se disse retningslinjene, gå til den reviderte versjonen av standarden.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27001:2013
Annex A 7.2 i ISO 27001:2022 er ikke et nytt mål, men snarere en kombinasjon av Annex A Controls 11.1.2 og 11.1.6 fra ISO 27001:2013. Disse to vedlegg A-kontroller er revidert i ISO 27001:2022 for å gjøre det mer intuitivt enn ISO 27001:2013.
Vedlegg A Kontroll 11.1.2 – Fysiske inngangskontroller krever at sikre områder sikres med riktige inngangskontroller, slik at kun autorisert personell kan få tilgang. Denne delen av standarden skisserer tiltakene organisasjoner kan iverksette for å sikre at kun de som har tillatelse kan gå inn for spesifikke formål.
Forskriften krever at tofaktorautentisering skal implementeres for at autorisert personell skal få tilgang til informasjonssikkerhetssensitive områder, med en fysisk loggbok eller elektronisk revisjonsspor for å støtte det.
Vedlegg A Kontroll 11.1.6 – Leverings- og lasteområder fastsetter at tilgang til disse områdene skal begrenses til kun autorisert personell. Det anbefales at de utformes slik at de er adskilt fra driftsområder, og dermed hindrer leveringspersonell i å få tilgang til andre deler av bygget.
Til syvende og sist er vedlegg A-kontroll 7.2 og vedlegg A-kontroll 11.1.2 og 11.1.6 sammenlignbare i hovedsak. Den største forskjellen er at vedlegg A 11.1.2 og vedlegg A 11.1.6 ble slått sammen for økt brukervennlighet.
I 2022-versjonen av ISO 27001 ble en attributttabell og kontrollformål inkludert, som var fraværende i kontrollene til 2013-versjonen.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvem er ansvarlig for denne prosessen?
Kontroll av fysisk tilgang er avgjørende for sikkerheten til enhver organisasjon eller virksomhet. Det er viktig å sikre at ingen uautorisert personell kommer inn i lokalene. Det er derfor viktig å gjennomføre strenge tiltak.
Sikkerhetsavdelingen fører tilsyn med alle fysiske sikkerhetsaspekter, som for eksempel inngangskontroll. Skulle de mangle nødvendig kompetanse eller ressurser til å håndtere dette, kan de overdra myndighet til en annen avdeling.
IT-team er også avgjørende for fysisk sikkerhet. De garanterer at teknologisystemene som brukes for fysisk sikkerhet er aktuelle og sikre. For eksempel, hvis organisasjonen din har et inntrengningsdeteksjonssystem (IDS) ved inngangen, men programvaren ikke har blitt fornyet på måneder, kan det hende at den ikke er effektiv mot inntrengere.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hva betyr disse endringene for deg?
Organisasjonen din trenger ikke å endre informasjonssikkerhetspraksisen i vesentlig grad, ettersom den reviderte ISO 27001:2022-standarden bare ble minimalt justert.
Hvis du har en ISO 27001:2013-sertifisering, vil du oppdage at din nåværende tilnærming til informasjonssikkerhetsadministrasjon er i samsvar med de nye standardene.
Hvis du starter fra begynnelsen, bør du gjøre deg kjent med samsvarsveiledningen i den nye standarden.
Hvordan ISMS.Online Hjelp
Vår plattform gir brukere tilgang til all relevant dokumentasjon og ressurser, for eksempel retningslinjer, prosedyrer, standarder, retningslinjer og informasjon om samsvarsprosesser.
ISMS.online er perfekt for bedrifter som ønsker å:
- Administrer ISO-sertifiseringsprosessen mer effektivt.
- Sikre kundetilfredshet med vårt bevis på overholdelse av ISO 27001.
- Maksimer produksjonen ved å bruke ett system for alle revisjoner og kontroller.
- Sikre enhetlig ekspertisestyring på tvers av virksomheten for å øke kundetilfredsheten.
Plattformen vår tilbyr tilpassede dashbord som gir deg sanntidsinnsikt i overholdelsesstatusen din.
Overvåk og administrer ISO 27001:2022-samsvarsreisen på ett sted: revisjoner, gapanalyse, opplæringsstyring, risikovurdering og mer.
Kontakt oss nå for å planlegge en demonstrasjon.