ISO 27001:2022 Vedlegg A Kontroll 6.7

Hva er formålet med ISO 27001:2022 vedlegg A 6.7?

Målet med ISO 27001:2022 vedlegg A 6.7 er å garantere eksternt personell har de nødvendige tilgangskontrollene på plass for å sikre konfidensialitet, integritet og tilgjengelighet til konfidensiell eller proprietær informasjon, prosedyrer og systemer fra uautorisert tilgang eller avsløring av uautoriserte personer.

Organisasjoner må sikre informasjonssikkerhet når personell opererer eksternt. Derfor bør de utstede en skreddersydd policy angående fjernarbeid som fastsetter gjeldende vilkår og grenser for datasikkerhet. Denne policyen bør spres til alt personell, inkludert instruksjoner om hvordan man bruker fjerntilgangsteknologier sikkert og trygt.

Denne policyen tar sannsynligvis opp:

• Forholdene for fjernarbeid er tillatt.
• Prosesser for å sikre at eksterne arbeidere har tilgang til konfidensiell informasjon.
• Å sikre at informasjon er ivaretatt når den overføres mellom ulike fysiske steder, innebærer å følge visse prosedyrer.

Det er viktig å etablere en klar system for rapportering av hendelser, inkludert riktig kontaktinformasjon. Dette kan bidra til å forhindre sikkerhetsbrudd eller andre hendelser.

Retningslinjene bør også dekke kryptering, brannmurer, oppdateringer av antivirusprogramvare og instruksjoner fra ansatte om hvordan man trygt kan bruke eksterne tilkoblinger.

Hva er involvert og hvordan du oppfyller kravene

For å overholde vedlegg A 6.7, bør organisasjoner som tilbyr fjernarbeid utstede en policy angående fjernarbeid som spesifiserer relaterte forskrifter og grenser.

Politikken bør vurderes med jevne mellomrom, spesielt når teknologi eller lovgivning endres.

Alt personell, entreprenører og enheter involvert i fjernarbeidsaktiviteter bør informeres om retningslinjene.

Retningslinjene bør dokumenteres, gjøres tilgjengelige for interessenter, som regulatorer og revisorer, og holdes oppdatert.

Organisasjoner må sørge for at de har de nødvendige sikkerhetstiltakene for å sikre sensitiv eller konfidensiell informasjon som overføres eller lagres elektronisk under fjernoperasjoner.

I samsvar med vedlegg A 6.7, bør følgende tas i betraktning:

• Vurder den fysiske sikkerheten til det eksterne arbeidsstedet, både eksisterende og foreslått, som omfatter sikkerheten til lokaliteten, området rundt og rettssystemene i regionene der personalet er basert.
• Regler for sikre fysiske omgivelser, som låsbare arkivskap, sikker transport mellom nettsteder, forskrifter for fjerntilgang, oversiktlig skrivebord, utskrift og avhending av data og relaterte eiendeler, samt rapportering om sikkerhetshendelser, må implementeres.
• De forventede fysiske miljøene for fjernarbeid.
• Sikker kommunikasjon må sikres, med hensyn til organisasjonens behov for fjerntilgang, sensitiviteten til dataene som overføres, og sårbarheten til systemene og applikasjonene.
• Fjerntilgang, for eksempel virtuell skrivebordstilgang, muliggjør behandling og lagring av informasjon på personlige enheter.
• Faren for uautorisert tilgang til data eller eiendeler fra enkeltpersoner utenfor det eksterne arbeidsområdet – som slektninger og venner – er reell.
• Risikoen for uautorisert tilgang til data eller eiendeler av personer i offentlige områder er en bekymring.
• Bruk av både hjemmenettverk og offentlige nettverk, samt regler eller forbud knyttet til oppsett av trådløse nettverkstjenester, er nødvendig.
• Å bruke sikkerhetstiltak, som brannmurer og beskyttelse mot skadelig programvare, er viktig.
• Sørg for at systemer kan distribueres og initieres eksternt med sikre protokoller.
• Sikre autentiseringsmekanismer må aktiveres for å gi tilgangsprivilegier, med tanke på følsomheten til enkeltfaktorautentiseringsmekanismer når ekstern tilgang til organisasjonens nettverk er autorisert.

Retningslinjer og tiltak som skal tas i betraktning bør omfatte:

• Organisasjonen skal levere egnet utstyr og lagermøbler for fjernarbeid, og forby bruk av privateid utstyr som ikke er under dens kontroll.
• Denne jobben innebærer følgende: å definere tillatt arbeid, klassifisere informasjonen som kan holdes, og autorisere eksterne arbeidere til å få tilgang til interne systemer og tjenester.
• Det bør gis opplæring for de som jobber eksternt og de som tilbyr støtte. Dette bør dekke hvordan man trygt kan drive virksomhet utenfor kontoret.
• Det er viktig å sikre at egnet kommunikasjonsutstyr er tilgjengelig, for eksempel å kreve enhetsskjermlåser og inaktivitetstidtakere for ekstern tilgang.
• Aktivering av enhetsposisjonssporing er mulig.
• Installasjon av fjernsletting er et must.
• Fysisk sikkerhet.
• Retningslinjer og regler vedrørende familie- og besøkendes tilgang til utstyr og data skal følges.
• Virksomheten tilbyr maskinvare- og programvarestøtte og vedlikehold.
• Tilveiebringelse av forsikring.
• Protokollen for sikkerhetskopiering av data og kontinuitet i driften.
• Revisjon og sikkerhetsovervåking.
• Ved avslutning av fjernarbeid skal autoritet og tilgangsrettigheter tilbakekalles og alt utstyr returneres.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 6.7 er en tilpasning av vedlegg A 6.2.2 fra ISO 27001:2013 og ikke et nytt element.

ISO 27001:2022 vedlegg A 6.7 og 6.2.2 deler mange likheter, selv om nomenklaturen og ordlyden er forskjellige. I ISO 27001:2013 omtales 6.2.2 som fjernarbeid, mens 6.7 er kjent som fjernarbeid. Denne endringen gjenspeiles i den nye versjonen av standarden, som erstatter fjernarbeid med fjernarbeid.

I vedlegg A 6.7 til ISO 27001:2022 skisserer standarden hva som kvalifiserer som fjernarbeid, inkludert fjernarbeid – det første kontrollnavnet i ISO 27001:2013-versjonen.

Versjon 2022 av implementeringsretningslinjene er stort sett like, selv om språket og begrepene er forskjellige. For å garantere at brukerne av standarden forstår, benyttes brukervennlig språk.

Noen tillegg ble gjort i vedlegg A 6.7, og noen slettinger skjedde i 6.2.2.

Lagt til ISO 27001:2022 vedlegg A 6.7 Fjernarbeid

• Sørg for fysisk sikkerhet med låsbare arkivskap, gi sikker transport og tilgangsinstruksjoner, beordre klare skrivebordspolicyer, skissere utskrifts-/avhendingsprotokoller for informasjon/ressurser, og implementer et hendelsesresponssystem.
• Det er forventet at folk vil jobbe eksternt. Fysiske forhold forventes.
• Risikoen for uautorisert tilgang til informasjon eller ressurser fra fremmede på offentlige områder.
• Sikre metoder for ekstern distribusjon og oppsett av systemer.
• Sikre mekanismer er på plass for å autentisere og tillate tilgangsrettigheter, tar hensyn til følsomheten til enkeltfaktorautentiseringsmekanismer når ekstern tilgang til organisasjonens nettverk er aktivert.

Fjernet fra ISO 27001:2013 vedlegg A 6.2.2 Fjernarbeid

• Implementering av hjemmenettverk og forskrifter eller begrensninger for konfigurering av trådløse nettverkstjenester er nødvendig.
• Retningslinjer og prosedyrer for å redusere tvister angående rettigheter til åndsverk utviklet på privateid utstyr bør innføres.
• Å få tilgang til privateide maskiner (for å sikre sikkerheten eller for etterforskningsformål) kan være forbudt ved lov.
• Organisasjoner kan være ansvarlige for programvarelisensiering på arbeidsstasjoner som er privateid av enten deres ansatte eller eksterne brukere.

ISO 27001:2022 gir uttalelser om formål og attributttabeller for hver kontroll, og hjelper brukerne med å forstå og implementere kontrollene mer effektivt.

ISO 27001:2013-versjonen mangler disse to komponentene.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

Hvem er ansvarlig for denne prosessen?

Den primære plikten til å utforme en informasjonssikkerhetspolitikk for eksterne ansatte ligger hos organisasjonens informasjonssikkerhetsansvarlige. Likevel bør også andre interessenter involveres i prosessen.

IT- og HR-ledere er i fellesskap ansvarlige for å sikre at policyen implementeres og vedlikeholdes, og at ansatte forstår og etterlever den.

Hvis du har et leverandørstyringsprogram, er det sannsynlig at personen som er ansvarlig for å administrere entreprenører og leverandører vil være ansvarlig for å danne en sikkerhetspolicy for eksterne arbeidere i den avdelingen.

Hva betyr disse endringene for deg?

ISO 27001:2022 forblir stort sett uendret; dermed må du bare sørge for at informasjonssikkerhetsprosessene dine er i samsvar med den nye utgivelsen.

Å endre noen kontroller og klargjøre visse krav var hovedendringen. Vedlegg A 6.7 hadde størst effekt – dersom du setter ut drift eller fjernansette personer, må du sørge for at de har passende sikkerhetstiltak.

Hvis organisasjonen din allerede har en ISO 27001-sertifisering, vil prosessen du bruker for å administrere informasjonssikkerhet tilfredsstille det nye regelverket.

Hvis du ønsker å fornye din ISO 27001 sertifisering, trenger du ikke gjøre noe. Bare sørg for at prosedyrene dine fortsatt samsvarer med den nye standarden.

Hvis du starter fra begynnelsen, er det nødvendig å vurdere hvordan du kan sikre din bedrifts data og informasjon mot cyberangrep og andre risikoer.

Det er viktig å ta cyberrisiko på alvor og administrere dem som en del av den overordnede forretningsplanen, i stedet for bare å betrakte dem som et problem for IT- eller sikkerhetsavdelinger.

Hvordan ISMS.online Hjelp

De ISMS.online plattform bistår med alle aspekter av ISO 27001:2022-implementering, fra å utføre risikovurderingsaktiviteter til utforming av retningslinjer, prosedyrer og direktiver for å tilfredsstille standardens spesifikasjoner.

ISMS.online gir en plattform for å dokumentere og dele funn med kolleger. Videre lar den deg generere og lagre sjekklister over alle nødvendige oppgaver for ISO 27001-implementering, slik at du enkelt kan overvåke organisasjonens sikkerhetstiltak.

Vi gir organisasjoner et sett med automatiserte verktøy for å gjøre det enkelt å demonstrere samsvar med ISO 27001.

Kontakt oss nå for å bestille en demonstrasjon.