ISO 27001:2022 Vedlegg A Kontroll 7.7

Clear Desk og Clear Screen

Bestill en demonstrasjon

nær,opp,på,hender,en,svart,afrikansk,amerikansk,mann

ISO 27001: 2022 Vedlegg A 7.7 diskuterer hvordan organisasjoner kan beskytte og opprettholde konfidensialiteten til sensitiv informasjon på digitale skjermer og papir ved å implementere klare skrivebord og klare skjermregler.

En ansatt som forlater arbeidsstasjonen uten tilsyn risikerer uautorisert tilgang, tap av konfidensialitet og skade på sensitiv informasjon i digitalt og fysisk materiale.

For eksempel kan ondsinnede parter utnytte muligheten til å stjele og misbruke sensitive helsedata hvis en ansatt forlater datamaskinen sin uten tilsyn i en lunsjpause mens han bruker et verktøy for kundeforhold.

Hva er formålet med ISO 27001:2022 vedlegg A 7.7?

ISO 27001:2022 vedlegg A 7.7 gir organisasjoner en metode for å eliminere og/eller redusere risikoen for uautorisert tilgang, bruk, skade eller tap av sensitiv informasjon på arbeidsstasjonsskjermer og -dokumenter når de ikke er tilstede.

Eierskap til ISO 27001:2022 vedlegg A 7.7

Som en anerkjennelse av vedlegg 7.7, må organisasjoner vedta og implementere en organisasjonsomfattende policy for oversiktlige pulter og skjermer. Informasjonssikkerhetsansvarlige bør være ansvarlige for å produsere, vedlikeholde og håndheve klare retningslinjer for skrivebord og klare skjermer i hele organisasjonen.

Gå til emnet
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 7.7

Vedlegg A 7.7 anbefaler å lage og håndheve en emnespesifikk policy som skisserer regler for oversiktlige skrivebord og oversiktlige skjermer.

Videre spesifiserer vedlegg A 7.7 syv spesifikke krav som organisasjoner bør vurdere når de etablerer og håndhever retningslinjer for klare skrivebord og klare skjermer:

  • Digitale og fysiske eiendeler som inneholder sensitiv eller kritisk informasjon, bør låses sikkert når de ikke er i bruk eller når arbeidsstasjonen som er vert for dem, er tom. For eksempel bør papirplater, bærbare datamaskiner og skrivere oppbevares i sikre møbler som skuffer eller skap med lås.

  • Enheter som brukes av ansatte, som bærbare datamaskiner, skannere, skrivere og bærbare datamaskiner, bør beskyttes med nøkkellåser når de ikke er i bruk eller etterlates uten tilsyn.

  • Ansatte bør la enhetene sine være logget av når de forlater arbeidsområdet og lar dem være uten tilsyn. Reaktivering av enheten skal bare være mulig med brukerautentisering. Alle endepunktansattes enheter, for eksempel datamaskiner, bør ha automatiske funksjoner for tidsavbrudd og utlogging.

  • Skriveren bør utformes slik at utskrifter kan hentes umiddelbart av den som har skrevet dem ut (opphavsmann). Videre bør bare opphavsmannen få lov til å samle utskriftene gjennom en robust autentiseringsmekanisme.

  • Materiale som inneholder sensitiv informasjon, inkludert flyttbare medier, skal holdes sikkert til enhver tid. Når du ikke lenger trenger dem, bør de kasseres på en sikker måte.

  • Det er viktig for organisasjoner å lage regler for visning av popup-vinduer på skjermer og å kommunisere disse reglene til alle relevante ansatte. For eksempel kan popup-vinduer (som e-postvarsler) som inneholder sensitiv informasjon kompromittere konfidensialiteten til sensitiv informasjon hvis de vises under en presentasjon eller i et offentlig rom.

  • Tavler bør slettes når sensitiv eller kritisk informasjon ikke lenger er nødvendig.

Supplerende veiledning om vedlegg A 7.7

ISO 27001 vedlegg A 7.7 advarer organisasjoner om risiko som oppstår ved fraflyttede anlegg. Fysisk og digitalt materiale som tidligere er lagret i et anlegg bør fjernes sikkert når en organisasjon forlater for å forhindre tap av sensitiv informasjon.

Derfor fastsetter vedlegg A 7.7 at organisasjoner bør etablere prosedyrer for ferie av anlegg for å sikre at sensitiv informasjonsressurser blir avhendet på en sikker måte. Et siste sveip kan utføres for å sikre at ingen sensitiv informasjon forblir ubeskyttet.

Hva er endringene og forskjellene fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 7.7 erstatter ISO 27001:2013 Vedlegg A 11.2.9 ('Fjern retningslinjer for skrivebord og skjerm').

Det er to bemerkelsesverdige forskjeller mellom ISO 27001:2022 og ISO 27001:2013-versjonene:

  • ISO 27001:2022-versjonen inkluderer ikke kriterier som må vurderes når du etablerer og implementerer klare retningslinjer for skrivebord og klare skjermer.

Mens 2013-versjonen spesifiserer at organisasjoner bør vurdere hele organisasjonen informasjonsklassifisering nivåer, juridiske og kontraktsmessige krav, og hvilke typer risikoer de står overfor når de oppretter en klar skrivebords- og skjermpolicy.

ISO 27001:2022-versjonen nevner imidlertid ikke disse elementene. ISO 27001:2022-standarden introduserer nye og mer omfattende krav til oversiktlige skrivebord og oversiktlige skjermer.

ISO 27001:2022-versjonen spesifiserer følgende krav som organisasjoner bør ta hensyn til når de etablerer klare retningslinjer for skrivebord og tydelige skjermer:

  • Organisasjoner bør opprettholde konfidensialiteten til sensitiv informasjon ved å lage spesifikke retningslinjer på popup-skjermer.

  • Fjern den sensitive informasjonen som er skrevet på en tavle hvis du ikke lenger trenger den.

  • Datamaskiner og andre endepunktsenheter som brukes av ansatte bør beskyttes med nøkkellåser når de ikke er i bruk eller uten tilsyn.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISO 27001:2022 implementering og overholdelse er enkel med vår trinnvise sjekkliste som guider deg gjennom hele prosessen.

Din komplett overholdelsesløsning for ISO/IEC 27001:2022:

  • Opptil 81 % fremgang fra det øyeblikket du logger på.

  • Enkel og total samsvarsløsning for ISO 27001:2022.

Til planlegg en demonstrasjon, ta kontakt i dag.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppnå din første ISO 27001

Last ned vår gratis guide til rask og bærekraftig sertifisering

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer