ISO 27001:2022 Vedlegg A Kontroll 7.1

Fysiske sikkerhetsomkretser

Bestill en demonstrasjon

virksomhet,kommunikasjon,forbindelse,arbeid,konsept

Hva er ISO 27001:2022 vedlegg A 7.1?

ISO 27001: 2022 Vedlegg A 7.1 krever at organisasjoner etablerer sikkerhetsperimeter og bruker dem til å beskytte informasjon og tilhørende eiendeler.

Informasjons- og informasjonssikkerhetsressurser forklart

Informasjon kan beskrives som enhver data, kunnskap eller innsikt som har verdi for en organisasjon eller bedrift. Dette inkluderer alle opplysninger innhentet om enkeltpersoner, kunder, partnere, ansatte og andre interessenter.

Informasjonssikkerhetsressurser kan grovt klassifiseres i:

Data

Data og informasjon blir ofte forvekslet med hverandre, men det er en tydelig forskjell. Data er rå, ubehandlet og generelt sett til ingen nytte i sin nåværende form. På den annen side er informasjon data som er ordnet i et brukbart format, for eksempel en e-post eller et telefonnummer.

Infrastruktur

Infrastruktur omfatter alle komponenter i et nettverk – servere, skrivere, rutere og mer – for å skape et sammenhengende system.

Programvareinfrastruktur, som f.eks operativsystemer og applikasjoner, må beskyttes mot cybertrusler, akkurat som maskinvare gjør. For å unngå utnyttelse av ondsinnede hackere som søker tilgang til sensitive data, må begge oppdateres jevnlig med oppdateringer og rettinger for eventuelle sårbarheter som er utsatt av hackere.

Fysiske sikkerhetsgrenser forklart

Fysisk sikkerhet refererer til de fysiske tiltakene som ivaretar en organisasjons ressurser og lokaler. Det er en grunnleggende og uunnværlig del av informasjonssikkerhet. Det innebærer mer enn bare å låse døren; det innebærer også å være klar over hvem som har tilgang til hva, når, hvor og hvordan.

Fysiske sikkerhetsomkrets identifiserer de fysiske grensene til en bygning eller et område og kontrollerer tilgangen til den. Gjerder, vegger, porter og andre barrierer kan brukes for å hindre uautorisert adgang av personer eller kjøretøy. Videre kan elektronisk overvåkingsutstyr som CCTV-kameraer brukes til å overvåke aktivitet utenfor anlegget.

Fysiske sikkerhetsomkretser tilbyr det første laget av beskyttelse mot utenforstående som forsøker å få tilgang til datasystemet ditt via en kablet eller trådløs tilkobling i en bedrift. De kombineres ofte med ytterligere informasjonssikkerhetskontroller, for eksempel identitetsadministrasjon, tilgangskontroll og inntrengningsdeteksjonssystemer.

Gå til emnet

Veiledning om ISO 27001:2022 vedlegg A 7.1

ISO 27001:2022 vedlegg A 7.1 garanterer at en organisasjon kan vise at den har passende fysiske sikkerhetsgrenser på plass for å stoppe uautorisert fysisk tilgang til informasjon og andre relaterte eiendeler.

Dette innebærer å ta skritt for å forhindre:

  • Uautorisert adgang til bygninger, rom eller områder som inneholder informasjonsressurser er forbudt.

  • Fjerning av eiendeler uten tillatelse fra lokalene er uakseptabelt.

  • Uautorisert bruk av lokaler, slik som datamaskiner og relaterte enheter, er ikke tillatt.

  • Uautorisert tukling med elektronisk kommunikasjonsutstyr, som telefoner, fakser og dataterminaler, er ikke tillatt.

Det er mulig å implementere fysiske sikkerhetsperimeter på to forskjellige måter:

Fysisk tilgangskontroll – sikrer adgang til anlegg og bygninger og bevegelse innenfor disse. Dette inkluderer låsing av dører, alarmer, gjerder og bommer.

Maskinvaresikkerhet – gir kontroll over fysisk utstyr, som datamaskiner, skrivere og skannere, som behandler data som inneholder sensitiv informasjon.

Denne kontrollen hjelper beskytte informasjon og andre relaterte eiendeler, for eksempel konfidensielle dokumenter, poster og utstyr, ved å forhindre uautorisert bruk av plass, utstyr og forsyninger.

Hva er involvert og hvordan du oppfyller kravene

Retningslinjer som skal tas i betraktning for fysiske sikkerhetsomkretser bør vedtas der det er mulig:

  • Etablere sikkerhetsbarrierer og finne nøyaktig plassering og styrke for hver i tråd med informasjonssikkerhetsbestemmelser vedrørende ressursene innenfor grensen.

  • Det er viktig å sikre den fysiske sikkerheten til en bygning eller et område som inneholder informasjonsbehandlingssystemer, uten hull eller svake punkter i omkretsen der et innbrudd kan forenkles.

  • De ytre overflatene på stedet, inkludert tak, vegger, tak og gulv, må være av solid konstruksjon, og alle utvendige dører bør være utstyrt med kontrollmekanismer som stenger, alarmer og låser for å hindre uautorisert adgang.

  • Sørg for at vinduer og dører er låst når de ikke er opptatt, og vurder ekstern sikkerhet for vinduer, spesielt i første etasje; ventilasjon må også tas i betraktning.

For ytterligere innsikt i hva som forventes for samsvar med ISO 27001:2022-standarden, se den tilhørende dokumentasjonen.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 7.1 erstatter ISO 27001:2013 Vedlegg A 11.1.1; konteksten og betydningen forblir stort sett like, om enn formulert annerledes.

2022-versjonen så en reduksjon i implementeringskrav sammenlignet med tidligere kontroll.

Vedlegg A 7.1 mangler kravene beskrevet i vedlegg A 11.1.1, som er som følger:

  • Det bør være et bemannet resepsjonsområde eller annen måte å administrere fysisk inngang til stedet eller bygningen.

  • Kun autorisert personell skal tillates adgang til tomter og bygninger.

  • Konstruer fysiske barrierer, når det er aktuelt, for å hindre uautorisert fysisk tilgang og avverge miljøforurensning.

  • Det er nødvendig å installere inntrengerdeteksjonssystemer som oppfyller nasjonale, regionale eller internasjonale standarder og teste dem regelmessig for å sikre alle ytterdører og tilgjengelige vinduer.

  • Alle ubebodde områder bør til enhver tid være utstyrt med alarmsystem.

  • Vi bør sørge for dekning av andre områder, som data- og kommunikasjonsrom.

  • Organisasjonen bør holde sine informasjonsbehandlingsfasiliteter fysisk atskilt fra de som administreres av eksterne kilder.

Ingen utelatelse reduserer effektiviteten til den nye ISO 27001:2022-standarden; i stedet ble de eliminert for å gjøre kontrollen enklere å bruke og forstå.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvem er ansvarlig for denne prosessen?

De Chief Information Officer (CIO) er leder ansvarlig for å ivareta bedriftens data og systemer. De samarbeider med andre ledere for å vurdere sikkerhet når de tar forretningsbeslutninger, for eksempel finansdirektøren og administrerende direktør. Implementering av retningslinjer og prosedyrer for å beskytte selskapets informasjon er en sentral del av CIOs rolle.

Økonomisjefen har en rolle i å bestemme fysiske sikkerhetsomkretser. I samarbeid med andre C-suite-ledere, inkludert CIO, bestemmer de hvor mye de skal investere i fysiske sikkerhetstiltak som overvåkingskameraer, tilgangskontroller og alarmer.

Hva betyr disse endringene for deg?

ISO 27001:2022 er ikke en større overhaling, så ingen vesentlige endringer er nødvendige for å overholde.

Det er verdt å undersøke din nåværende implementering for å sikre at den er i tråd med de nye kravene. Spesielt hvis det ble gjort endringer siden versjonen av 2013. Det er verdt å revurdere disse endringene for å finne ut om de fortsatt er gyldige eller må endres.

Hvordan ISMS.Online Hjelp

ISMS.online kan hjelpe til med å bevise samsvar med ISO 27001 ved å tilby et online system som muliggjør lagring av dokumenter på ett enkelt tilgjengelig sted. Det forenkler også utvikling av sjekklister for hvert dokument, og letter gjennomgang og endring av dokumenter.

Vil du oppleve hvordan det fungerer?

Kontakt oss i dag for reservere en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer