ISO 27001:2022 Vedlegg A Kontroll 7.14

Sikker avhending eller gjenbruk av utstyr

Bestill en demonstrasjon

bunn,visning,av,moderne,skyskrapere,i,virksomhet,distrikt,mot,blått

IT-utstyr som ikke lenger er nødvendig skal enten destrueres, returneres til leieren, gis til tredjepart, resirkuleres eller gjenbrukes til annen forretningsdrift.

Organisasjoner bør beskytte informasjon og lisensiert programvare ved å sikre at den blir slettet eller overskrevet før de kasseres eller gjenbrukes av utstyret. Dette vil bidra til å beskytte konfidensialiteten til dataene som er lagret på enheten.

Hvis en organisasjon ansetter en ekstern leverandør av IT-ressurstjenester for å overføre utdaterte bærbare datamaskiner, skrivere og eksterne stasjoner, kan denne leverandøren få uautorisert tilgang til data som er vert på utstyret.

ISO 27001:2022 vedlegg A 7.14 omhandler hvordan organisasjoner kan bevare konfidensialiteten til data som er lagret på utstyr som er utpekt for avhending eller gjenbruk, ved å implementere effektive sikkerhetstiltak og prosedyrer.

Formål med ISO 27001:2022 vedlegg A 7.14

ISO 27001: 2022 Vedlegg A 7.14 gjør det mulig for organisasjoner å forhindre uautorisert tilgang til ømfintlige data ved å verifisere at all informasjon og programvare som er lisensiert på utstyr er ugjenkallelig slettet eller overskrevet før utstyret kasseres eller overleveres til en tredjepart for gjenbruk.

Eierskap til vedlegg A 7.14

I samsvar med ISO 27001:2022 vedlegg A 7.14, må det etableres en organisasjonsomfattende dataavhending-gjenbruksprosedyre, inkludert identifikasjon av alt utstyr og implementering av passende tekniske avhendingsmekanismer og gjenbruksprosesser.

De Chief Information Officer bør være ansvarlig for å sette opp, iverksette og opprettholde systemer og prosesser for kassering og gjenbruk av utstyr.

Gå til emnet

Veiledning om ISO 27001:2022 vedlegg A 7.14 Samsvar

ISO 27001:2022 vedlegg A 7.14 spesifiserer fire viktige hensyn for samsvar som organisasjoner bør huske på:

Å innta en proaktiv holdning er tilrådelig

Før avhending eller gjenbruk må organisasjoner forsikre seg om hvorvidt utstyret inkluderer evt informasjonskapasitet og lisensiert programvare og sørge for at disse slettes permanent.

Fysisk ødeleggelse eller uopprettelig sletting av data

ISO 27001:2022 vedlegg A 7.14 sier at to tilnærminger kan tas for å sikre sikker og permanent sletting av informasjon om utstyr:

  1. Utstyr som inneholder lagringsmedieenheter som inneholder informasjon, skal destrueres fysisk.

  2. Organisasjoner bør henvise til vedlegg A 7.10 og vedlegg A 8.10 vedr Lagringsmedium og informasjonssletting, henholdsvis for å sikre at all data som er lagret på utstyr blir slettet, overskrevet eller ødelagt på en måte som utelukker gjenfinning av ondsinnede parter.

Alle etiketter og merker bør tas av

Utstyrskomponenter og dataene de inneholder kan merkes eller merkes for å identifisere organisasjonen eller avsløre eiendeler, nettverk eller klassifiseringsnivå for informasjonen. Alle disse etikettene og merkingene bør destrueres permanent.

Fjerning av kontroller

Organisasjoner kan vurdere å avinstallere sikkerhetskontroller, for eksempel tilgangsbegrensninger eller overvåkingssystemer, når de forlater anlegg, gitt følgende forhold:

  • Leieavtalen stiller krav til tilbakelevering av eiendommen.

  • Det er viktig å redusere risikoen for uautorisert tilgang til sensitiv informasjon fra den fremtidige leietakeren.

  • Kan dagens styringer utnyttes ved kommende anlegg.

Supplerende veiledning om vedlegg A 7.14

I tillegg til den generelle veiledningen gir ISO 27001:2022 vedlegg A 7.14 tre spesifikke anbefalinger for organisasjoner.

Skadet utstyr

Når utstyr som inneholder data sendes til reparasjon, kan det være sårbart for uautorisert tilgang fra tredjeparter.

Organisasjoner bør utføre en risikoevaluering, ta hensyn til sensitivitetsnivået til dataene, og vurdere om å ødelegge utstyret vil være et mer levedyktig valg enn reparasjon.

Full-disk kryptering

Å sikre full-disk-kryptering oppfyller de høyeste standardene er avgjørende for å ivareta konfidensialiteten til data. Det skal bemerkes at følgende bør overholdes:

  • Kryptering er pålitelig og beskytter alle aspekter av disken, inkludert restplass.

  • Kryptografiske nøkler bør ha tilstrekkelig lengde til å hindre brute force-angrep.

  • Organisasjoner bør beskytte hemmeligholdet til sine kryptografiske nøkler. Krypteringsnøkkelen bør for eksempel ikke lagres på samme harddisk.

Overskrivingsverktøy

Organisasjoner bør velge en overskrivende tilnærming mens de vurderer følgende kriterier:

  • Informasjonselementet har fått en viss grad av klassifisering.

  • Hvilken type lagringsmedier hvor informasjonen oppbevares er kjent.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 7.14 erstatter ISO 27001:2013 vedlegg A 11.2.7 i den reviderte standarden. ISO 27001:2022-versjonen erstatter ISO 27001:2013-versjonen av standarden, med den nyeste versjonen inkludert oppdateringer til vedlegg A 7.14.

ISO 27001:2022 vedlegg A 7.14 ligner mye på 2013-ekvivalenten. 2022-versjonen har imidlertid mer omfattende krav i den generelle veiledningen.

Sammenlignet med ISO 27001:2013, stiller 2022-versjonen disse kravene:

  • Organisasjoner bør slette alle skilt og tagger som spesifiserer deres organisasjon, nettverk og klassifiseringsnivå.

  • Organisasjoner bør vurdere å eliminere alle kontroller de har etablert ved et anlegg når de reiser.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.Online gir en omfattende tilnærming til implementering av ISO 27001:2022. Den tilbyr en strømlinjeformet prosess som lar brukere raskt og effektivt møte standardene til den internasjonale sikkerhetsstandarden. Med sitt brukervennlige grensesnitt gjør det det enkelt for organisasjoner å etablere og vedlikeholde et robust Styringssystem for informasjonssikkerhet.

Dette nettbaserte systemet lar deg demonstrere at ditt ISMS oppfyller de angitte kriteriene, gjennom effektive prosesser, prosedyrer og sjekklister.

Kontakt oss nå for å arrangere en demonstrasjon.

Vår nylige suksess med å oppnå ISO 27001-, 27017- og 27018-sertifiseringer var i stor grad knyttet til ISMS.online.

Karen Burton
Sikkerhetsanalytiker, Trives med helse

Bestill demoen din

Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer