- Se ISO 27002:2022 Kontroll 7.5 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 11.1.4 for mer informasjon.
ISO 27001 vedlegg A 7.5: Styrking av sikkerheten mot fysiske og miljømessige trusler
Organisasjoner må ta hensyn til risikoen som fysiske trusler mot informasjonsmidlene utgjør.
Slike trusler kan omfatte miljøskade, tyveri, ødeleggelse og kompromittering av dataene. Disse problemene kan alle føre til tap av informasjon og potensialet for at sensitive data blir eksponert.
Naturlige hendelser som jordskjelv, flom og skogbranner, så vel som menneskeskapte katastrofer som sivil uro og kriminelle handlinger, utgjør trusler.
ISO 27001: 2022 Vedlegg A 7.5 krever at organisasjoner vurderer, gjenkjenner og reduserer risikoen for vital fysisk infrastruktur fra fysiske og miljømessige farer.
Formål med ISO 27001:2022 vedlegg A 7.5
ISO 27001:2022 vedlegg A 7.5 gjør det mulig for organisasjoner å vurdere de potensielle risikoene som utgjøres av miljømessige og fysiske trusler, og å redusere eller eliminere disse risikoene ved å implementere passende tiltak.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap til vedlegg A 7.5
ISO 27001: 2022 Vedlegg A 7.5 krever at organisasjoner gjennomfører en omfattende risikovurdering før de utfører fysiske operasjoner, og å implementere passende tiltak proporsjonalt med den identifiserte risikoen.
Sikkerhetssjefer er ansvarlig for å skape, administrere, implementere og vurdere hele prosessen.
Veiledning om ISO 27001:2022 vedlegg A 7.5 Samsvar
ISO 27001:2022 vedlegg A 7.5 skisserer en tredelt strategi for å gjenkjenne og fjerne potensielle farer fra fysiske og miljømessige kilder.
Trinn 1 – Fullfør en risikovurdering
Organisasjoner bør gjennomføre en risikovurdering for å identifisere potensielle fysiske og miljømessige farer som kan finne sted i deres lokaler, og deretter måle de mulige konsekvensene av disse identifiserte fysiske og miljømessige risikoene.
Tatt i betraktning variasjonen av miljøforhold og fysiske risikoer hver lokalitet og infrastruktur kan stå overfor, vil typen trussel og risikonivået som er identifisert variere avhengig av plasseringen.
En eiendom kan være spesielt utsatt for skogbrann, mens en annen kan ligge i et område utsatt for jordskjelv.
Det er viktig at det gjennomføres en risikovurdering før igangsetting av aktiviteter på stedet, i henhold til vedlegg A 7.5.
Trinn 2 – Etabler og bruk kontroller
Gitt typen trussel og den tilhørende risikoen som ble identifisert i utgangspunktet, bør organisasjoner implementere riktige kontroller med tanke på mulige konsekvenser av miljømessige og fysiske trusler.
ISO 27001:2022 vedlegg A 7.5 gir eksempler på kontroller som kan implementeres for å bekjempe ulike trusler:
- Organisasjoner bør installere systemer som kan varsle dem om branner og aktivere brannslokkingssystemer for å beskytte digitale medier og informasjonssystemer fra ødeleggelse.
- Systemer bør implementeres og settes opp for å identifisere flom på steder der data er lagret. I tillegg bør vannpumper klargjøres for å kunne brukes i tilfelle flom.
- Servere og datahåndteringssystemer må sikres mot elektriske overspenninger. Regelmessig vedlikehold og beskyttelse er avgjørende for optimal ytelse.
- Organisasjoner bør regelmessig revisjon og inspisere personer, gjenstander og kjøretøy som kommer inn på kritiske infrastrukturområder.
Trinn 3 – Overvåking
Hold oversikt over fremdriften og foreta justeringer etter behov. Evaluer resultatene regelmessig og gjør endringer for å sikre at målene nås. Sørg for å dokumentere eventuelle endringer for fremtidig referanse.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Supplerende veiledning om vedlegg A 7.5
ISO 27001:2022 vedlegg A 7.5 skisserer fire hensyn som organisasjoner bør ha i tankene.
Konsultasjon med eksperter
Hver miljømessig og fysisk trussel, som giftig avfall, jordskjelv og brann, er forskjellig når det gjelder dens egenskaper, faren den utgjør og tiltakene som må iverksettes.
Organisasjoner bør konsultere spesialistråd om hvordan de kan oppdage, redusere og/eller håndtere risikoer forbundet med disse truslene.
Valg av plassering for lokaler
Tatt i betraktning det lokale terrenget, vannstanden og den tektoniske aktiviteten til et potensielt sted for en bygning kan bidra til å identifisere og eliminere potensielle risikoer tidlig.
Organisasjoner bør tenke på farene ved menneskeskapte katastrofer i det valgte byområdet, for eksempel politisk uro og kriminell oppførsel.
Ekstra lag med sikkerhet
Bruken av sikre lagringsmetoder, som safer, gir et ekstra lag med beskyttelse mot katastrofer som brann og flom, i tillegg til de eksisterende sikkerhetstiltakene.
Forebygging av kriminalitet gjennom miljødesign
ISO 27001:2022 vedlegg A 7.5 foreslår at organisasjoner vurderer dette konseptet når de innfører kontroller for å styrke sikkerheten i lokaler. Denne tilnærmingen kan brukes for å bekjempe urbane trusler som kriminelle aktiviteter, sivil uro og terrorisme.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 7.5 erstatter ISO 27001:2013 Vedlegg A 11.1.4 i den reviderte standarden.
2013-versjonen fokuserte på hvordan organisasjoner bør sette i verk forebyggende tiltak mot fysiske og miljømessige trusler, mens 2022-versjonen er mer omfattende, og skisserer de spesifikke trinnene organisasjoner bør ta for å overholde.
Avslutningsvis skiller to hovedskille seg ut.
2022-versjonen gir råd om møtereglement
2013-utgaven ga ingen veiledning om hvordan organisasjoner kunne gjenkjenne og redusere risikoer forårsaket av miljømessige og fysiske farer.
2022-versjonen skisserer en tre-trinns prosess som organisasjoner må implementere, som begynner med en risikovurdering.
2022-revisjonen oppfordrer organisasjoner til å innføre et ekstra lag med tiltak
Den supplerende veiledningen for 2022 inkluderer bruk av safer og kriminalitetsforebygging gjennom miljødesign som måter å øke sikkerheten mot trusler på.
I 2013 ble det imidlertid ikke tatt ekstra grep.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.online Hjelp
ISMS.online-plattformen tilbyr en rekke potente verktøy for å dokumentere, implementere, bevare og forbedre din styringssystem for informasjonssikkerhet (ISMS) og blir lettere i samsvar med ISO 27001:2022.
Denne omfattende samlingen av verktøy gir et enkelt sted hvor du kan tilpasse et sett med retningslinjer og prosedyrer for å matche organisasjonens spesielle risikoer og nødvendigheter.
Kontakt oss i dag for arrangere en demonstrasjon.