ISO 27001:2022 Vedlegg A Kontroll 7.3

Sikring av kontorer, rom og fasiliteter

Bestill en demonstrasjon

gruppe,unge,bedrifter,mennesker,jobber,sammen,i,moderne

Hva er ISO 27001:2022 vedlegg A 7.3?

ISO 27001: 2022 Vedlegg A 7.3 skisserer kravet til å bygge og utføre fysisk sikkerhet for kontorer, kamre og spillesteder.

Denne kontrollen oppfordrer organisasjoner til å iverksette passende tiltak for å sikre mot uautorisert tilgang til rom, kontorer og fasiliteter, spesielt når arbeider med informasjonssikkerhet. Slike tiltak kan omfatte låser, alarmer, sikkerhetsvakter eller andre egnede midler for å beskytte mot informasjonssikkerhetsproblemer.

Fysisk sikkerhet for kontorer, rom og fasiliteter forklart

Fysisk sikkerhet er en viktig komponent i informasjonssikkerhet. De to må tas i betraktning sammen. Informasjonssikkerhet er sikring av data og systemer mot uautorisert tilgang, bruk, avsløring, avbrudd, endring eller ødeleggelse.

Fysisk sikkerhet innebærer å iverksette tiltak for å beskytte personell, fasiliteter, utstyr og andre eiendeler mot potensielle farer, slik som innbrudd, sabotasje, terrorisme og andre kriminelle aktiviteter, ved å redusere de tilhørende risikoene.

Å avgjøre om du har et informasjonssensitivt sted er det første trinnet fysisk sikkerhet. Dette kan være kontorer, rom eller fasiliteter med datamaskiner som inneholder ømfintlige data, eller de med personell som har tilgang til delikat informasjon.

Låser og nøkler

Sikre alle dører, vinduer og skap; fest sikkerhetsforseglinger til bærbare datamaskiner og mobile enheter; installer passordbeskyttelse for datamaskiner; kryptere sensitive data.

CCTV

Kameraer med lukket krets gir en effektiv måte å overvåke aktivitet på eiendommen eller i bestemte områder av en struktur.

Innbruddsalarmer

Bevegelse, varme eller lyd kan utløse disse alarmene, som varsler deg om eventuelle inntrengere eller uautoriserte personer i et område (f.eks. en sikkerhetsalarm som går hvis noen prøver å bryte seg inn på kontoret).

Gå til emnet
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Hva er formålet med ISO 27001:2022 vedlegg A 7.3?

Målet med ISO 27001:2022 vedlegg A Kontroll 7.3 er å beskytte organisasjonens informasjon og andre tilknyttede eiendeler i kontorer, rom og fasiliteter mot uautorisert fysisk tilgang, skade og forstyrrelser.

Hovedmålet med ISO 27001:2022 vedlegg A 7.3 er å redusere risikoen for uautorisert fysisk tilgang til kontorer, rom og fasiliteter til et akseptabelt nivå ved å:

  • Det er viktig å forhindre at uvedkommende kommer inn på kontorer, rom og fasiliteter. Alt personell må være autorisert før de kan få tilgang.

  • Forhindre skade eller forstyrrelse av organisasjonens data og andre relaterte eiendeler innenfor arbeidsplassområder, rom og fasiliteter.

  • Sørg for at informasjonssikkerhetssensitive områder er diskrete slik at det er vanskelig å skjønne formålet.

  • Minimere sjansen for tyveri eller tap av eiendom i kontorer, rom og fasiliteter.

  • Sikre identifikasjon av personell som er autorisert for fysisk tilgang via en kombinasjon av uniformer, elektroniske dørinngangssystemer og besøkskort.

  • Der det er mulig, bør CCTV eller andre overvåkingssystemer implementeres for å sikre sikkerhet i vitale områder som dører/utganger.

Vedlegg A 7.3 gjelder alle strukturer som benyttes av organisasjonen for kontorer eller administrative operasjoner. Det dekker også rom der konfidensielle data oppbevares eller behandles, inkludert områder der sensitive samtaler forekommer.

Dette omfatter ikke mottaksarealer eller andre offentlige deler av en organisasjons lokaler, med mindre de benyttes til administrative formål, for eksempel når et mottak fungerer som kontor.

Hva er involvert og hvordan du oppfyller kravene

Vedlegg A 7.3 i ISO 27001:2022 fastsetter at rom og fasiliteter skal ivaretas. For å oppfylle disse kravene bør følgende sikkerhetstiltak tas:

  • Lokalisering av kritiske anlegg for å hindre offentlig tilgang.

  • Sørg for at bygninger ikke er påtrengende og viser minimal indikasjon på formålet, uten tydelige skilt verken innenfor eller utenfor bygningen som viser at informasjonsbehandlingsaktiviteter finner sted.

  • Sett opp systemer for å beskytte konfidensielle data og aktiviteter fra å bli hørt eller sett fra utsiden. Elektromagnetisk skjerming kan være nødvendig.

  • Sørg for at kataloger, interne telefonbøker og elektroniske kart som viser hvor konfidensiell informasjonsbehandling er tilgjengelig for enhver uautorisert person.

For ytterligere detaljer om å nå kontrollen fastsatt i ISO 27001:2022-standarden, se dokumentet.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 7.3 erstatter ISO 27001:2013 Vedlegg A 11.1.3 i den reviderte 2022-standarden.

Vedlegg A 7.3 er ikke en ny kontroll. Det er en modifisert versjon av vedlegg A 11.1.3 i ISO 27001:2013. Det viktigste skillet mellom 2013- og 2022-versjonene er at vedlegg A-kontrollnummeret er endret. Bortsett fra denne justeringen forblir konteksten og den generelle betydningen uendret, til tross for omformuleringen.

2022-vedlegg A-kontrollen inneholder en attributttabell og formålserklæring, som er fraværende i 2013-versjonen.

Hvem er ansvarlig for denne prosessen?

Den første personen som konsulterer når man ordner kontorer, rom og fasiliteter, er vanligvis lederen eller direktøren med ansvar for bygningen og dens innhold.

Sikkerhetssjefen fører tilsyn med sikkerheten på alle områder, inkludert kontorer og fasiliteter. Han/hun følger med på alt personell med tilgang til disse områdene og sørger for at bruken er hensiktsmessig.

I visse tilfeller kan flere personer være ansvarlige for sikkerheten. For eksempel, der en person har tilgang til sensitiv informasjon som kan være til skade for virksomheten eller andre ansattes privatliv, er det viktig å ha flere personer involvert i deres sikkerhet.

HR-avdelingen er ansvarlig for ansattes forsikringer og ytelser, mens IT administrerer datasystemer og nettverk. Begge avdelingene er involvert i å administrere fysisk sikkerhet, samt cybersikkerhetsproblemer som phishing-svindel og uautoriserte tilgangsforsøk.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hva betyr disse endringene for deg?

Ingen vesentlige modifikasjoner er nødvendige for å samsvare med den mest oppdaterte versjonen av ISO 27001:2022.

Evaluer din eksisterende informasjonssikkerhetsløsning for å sikre at den oppfyller den fornyede standarden. Hvis du har endret noe siden 2013 da den siste utgaven ble utgitt, bør du vurdere å gå gjennom disse endringene for å avgjøre om de fortsatt er gjeldende eller må revideres.

Hvordan ISMS.Online Hjelp

Vår plattformen er perfekt for nybegynnere innen informasjonssikkerhet eller de som raskt ønsker å få en forståelse av ISO 27001:2022 uten å måtte investere tid i å studere fra begynnelsen eller gjennomgå lange dokumenter.

ISMS.online er utstyrt med alle verktøyene som trengs for å oppfylle overholdelse, inkludert personlige dokumentmaler, sjekklister og retningslinjer.

Kontakt oss nå for å planlegge en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer