- Se ISO 27002:2022 Kontroll 7.3 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 11.1.3 for mer informasjon.
Hva er ISO 27001:2022 vedlegg A 7.3?
ISO 27001: 2022 Vedlegg A 7.3 skisserer kravet til å bygge og utføre fysisk sikkerhet for kontorer, kamre og spillesteder.
Denne kontrollen oppfordrer organisasjoner til å iverksette passende tiltak for å sikre mot uautorisert tilgang til rom, kontorer og fasiliteter, spesielt når arbeider med informasjonssikkerhet. Slike tiltak kan omfatte låser, alarmer, sikkerhetsvakter eller andre egnede midler for å beskytte mot informasjonssikkerhetsproblemer.
Fysisk sikkerhet for kontorer, rom og fasiliteter forklart
Fysisk sikkerhet er en viktig komponent i informasjonssikkerhet. De to må tas i betraktning sammen. Informasjonssikkerhet er sikring av data og systemer mot uautorisert tilgang, bruk, avsløring, avbrudd, endring eller ødeleggelse.
Fysisk sikkerhet innebærer å iverksette tiltak for å beskytte personell, fasiliteter, utstyr og andre eiendeler mot potensielle farer, slik som innbrudd, sabotasje, terrorisme og andre kriminelle aktiviteter, ved å redusere de tilhørende risikoene.
Å avgjøre om du har et informasjonssensitivt sted er det første trinnet fysisk sikkerhet. Dette kan være kontorer, rom eller fasiliteter med datamaskiner som inneholder ømfintlige data, eller de med personell som har tilgang til delikat informasjon.
Låser og nøkler
Sikre alle dører, vinduer og skap; fest sikkerhetsforseglinger til bærbare datamaskiner og mobile enheter; installer passordbeskyttelse for datamaskiner; kryptere sensitive data.
CCTV
Kameraer med lukket krets gir en effektiv måte å overvåke aktivitet på eiendommen eller i bestemte områder av en struktur.
Innbruddsalarmer
Bevegelse, varme eller lyd kan utløse disse alarmene, som varsler deg om eventuelle inntrengere eller uautoriserte personer i et område (f.eks. en sikkerhetsalarm som går hvis noen prøver å bryte seg inn på kontoret).
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er formålet med ISO 27001:2022 vedlegg A 7.3?
Målet med ISO 27001:2022 vedlegg A Kontroll 7.3 er å beskytte organisasjonens informasjon og andre tilknyttede eiendeler i kontorer, rom og fasiliteter mot uautorisert fysisk tilgang, skade og forstyrrelser.
Hovedmålet med ISO 27001:2022 vedlegg A 7.3 er å redusere risikoen for uautorisert fysisk tilgang til kontorer, rom og fasiliteter til et akseptabelt nivå ved å:
- Det er viktig å forhindre at uvedkommende kommer inn på kontorer, rom og fasiliteter. Alt personell må være autorisert før de kan få tilgang.
- Forhindre skade eller forstyrrelse av organisasjonens data og andre relaterte eiendeler innenfor arbeidsplassområder, rom og fasiliteter.
- Sørg for at informasjonssikkerhetssensitive områder er diskrete slik at det er vanskelig å skjønne formålet.
- Minimere sjansen for tyveri eller tap av eiendom i kontorer, rom og fasiliteter.
- Sikre identifikasjon av personell som er autorisert for fysisk tilgang via en kombinasjon av uniformer, elektroniske dørinngangssystemer og besøkskort.
- Der det er mulig, bør CCTV eller andre overvåkingssystemer implementeres for å sikre sikkerhet i vitale områder som dører/utganger.
Vedlegg A 7.3 gjelder alle strukturer som benyttes av organisasjonen for kontorer eller administrative operasjoner. Det dekker også rom der konfidensielle data oppbevares eller behandles, inkludert områder der sensitive samtaler forekommer.
Dette omfatter ikke mottaksarealer eller andre offentlige deler av en organisasjons lokaler, med mindre de benyttes til administrative formål, for eksempel når et mottak fungerer som kontor.
Hva er involvert og hvordan du oppfyller kravene
Vedlegg A 7.3 i ISO 27001:2022 fastsetter at rom og fasiliteter skal ivaretas. For å oppfylle disse kravene bør følgende sikkerhetstiltak tas:
- Lokalisering av kritiske anlegg for å hindre offentlig tilgang.
- Sørg for at bygninger ikke er påtrengende og viser minimal indikasjon på formålet, uten tydelige skilt verken innenfor eller utenfor bygningen som viser at informasjonsbehandlingsaktiviteter finner sted.
- Sett opp systemer for å beskytte konfidensielle data og aktiviteter fra å bli hørt eller sett fra utsiden. Elektromagnetisk skjerming kan være nødvendig.
- Sørg for at kataloger, interne telefonbøker og elektroniske kart som viser hvor konfidensiell informasjonsbehandling er tilgjengelig for enhver uautorisert person.
For ytterligere detaljer om å nå kontrollen fastsatt i ISO 27001:2022-standarden, se dokumentet.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 7.3 erstatter ISO 27001:2013 Vedlegg A 11.1.3 i den reviderte 2022-standarden.
Vedlegg A 7.3 er ikke en ny kontroll. Det er en modifisert versjon av vedlegg A 11.1.3 i ISO 27001:2013. Det viktigste skillet mellom 2013- og 2022-versjonene er at vedlegg A-kontrollnummeret er endret. Bortsett fra denne justeringen forblir konteksten og den generelle betydningen uendret, til tross for omformuleringen.
2022-vedlegg A-kontrollen inneholder en attributttabell og formålserklæring, som er fraværende i 2013-versjonen.
Hvem er ansvarlig for denne prosessen?
Den første personen som konsulterer når man ordner kontorer, rom og fasiliteter, er vanligvis lederen eller direktøren med ansvar for bygningen og dens innhold.
Sikkerhetssjefen fører tilsyn med sikkerheten på alle områder, inkludert kontorer og fasiliteter. Han/hun følger med på alt personell med tilgang til disse områdene og sørger for at bruken er hensiktsmessig.
I visse tilfeller kan flere personer være ansvarlige for sikkerheten. For eksempel, der en person har tilgang til sensitiv informasjon som kan være til skade for virksomheten eller andre ansattes privatliv, er det viktig å ha flere personer involvert i deres sikkerhet.
HR-avdelingen er ansvarlig for ansattes forsikringer og ytelser, mens IT administrerer datasystemer og nettverk. Begge avdelingene er involvert i å administrere fysisk sikkerhet, samt cybersikkerhetsproblemer som phishing-svindel og uautoriserte tilgangsforsøk.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hva betyr disse endringene for deg?
Ingen vesentlige modifikasjoner er nødvendige for å samsvare med den mest oppdaterte versjonen av ISO 27001:2022.
Evaluer din eksisterende informasjonssikkerhetsløsning for å sikre at den oppfyller den fornyede standarden. Hvis du har endret noe siden 2013 da den siste utgaven ble utgitt, bør du vurdere å gå gjennom disse endringene for å avgjøre om de fortsatt er gjeldende eller må revideres.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.Online Hjelp
Våre plattformen er perfekt for nybegynnere innen informasjonssikkerhet eller de som raskt ønsker å få en forståelse av ISO 27001:2022 uten å måtte investere tid i å studere fra begynnelsen eller gjennomgå lange dokumenter.
ISMS.online er utstyrt med alle verktøyene som trengs for å oppfylle overholdelse, inkludert personlige dokumentmaler, sjekklister og retningslinjer.
Kontakt oss nå for å planlegge en demonstrasjon.