ISO 27001:2022 Vedlegg A Kontroll 7.10

Lagringsmedium

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Bruken av lagringsmedieenheter, som SSD-er, USB-er, eksterne stasjoner og mobiler, er avgjørende for en rekke viktige informasjonshåndteringsoperasjoner, inkludert sikkerhetskopiering, lagring og overføring av data.

Lagring av sensitive og viktige data på disse enhetene utgjør en risiko for nøyaktigheten, hemmeligholdet og tilgjengeligheten til informasjonsressurser. Disse risikoene kan omfatte forsvinning eller tyveri av lagringsmedier med konfidensiell informasjon, overføring av skadelig programvare på tvers av alle bedriftens datanettverk via lagringsmediene, og sammenbrudd eller reduksjon i kvaliteten på lagringsmedier som brukes til sikkerhetskopiering.

ISO 27001:2022 vedlegg A 7.10 skisserer trinnene organisasjoner må ta for å sikre sikkerheten til lagringsmedier gjennom hele livssyklusen, fra anskaffelse til avhending. Retningslinjer og kontroller må på plass for å garantere sikkerheten.

Formål med ISO 27001:2022 vedlegg A 7.10

ISO 27001:2022 vedlegg A 7.10 gjør det lettere for organisasjoner å redusere og utrydde risikoer knyttet til uautorisert tilgang, bruk, sletting, endring og overføring av konfidensielle data på lagringsmedieenheter. Den etablerer prosedyrer for å administrere lagringsmedier gjennom hele livssyklusen.

Hva dekker vedlegg A 7.10?

ISO 27001:2022 vedlegg A 7.10 gjelder både digitale og fysiske lagringsmedier. For eksempel er lagring av data på fysiske dokumenter også omfattet av denne kontrollen.

Sammen med flyttbare lagringsmedier er harddisker som en form for fast lagring også underlagt ISO 27001:2022 vedlegg A 7.10.

Eierskap til vedlegg A 7.10

ISO 27001:2022 vedlegg A 7.10 gir organisasjoner mandat til å opprette og utføre passende prosedyrer, tekniske kontroller og organisasjonsomfattende retningslinjer for bruk av lagringsmedier i henhold til organisasjonens eget klassifiseringsskjema og eventuell datahåndtering krav som juridiske og kontraktsmessige forhold.

Informasjonssikkerhetsledere bør ta ansvar for hele samsvarssyklusen.

Gå til emnet

Veiledning om ISO 27001:2022 vedlegg A 7.10 Samsvar

Flyttbare lagringsmedier

Flyttbare medier er uunnværlige for mange forretningsoperasjoner og er mye ansatt av personell. De utgjør imidlertid den største risikoen for sensitive data.

ISO 27001:2022 vedlegg A 7.10 angir ti betingelser som organisasjoner må overholde for håndtering av flyttbare lagringsmedier i løpet av livssyklusen:

  1. Organisasjoner bør lage en policy som fokuserer på anskaffelse, autorisasjon, bruk og avhending av flyttbare lagringsmedier, og informere alt personell og relevante parter om dets eksistens.

  2. Organisasjoner bør, der det er praktisk og nødvendig, implementere autorisasjonsprosedyrer for å ta flyttbare lagringsmedier ut av bedriftens lokaler. I tillegg bør det føres en logg over fjerninger revisjonssporing.

  3. Oppbevar alle flyttbare lagringsmedier på et sikkert sted som en safe, tatt i betraktning informasjonsklassifisering nivå tildelt informasjonen og eventuelle miljømessige og fysiske trusler mot media.

  4. Hvis det er av ytterste viktighet å opprettholde konfidensialiteten og påliteligheten til informasjonen på flyttbare medier, bør kryptografiske metoder brukes for å beskytte mediene mot uautorisert tilgang.

  5. For å forhindre forringelse av flyttbare lagringsmedier og tap av data, bør informasjonen flyttes til en ny lagringsmedieenhet før risikoen oppstår.

  6. Det er avgjørende å kopiere og lagre sensitive data på flere lagringsmedier for å redusere sjansen for at kritisk informasjon går tapt.

  7. For å redusere muligheten for fullstendig tap av data, kan registrering av flyttbare lagringsmedieenheter være en levedyktig løsning.

  8. Med mindre det er en forretningsmessig nødvendighet, bør ikke USB-porter og SD-kortspor brukes.

  9. Det er nødvendig å overvåke overføringen av informasjon til eventuelle flyttbare lagringsmedieenheter.

  10. Ved overføring av informasjon i fysiske dokumenter via post eller bud, er det stor sjanse for uautorisert tilgang. For å motvirke dette bør det iverksettes passende tiltak.

Veiledning om sikker gjenbruk og avhending av lagringsmedier

ISO 27001: 2022 Vedlegg A 7.10 gir veiledning om sikker gjenbruk og avhending av lagringsmedier for å hjelpe organisasjoner med å redusere og kvitte seg med faren for at konfidensialiteten til informasjon blir brutt.

Vedlegg A 7.10 sier at organisasjoner bør lage og gjennomføre planer for resirkulering og avhending av lagringsmedier, med tanke på sensitiviteten til dataene som lagres i lagringsmediene.

Organisasjoner bør vurdere følgende når de setter opp disse tiltakene:

  • Hvis en organisasjons interne part skal gjenbruke et lagringsmedium, bør sensitiv informasjon som ligger på det slettes ugjenkallelig eller omformateres før autorisasjon.

  • Sikker ødeleggelse av lagringsmedier som er vert for sensitiv informasjon er nødvendig når den ikke lenger er nødvendig. Papirdokumenter kan makuleres og digitalt utstyr kan bli fysisk ødelagt.

  • Det bør utvikles et system for å identifisere lagringsmedier som må kasseres.

  • Organisasjoner bør utføre due diligence når de velger en ekstern part til å samle inn og kaste lagringsmedier, og sørge for at den valgte leverandøren er kompetent og har de nødvendige kontrollene på plass.

  • Dokumentere alle avhendede gjenstander for et revisjonsspor.

  • Ved avhending av flere lagringsmedier sammen, bør den kumulative effekten tas i betraktning: Kombinering av ulike deler av data fra hvert lagringsmedium kan resultere i transformasjon av ikke-sensitiv informasjon til sensitivt materiale.

Til slutt gir ISO 27001:2022 vedlegg A 7.10 organisasjoner mandat til å evaluere risikoen for konfidensielle data lagret på skadet utstyr, for å avgjøre om utstyret skal ødelegges eller repareres.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 7.10 erstatter ISO 27001:2013 Vedlegg A 08.3.1, 08.3.2, 08.3.3 og 11.2.5.

Det er fire bemerkelsesverdige forskjeller.

Endringer i struktur

I motsetning til 2013-versjonen, som hadde tre separate kontroller for mediehåndtering, medieavhending og fysisk medieoverføring, kombinerer 2022-versjonen dem under vedlegg A 7.10.

Krav for gjenbruk av lagringsmedier lagt til 2022-versjonen

I motsetning til 2013-versjonen, som kun dekket sikker medieavhending, inkluderer 2022-versjonen også krav til sikker gjenbruk av medier.

Fysiske overføringskrav er mer omfattende i 2013-versjonen

2013-versjonen hadde mer omfattende krav til fysisk overføring av lagringsmedier, inkludert ID-verifisering for kurerer og emballasjestandarder. I motsetning til dette foreslår vedlegg A 7 7.10 i 2022-versjonen bare at organisasjoner opptrer med forsiktighet når de velger kurerer.

Emnespesifikk policy for flyttbare lagringsmedier kreves i 2022-versjonen

Mens 2022- og 2013-versjonene er like når det gjelder krav til flyttbare lagringsmedier, krever 2022-versjonen en emnespesifikk policy for flyttbare lagringsmedier. 2013-versjonen dekket ikke dette kravet.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.online har en risikobasert tilnærming, ved å bruke bransjeledende beste praksis og maler, for å hjelpe deg med å oppdage risikoene organisasjonen din er utsatt for og kontrollene som trengs for å administrere dem. Dette bidrar til å redusere både risiko og etterlevelseskostnader.

Kontakt oss nå for å arrangere en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer