ISO 27001:2022 Vedlegg A Kontroll 7.5

Beskyttelse mot fysiske og miljømessige trusler

Bestill en demonstrasjon

interiør,av,moderne,flere etasjer,bedriftssenter,med,store,vinduer,og

Organisasjoner må ta hensyn til risikoen som fysiske trusler mot informasjonsmidlene utgjør.

Slike trusler kan omfatte miljøskade, tyveri, ødeleggelse og kompromittering av dataene. Disse problemene kan alle føre til tap av informasjon og potensialet for at sensitive data blir eksponert.

Naturlige hendelser som jordskjelv, flom og skogbranner, så vel som menneskeskapte katastrofer som sivil uro og kriminelle handlinger, utgjør trusler.

ISO 27001: 2022 Vedlegg A 7.5 krever at organisasjoner vurderer, gjenkjenner og reduserer risikoen for vital fysisk infrastruktur fra fysiske og miljømessige farer.

Formål med ISO 27001:2022 vedlegg A 7.5

ISO 27001:2022 vedlegg A 7.5 gjør det mulig for organisasjoner å vurdere de potensielle risikoene som utgjøres av miljømessige og fysiske trusler, og å redusere eller eliminere disse risikoene ved å implementere passende tiltak.

Eierskap til vedlegg A 7.5

ISO 27001: 2022 Vedlegg A 7.5 krever at organisasjoner gjennomfører en omfattende risikovurdering før de utfører fysiske operasjoner, og å implementere passende tiltak proporsjonalt med den identifiserte risikoen.

Sikkerhetssjefer er ansvarlig for å skape, administrere, implementere og vurdere hele prosessen.

Gå til emnet

Veiledning om ISO 27001:2022 vedlegg A 7.5 Samsvar

ISO 27001:2022 vedlegg A 7.5 skisserer en tredelt strategi for å gjenkjenne og fjerne potensielle farer fra fysiske og miljømessige kilder.

Trinn 1 – Fullfør en risikovurdering

Organisasjoner bør gjennomføre en risikovurdering for å identifisere potensielle fysiske og miljømessige farer som kan finne sted i deres lokaler, og deretter måle de mulige konsekvensene av disse identifiserte fysiske og miljømessige risikoene.

Tatt i betraktning variasjonen av miljøforhold og fysiske risikoer hver lokalitet og infrastruktur kan stå overfor, vil typen trussel og risikonivået som er identifisert variere avhengig av plasseringen.

En eiendom kan være spesielt utsatt for skogbrann, mens en annen kan ligge i et område utsatt for jordskjelv.

Det er viktig at det gjennomføres en risikovurdering før igangsetting av aktiviteter på stedet, i henhold til vedlegg A 7.5.

Trinn 2 – Etabler og bruk kontroller

Gitt typen trussel og den tilhørende risikoen som ble identifisert i utgangspunktet, bør organisasjoner implementere riktige kontroller med tanke på mulige konsekvenser av miljømessige og fysiske trusler.

ISO 27001:2022 vedlegg A 7.5 gir eksempler på kontroller som kan implementeres for å bekjempe ulike trusler:

  • Organisasjoner bør installere systemer som kan varsle dem om branner og aktivere brannslokkingssystemer for å beskytte digitale medier og informasjonssystemer fra ødeleggelse.

  • Systemer bør implementeres og settes opp for å identifisere flom på steder der data er lagret. I tillegg bør vannpumper klargjøres for å kunne brukes i tilfelle flom.

  • Servere og datahåndteringssystemer må sikres mot elektriske overspenninger. Regelmessig vedlikehold og beskyttelse er avgjørende for optimal ytelse.

  • Organisasjoner bør regelmessig revisjon og inspisere personer, gjenstander og kjøretøy som kommer inn på kritiske infrastrukturområder.

Trinn 3 – Overvåking

Hold oversikt over fremdriften og foreta justeringer etter behov. Evaluer resultatene regelmessig og gjør endringer for å sikre at målene nås. Sørg for å dokumentere eventuelle endringer for fremtidig referanse.

Supplerende veiledning om vedlegg A 7.5

ISO 27001:2022 vedlegg A 7.5 skisserer fire hensyn som organisasjoner bør ha i tankene.

Konsultasjon med eksperter

Hver miljømessig og fysisk trussel, som giftig avfall, jordskjelv og brann, er forskjellig når det gjelder dens egenskaper, faren den utgjør og tiltakene som må iverksettes.

Organisasjoner bør konsultere spesialistråd om hvordan de kan oppdage, redusere og/eller håndtere risikoer forbundet med disse truslene.

Valg av plassering for lokaler

Tatt i betraktning det lokale terrenget, vannstanden og den tektoniske aktiviteten til et potensielt sted for en bygning kan bidra til å identifisere og eliminere potensielle risikoer tidlig.

Organisasjoner bør tenke på farene ved menneskeskapte katastrofer i det valgte byområdet, for eksempel politisk uro og kriminell oppførsel.

Ekstra lag med sikkerhet

Bruken av sikre lagringsmetoder, som safer, gir et ekstra lag med beskyttelse mot katastrofer som brann og flom, i tillegg til de eksisterende sikkerhetstiltakene.

Forebygging av kriminalitet gjennom miljødesign

ISO 27001:2022 vedlegg A 7.5 foreslår at organisasjoner vurderer dette konseptet når de innfører kontroller for å styrke sikkerheten i lokaler. Denne tilnærmingen kan brukes for å bekjempe urbane trusler som kriminelle aktiviteter, sivil uro og terrorisme.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 7.5 erstatter ISO 27001:2013 Vedlegg A 11.1.4 i den reviderte standarden.

2013-versjonen fokuserte på hvordan organisasjoner bør sette i verk forebyggende tiltak mot fysiske og miljømessige trusler, mens 2022-versjonen er mer omfattende, og skisserer de spesifikke trinnene organisasjoner bør ta for å overholde.

Avslutningsvis skiller to hovedskille seg ut.

2022-versjonen gir råd om møtereglement

2013-utgaven ga ingen veiledning om hvordan organisasjoner kunne gjenkjenne og redusere risikoer forårsaket av miljømessige og fysiske farer.

2022-versjonen skisserer en tre-trinns prosess som organisasjoner må implementere, som begynner med en risikovurdering.

2022-revisjonen oppfordrer organisasjoner til å innføre et ekstra lag med tiltak

Den supplerende veiledningen for 2022 inkluderer bruk av safer og kriminalitetsforebygging gjennom miljødesign som måter å øke sikkerheten mot trusler på.

I 2013 ble det imidlertid ikke tatt ekstra grep.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.online-plattformen tilbyr en rekke potente verktøy for å dokumentere, implementere, bevare og forbedre din styringssystem for informasjonssikkerhet (ISMS) og blir lettere i samsvar med ISO 27001:2022.

Denne omfattende samlingen av verktøy gir et enkelt sted hvor du kan tilpasse et sett med retningslinjer og prosedyrer for å matche organisasjonens spesielle risikoer og nødvendigheter.

Kontakt oss i dag for arrangere en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer