ISO 27001:2022 Vedlegg A Kontroll 7.4

Fysisk sikkerhetsovervåking

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

I tilfelle det gis uautorisert tilgang til begrensede fysiske områder som serverrom og IT-utstyrsrom, informasjonskapasitet kan bli kompromittert når det gjelder konfidensialitet, tilgjengelighet, integritet og sikkerhet.

I ISO 27001:2022 vedlegg A 7.4 hindres inntrengere fra å gå inn i sensitive fysiske lokaler uten tillatelse.

Hensikten med ISO 27001:2022 vedlegg A 7.4?

Vedlegg A Kontroll 7.4 krever at organisasjoner implementerer passende overvåkingsverktøy. Dette er for å oppdage og hindre eksterne og interne inntrengere fra å gå inn i begrensede fysiske områder uten tillatelse.

Overvåkingsverktøy som er i stand til å overvåke og registrere tilgangsbegrensede områder beskytter mot risikoer som følge av uautorisert tilgang til begrensede områder, inkludert men ikke begrenset til:

  • Datatyveri.

  • Tap av informasjonsressurser.

  • Økonomisk skade.

  • Fjerning av flyttbare medieressurser for ondsinnede formål.

  • Skadelig programvareinfeksjon av IT-ressurser.

  • Angrep utføres av en inntrenger som bruker løsepengeprogramvare.

Hvem har eierskap til vedlegg A 7.4?

I henhold til ISO 27001 Vedlegg A Kontroll 7.4, overholdelse av denne kontrollen krever identifikasjon av alle restriksjonsområder. Det krever også identifisering av overvåkingsverktøy som er egnet for det spesifikke fysiske området som skal overvåkes.

Derfor må hovedsikkerhetsoffiseren være ansvarlig for implementering, vedlikehold, styring og gjennomgang av overvåkingssystemer på en effektiv måte.

Gå til emnet

Veiledning om hvordan du overholder ISO 27001:2022 vedlegg A 7.4

I henhold til ISO 27001 vedlegg A Kontroll 7.4, må organisasjoner implementere følgende tre trinn for å oppdage og hindre uautorisert tilgang til fasiliteter som inneholder kritiske informasjonsressurser og forhindre at de blir kompromittert.

Sett på plass et videoovervåkingssystem for å holde et øye med situasjonen

For å kontinuerlig overvåke tilgang til begrensede områder som er vert for kritiske informasjonsressurser, bør en organisasjon ha et videoovervåkingssystem, for eksempel CCTV-kameraer. Dette er et eksempel på et slikt system. Videre er det også viktig at dette overvåkingssystemet holder oversikt over alle inn- og utkjøringer i lokalene.

Installere detektorer for å utløse en alarm

Muligheten til å utløse en alarm når en inntrenger kommer inn i de fysiske lokalene gjør at sikkerhetsteamet kan reagere raskt på ethvert sikkerhetsbrudd. Det kan også være en effektiv måte å avskrekke inntrengere fra å komme inn i hjemmet ditt.

Det anbefales at organisasjoner kjøper bevegelses-, lyd- og kontaktdetektorer som vil varsle dem når unormal aktivitet oppdages i organisasjonens fysiske lokaler.

Dette inkluderer, men er ikke begrenset til:

  • En kontaktdetektor bør installeres i miljøet. Når et ukjent objekt eller individ kommer i kontakt med et spesifikt objekt eller bryter kontakt med et bestemt objekt, bør en alarm aktiveres. En kontaktdetektor kan for eksempel konfigureres til å utløse en alarm når kontaktdetektoren kontakter et hvilket som helst vindu eller dør.

  • Bevegelsesdetektorene kan konfigureres til å varsle deg hvis de oppdager bevegelse innenfor deres synsfelt av et objekt som beveger seg i deres synsfelt.

  • En lyddetektor, for eksempel en knuseglassdetektor, kan aktiveres når den registrerer en lyd, noe som kan bidra til å forhindre bilulykker.

Konfigurasjon av alarmer for alle interne lokaler

Det er viktig å sikre at alarmsystemet er riktig konfigurert. Dette vil sikre at alle sensitive områder, inkludert alle ytterdører, vinduer, ubebodde områder og datarom, er innenfor rekkevidden til alarmsystemet. Dette vil forhindre at eventuelle sårbarheter blir utnyttet.

Inntrengere kan for eksempel bruke røykeområder eller innganger til treningsstudioer som angrepsvektorer hvis de ikke overvåkes.

Typer tilgjengelige overvåkingssystemer

Selv ISO 27001 Vedlegg A Kontroll 7.4 gir ikke mandat til at organisasjoner velger ett overvåkingssystem fremfor et annet, det viser flere overvåkingsverktøy som kan brukes separat eller i kombinasjon med andre, inkludert:

  • CCTV kameraer.

  • Sikkerhetsvakter.

  • Innbruddsalarmsystemer.

  • Programvare for fysisk sikkerhet.

ISO 27001:2022 Vedlegg A 7.4 Supplerende veiledning

Følgende hensyn bør vurderes når du implementerer fysiske sikkerhetsovervåkingssystemer i henhold til vedlegg A Kontroll 7.4:

  • Det er viktig å opprettholde konfidensialitet om utformingen og den indre funksjonen til overvåkingssystemene.

  • For å eliminere risikoen for fjerndeaktivering av overvåkingssystemer av ondsinnede parter, bør passende tiltak iverksettes. Disse tiltakene bør iverksettes for å hindre avsløring av overvåkingsaktiviteter, og videofeeder til uautoriserte parter.

  • Det er viktig at alarmsentralen er plassert i et alarmutstyrt område. I tillegg er det vesentlig at den som utløser alarmen har trygg og enkel tilgang til å gå ut av området.

  • En manipulasjonssikker detektor og et alarmsentral bør brukes.

  • Enkeltpersoner bør overvåkes og registreres ved bruk av overvåkingssystemer kun for legitime formål. Denne overvåkingen og registreringen skal være i samsvar med alle gjeldende lover og forskrifter, inkludert databeskyttelseslover. For eksempel EU og Storbritannia GDPR kan kreve at organisasjoner gjennomfører en konsekvensanalyse før de distribuerer CCTV-kameraer. Dessuten bør opptak av videostrømmer overholde datalagringsperiodene fastsatt av gjeldende lokale lover.

Hva er endringene fra ISO 27001:2013?

Det er relevant å merke seg at kontroll 7.4 er en helt ny vedlegg A-kontroll som ikke er adressert i ISO 27001:2013.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Fordelene med ISMS.online

ISMS.online tilbyr et bredt spekter av kraftige verktøy som forenkler implementering, vedlikehold og forbedring av styringssystemet for informasjonssikkerhet (ISMS) for å møte kravene til ISO 27001.

I tillegg til å tilby omfattende verktøy, ISMS.online lar deg lage skreddersydde retningslinjer og prosedyrer skreddersydd for organisasjonens risikoer og krav. Det tillater også samarbeid mellom kolleger og eksterne partnere som leverandører eller tredjepartsrevisorer.

Ta kontakt i dag for å bestill en demo.

Se vår plattform
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer