ISO 27001:2022 Vedlegg A Kontroll 7.9

Sikkerhet for eiendeler utenfor lokaler

Bestill en demonstrasjon

img building 1020x680 1

Når enheter som inneholder verdifulle informasjonsressurser fjernes fra organisasjonens fysiske plassering, er de mer utsatt for skade, tyveri, tap, ødeleggelse eller brudd.

Fysiske sikkerhetskontroller innenfor en organisasjons anlegg vil ikke være effektive, og etterlater dens off-site eiendeler utsatt for trusler som fysiske risikoer og ondsinnede personer som prøver å få uautorisert tilgang.

Ansatte jobber eksternt kan ta bedriftsdatamaskiner med konfidensielle data bort fra virksomheten, jobbe på en kafé, hotellobby osv., koble til usikret offentlig Wi-Fi og la enhetene deres være uovervåket. Disse handlingene utgjør en risiko for sikkerheten, konfidensialiteten, integriteten og tilgjengeligheten til informasjonen som holdes på enhetene.

Organisasjoner bør sørge for at enheter som tas utenfor lokalene forblir sikre.

ISO 27001:2022 vedlegg A 7.9 skisserer hvordan organisasjoner kan sikre sikkerheten til enheter som er plassert borte fra hovednettstedet, og som er vert for informasjonsressurser. De må sette opp egnede kontroller og prosedyrer for å oppnå dette.

Formål med ISO 27001:2022 vedlegg A 7.9

ISO 27001: 2022 Vedlegg A 7.9 lar organisasjoner ivareta sikkerheten til informasjonsressurser som er plassert i maskinvare ved å hindre to distinkte risikoer:

  • Minimerer sjansen for at dataressurser i enheter utenfor nettstedet går tapt, skades, ødelegges eller avsløres.

  • Unngå avbrudd i selskapets databehandling operasjoner fra brudd på eksterne enheter.

Eierskap til vedlegg A 7.9

ISO 27001:2022 vedlegg A 7.9 pålegger organisasjoner å sette opp og implementere protokoller og forskrifter som dekker alle enheter som eies eller brukes på vegne av selskapet. I tillegg er det viktig for effektiv beskyttelse av enheter utenfor stedet at det opprettes en aktivabeholdning og at den øverste ledelsen godkjenner bruken av personlige enheter.

De Informasjonssikkerhetssjef bør konferere med ledelsen og eiendeler og være ansvarlig for å utvikle, gjennomføre og opprettholde prosedyrer og tiltak for å sikre sikkerheten til enheter som tas bort fra bedriftens lokaler.

Gå til emnet

Generell veiledning for ISO 27001:2022 vedlegg A 7.9 Samsvar

Vedlegg A 7.9 beskriver seks nødvendigheter som organisasjoner må overholde når de konstruerer og anvender tiltak og protokoller for sikring av eiendeler som fjernes fra lokalene:

  1. Datamaskiner, USB-er, harddisker og skjermer som er tatt utenfor stedet av selskapet, bør aldri etterlates uten tilsyn på offentlige områder som kafeer, og heller ikke på noe usikkert sted.

  2. Overhold enhetsprodusentens instruksjoner og spesifikasjoner angående fysisk beskyttelse av enheten til enhver tid. Følg for eksempel instruksjonene deres for å skjerme enheten mot vann, varme, elektromagnetiske felt og støv.

  3. Ansatte og andre organisasjoner som tar datautstyr utenfor bedriftens lokaler, bør føre en logg som beskriver varetektskjeden. Denne loggen bør inneholde, som et minimum, navnene på personene som er ansvarlige for enheten, og deres organisasjon.

  4. Hvis en organisasjon finner at autorisasjon er nødvendig og praktisk for fjerning av utstyr fra bedriftens lokaler, bør de etablere en prosedyre. Denne prosedyren bør dekke uttak av visst utstyr utenfor stedet og føre en oversikt over alle fjerningshandlinger for å gi organisasjonen en revisjonsspor.

  5. Det er viktig å ta nødvendige skritt for å avverge faren for ikke-godkjent visning av data på kollektivtransportskjermer.

  6. Organisasjonen bør installere verktøy for posisjonssporing og aktivere ekstern tilgang, slik at enhetens plassering kan overvåkes og, om nødvendig, data som er lagret på enheten kan fjernslettes.

Supplerende veiledning om vedlegg A 7.9

ISO 27001:2022 vedlegg A 7.9 setter krav til beskyttelse av utstyr som er installert utenfor bedriftens lokaler på permanent basis.

Dette utstyret kan bestå av antenner og minibanker.

Med tanke på den økte risikoen for skade og tap av dette utstyret, krever vedlegg A 7.9 at organisasjoner vurderer følgende når de beskytter det utenfor stedet:

  • ISO 27001:2022 vedlegg A 7.4, Fysisk sikkerhetsovervåking, bør tas i betraktning.

  • Sørg for at ISO 27001:2022 vedlegg A 7.5 er tatt i betraktning, som er beskyttelse mot miljømessige og fysiske trusler.

  • Tilgangskontroller bør opprettes og passende tiltak bør tas for å stoppe forstyrrelser.

  • Opprett og bruk logiske tilgangskontroller.

Vedlegg A 7.9 råder organisasjoner til å huske på vedlegg A 6.7 og vedlegg A 8.1 når de formulerer og setter i verk tiltak for å beskytte utstyr og utstyr.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 7.9 erstatter ISO 27001:2013 Vedlegg A 11.2.6.

Det er tre hovedforskjeller som bør bemerkes:

ISO 27001:2022 vedlegg A Kontroll 7.9 krever et omfattende sett med instruksjoner.

Vedlegg A 7.9 introduserer to nye krav i forhold til ISO 27001:2013-versjonen:

  1. Hensiktsmessige tiltak bør iverksettes for å hindre uvedkommende fra å se informasjonen som vises i offentlig transport.

  2. Posisjonsovervåking og ekstern tilgang bør aktiveres for å muliggjøre sporing av enheten og muligheten til å slette informasjon som er lagret på enheten eksternt, om nødvendig.

Vedlegg A 7.9 introduserer nye kriterier for enheter som er permanent plassert vekk fra lokalene.

Sammenlignet med ISO 27001:2013-versjonen gir ISO 27001:2022 vedlegg A 7.9 klare råd om sikring av utstyr som er festet på et sted utenfor stedet.

Disse kan involvere antenner og minibanker.

Forbudet mot fjernarbeid er innført for å redusere risiko.

ISO 27001:2013-versjonen gjorde det klart at organisasjoner kunne forby ansatte fra fjernarbeid hvis det var i samsvar med risikonivåene som var identifisert. Derimot nevner ikke ISO 27001:2022-versjonen dette.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.online er det perfekte verktøyet for å administrere en ISO 27001:2022-implementering. Den er skreddersydd for å hjelpe bedrifter med å implementere en styringssystem for informasjonssikkerhet (ISMS) som oppfyller standardene i ISO 27001:2022.

Plattformen bruker en risikobasert tilnærming, sammen med beste praksis og maler på topplinjen, for å hjelpe til med å gjenkjenne risikoene organisasjonen din står overfor og de nødvendige kontrollene for å administrere dem. Ved å gjøre det kan du effektivt minimere både risikoeksponeringen og etterlevelseskostnadene.

Kontakt oss nå for å arrangere en demonstrasjon.

Vi følte at vi hadde det
det beste fra begge verdenene. Vi var
i stand til å bruke vår
eksisterende prosesser,
& Adopter, Tilpass
innhold ga oss nytt
dybde til vårt ISMS.

Andrew Bud
Grunnlegger legger~~POS=HEADCOMP, iproov

Bestill demoen din

Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer