Når enheter som inneholder verdifulle informasjonsressurser fjernes fra organisasjonens fysiske plassering, er de mer utsatt for skade, tyveri, tap, ødeleggelse eller brudd.
Fysiske sikkerhetskontroller innenfor en organisasjons anlegg vil ikke være effektive, og etterlater dens off-site eiendeler utsatt for trusler som fysiske risikoer og ondsinnede personer som prøver å få uautorisert tilgang.
Ansatte jobber eksternt kan ta bedriftsdatamaskiner med konfidensielle data bort fra virksomheten, jobbe på en kafé, hotellobby osv., koble til usikret offentlig Wi-Fi og la enhetene deres være uovervåket. Disse handlingene utgjør en risiko for sikkerheten, konfidensialiteten, integriteten og tilgjengeligheten til informasjonen som holdes på enhetene.
Organisasjoner bør sørge for at enheter som tas utenfor lokalene forblir sikre.
ISO 27001:2022 vedlegg A 7.9 skisserer hvordan organisasjoner kan sikre sikkerheten til enheter som er plassert borte fra hovednettstedet, og som er vert for informasjonsressurser. De må sette opp egnede kontroller og prosedyrer for å oppnå dette.
ISO 27001: 2022 Vedlegg A 7.9 lar organisasjoner ivareta sikkerheten til informasjonsressurser som er plassert i maskinvare ved å hindre to distinkte risikoer:
ISO 27001:2022 vedlegg A 7.9 pålegger organisasjoner å sette opp og implementere protokoller og forskrifter som dekker alle enheter som eies eller brukes på vegne av selskapet. I tillegg er det viktig for effektiv beskyttelse av enheter utenfor stedet at det opprettes en aktivabeholdning og at den øverste ledelsen godkjenner bruken av personlige enheter.
De Informasjonssikkerhetssjef bør konferere med ledelsen og eiendeler og være ansvarlig for å utvikle, gjennomføre og opprettholde prosedyrer og tiltak for å sikre sikkerheten til enheter som tas bort fra bedriftens lokaler.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
Vedlegg A 7.9 beskriver seks nødvendigheter som organisasjoner må overholde når de konstruerer og anvender tiltak og protokoller for sikring av eiendeler som fjernes fra lokalene:
ISO 27001:2022 vedlegg A 7.9 setter krav til beskyttelse av utstyr som er installert utenfor bedriftens lokaler på permanent basis.
Dette utstyret kan bestå av antenner og minibanker.
Med tanke på den økte risikoen for skade og tap av dette utstyret, krever vedlegg A 7.9 at organisasjoner vurderer følgende når de beskytter det utenfor stedet:
Vedlegg A 7.9 råder organisasjoner til å huske på vedlegg A 6.7 og vedlegg A 8.1 når de formulerer og setter i verk tiltak for å beskytte utstyr og utstyr.
ISO 27001:2022 vedlegg A 7.9 erstatter ISO 27001:2013 Vedlegg A 11.2.6.
Det er tre hovedforskjeller som bør bemerkes:
ISO 27001:2022 vedlegg A Kontroll 7.9 krever et omfattende sett med instruksjoner.
Vedlegg A 7.9 introduserer to nye krav i forhold til ISO 27001:2013-versjonen:
Vedlegg A 7.9 introduserer nye kriterier for enheter som er permanent plassert vekk fra lokalene.
Sammenlignet med ISO 27001:2013-versjonen gir ISO 27001:2022 vedlegg A 7.9 klare råd om sikring av utstyr som er festet på et sted utenfor stedet.
Disse kan involvere antenner og minibanker.
Forbudet mot fjernarbeid er innført for å redusere risiko.
ISO 27001:2013-versjonen gjorde det klart at organisasjoner kunne forby ansatte fra fjernarbeid hvis det var i samsvar med risikonivåene som var identifisert. Derimot nevner ikke ISO 27001:2022-versjonen dette.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
ISMS.online er det perfekte verktøyet for å administrere en ISO 27001:2022-implementering. Den er skreddersydd for å hjelpe bedrifter med å implementere en styringssystem for informasjonssikkerhet (ISMS) som oppfyller standardene i ISO 27001:2022.
Plattformen bruker en risikobasert tilnærming, sammen med beste praksis og maler på topplinjen, for å hjelpe til med å gjenkjenne risikoene organisasjonen din står overfor og de nødvendige kontrollene for å administrere dem. Ved å gjøre det kan du effektivt minimere både risikoeksponeringen og etterlevelseskostnadene.
Kontakt oss nå for å arrangere en demonstrasjon.
Vi følte at vi hadde det
det beste fra begge verdenene. Vi var
i stand til å bruke vår
eksisterende prosesser,
& Adopter, Tilpass
innhold ga oss nytt
dybde til vårt ISMS.