Kontroll 6.7, Remote Working er en kontroll i den reviderte ISO 27002:2022. Den anbefaler at organisasjoner bør ha en policy for fjernarbeid samt et styringssystem for informasjonssikkerhet som inkluderer prosedyrer for å sikre ekstern tilgang til informasjonssystemer og nettverk.
Fjernarbeid har blitt mer vanlig etter hvert som teknologien har utviklet seg, og det er nå mulig for ansatte å jobbe hjemmefra uten å skade produktiviteten eller effektiviteten. Det kan imidlertid også reise noen bekymringer om datasikkerhet.
Hvis du er en bedriftseier, vil du vite hvordan du beskytter din immaterielle eiendom mot cyberkriminelle og sikrer at dataene dine er trygge mot hackere.
Her er noen informasjonssikkerhetsimplikasjoner av fjernarbeid:
Fjernarbeid kan være fordelaktig da det gir lettere tilgang til sensitiv informasjon og systemer. Fjernarbeid har imidlertid flere sikkerhetsimplikasjoner.
Fjernarbeid, hvis det ikke administreres riktig, kan være utsatt for sikkerhetsrisikoer som hacking, malware-angrep, uautorisert tilgang og andre. Dette gjelder spesielt når ansatte ikke fysisk befinner seg i et trygt miljø.
Fjernarbeid kan også påvirke den fysiske sikkerheten til en virksomhet. Dette er fordi det kan bety at ansatte ikke lenger befinner seg fysisk i et kontor eller en bygning, og at det derfor ikke er like sannsynlig at de ser eller hører mistenkelig aktivitet.
Fjernarbeid kan også utgjøre noen risikoer med hensyn til konfidensialitet. For eksempel kan ansatte få tilgang til konfidensiell informasjon eksternt og få tilgang til den uten samtykke fra selskapet.
Ansatte kan også enkelt få tilgang til sensitiv bedriftsinformasjon på det offentlige internett. Faktisk er det til og med nettsteder der ansatte kan laste opp sensitiv informasjon slik at alle kan se.
Fjernarbeid kan også påvirke personvernet til en organisasjon. For eksempel, hvis ansatte jobber hjemmefra, kan det være mer sannsynlig at de lar sine personlige eiendeler ligge.
Disse eiendelene kan inneholde sensitiv informasjon som kan kompromittere personvernet til et selskap.
Fjernarbeid kan også utgjøre en risiko for dataene til en virksomhet. For eksempel kan ansatte eksternt få tilgang til bedriftsdata, som kan lagres på en rekke steder.
Dette kan inkludere data på datamaskiner, servere og mobile enheter. Hvis den ansatte forlater kontoret og tar enheten, kan det være vanskeligere å gjenopprette dataene.
Den ansatte kan også gjøre en feil eller gjøre noe ondsinnet med enheten, noe som kan kompromittere dataene.
Attributter brukes til å kategorisere kontroller. Du kan umiddelbart matche kontrollalternativet ditt med mye brukte bransjefraser og spesifikasjoner ved å bruke attributter.
Attributter for kontroll 6.7 er som vist nedenfor.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | # Asset Management #Informasjonsbeskyttelse #Fysisk sikkerhet #System- og nettverkssikkerhet | #Beskyttelse |
Hensikten med Kontroll 6.7 er å sikre at personell som arbeider eksternt har tilstrekkelig tilgangskontroll på plass for å beskytte konfidensialitet, integritet og tilgjengelighet til sensitiv eller proprietær informasjon, prosesser og systemer fra uautorisert tilgang eller avsløring av uautoriserte personer.
For å sikre informasjonssikkerheten når personell arbeider eksternt, bør organisasjoner utstede en emnespesifikk policy for fjernarbeid som definerer relevante vilkår og restriksjoner for informasjonssikkerhet. Retningslinjene bør distribueres til alle ansatte og inkludere veiledning om hvordan de kan bruke fjerntilgangsteknologier trygt og sikkert.
En emnespesifikk policy som denne vil sannsynligvis dekke:
I tillegg til disse grunnleggende kravene er det også viktig å ha en klart definert prosedyre for rapportering av hendelser, inkludert passende kontaktdetaljer. Dette kan bidra til å redusere risikoen for at brudd eller andre typer sikkerhetshendelser oppstår i utgangspunktet.
Retningslinjene kan også trenge å løse problemer som kryptering, brannmurer og antivirusprogramvareoppdateringer samt opplæring av ansatte om hvordan du bruker ekstern tilkobling på en sikker måte.
For å oppfylle kravene til kontroll 6.7, bør organisasjoner som tillater fjernarbeidsaktiviteter utstede en temaspesifikk policy for fjernarbeid som definerer relevante vilkår og restriksjoner.
Retningslinjene bør gjennomgås regelmessig, spesielt når det er endringer i teknologi eller lovgivning.
Retningslinjene bør kommuniseres til alle ansatte, entreprenører og andre parter som er involvert i fjernarbeidsaktiviteter.
Retningslinjene bør dokumenteres og gjøres tilgjengelig for enhver relevant tredjepart, inkludert regulatorer og revisorer.
Organisasjoner må også sikre at de har tilstrekkelige tiltak på plass for å beskytte sensitiv eller konfidensiell informasjon som overføres eller lagres elektronisk under fjernarbeid.
I tråd med bestemmelsene i kontroll 6.7, bør følgende forhold vurderes:
Retningslinjene og tiltakene som skal vurderes bør omfatte:
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Kontroll 6.7 i ISO 27002:2022 er en modifisert versjon av kontroll 6.2.2 i ISO 27002:2013 og er ikke en ny kontroll.
Selv om disse to kontrollene har mange egenskaper, skiller de seg noe i nomenklatur og formuleringer. Kontrollnavnet er for eksempel ikke det samme. Kontroll 6.2.2 i ISO 27002:2013 omtales som fjernarbeid. Kontroll 6.7 refererer til det som fjernarbeid. Samtidig ble fjernarbeid erstattet av fjernarbeid i den nye versjonen av standarden.
I kontroll 6.7, ISO 27002:2022, definerer standarden hva fjernarbeid er, og hvilke typer arbeid som kan kvalifisere som fjernarbeid. Dette inkluderer fjernarbeid, som er det opprinnelige kontrollnavnet i 2013-versjonen av standarden.
Retningslinjene for implementering er noe like selv om språket og begrepene er forskjellige. Versjon 2022 brukte mye brukervennlig språk for å sikre at brukerne av standarden kan forstå hva de gjør.
Når det er sagt, ble noen punkter lagt til i kontroll 6.7 og noen fjernet fra kontroll 6.2.2.
Videre gir ISO 27002 versjon 2022 uttalelser av formål og attributttabeller for hver kontroll, som hjelper brukerne med å bedre forstå og implementere kontrollene.
2013-versjonen har ikke disse to delene.
Hovedansvaret for å lage en informasjonssikkerhetspolicy for fjernarbeidere ligger hos organisasjonens informasjonssikkerhetsansvarlige. Imidlertid bør også andre interessenter involveres i prosessen.
Dette inkluderer IT-ledere, som er ansvarlige for å implementere og vedlikeholde policyen, samt HR-ledere, som er ansvarlige for å sørge for at ansatte forstår den og følger den.
Hvis du har et leverandørstyringsprogram, vil svaret avhenge av hvem som er ansvarlig for å administrere entreprenører og leverandører generelt. I de fleste tilfeller vil denne personen også være ansvarlig for å lage en informasjonssikkerhetspolicy for eksterne arbeidere i den avdelingen.
ISO 27002 ble ikke vesentlig endret, så du trenger ikke gjøre så mye annet enn å sjekke at informasjonssikkerhetsprosessene dine er i tråd med oppgraderingen.
Hovedendringen var å modifisere noen av kontrollene og å tydeliggjøre noen av kravene. Hovedeffekten med hensyn til kontroll 6.7 er at hvis du outsourcer noen av operasjonene dine til en tredjepart eller har folk som jobber eksternt, må du sørge for at de har et passende nivå av sikkerhetskontroller på plass.
Hvis du har en eksisterende ISO 27001-sertifisering, vil din nåværende prosess for å administrere informasjonssikkerhet oppfylle de nye kravene.
Dette betyr at hvis du ønsker å fornye din nåværende ISO 27001-sertifisering, trenger du ikke å gjøre noe i det hele tatt. Du må bare sørge for at prosessene dine fortsatt stemmer overens med den nye standarden.
Hvis du derimot starter fra bunnen av, må du tenke litt over hvordan bedriften din kan være forberedt på cyberangrep og andre trusler mot informasjonsmidlene.
Hovedsaken er at det er viktig å behandle cyberrisikoer seriøst nok slik at de blir administrert som en del av din overordnede forretningsstrategi i stedet for å bli behandlet som et eget problem av IT- eller sikkerhetsavdelinger alene.
ISMS.Online-plattformen hjelper med alle aspekter ved implementering av ISO 27002, fra styring av risikovurderingsaktiviteter til utvikling av retningslinjer, prosedyrer og retningslinjer for å overholde standardens krav.
Det gir en måte å dokumentere funnene dine og kommunisere dem med teammedlemmene dine på nettet. ISMS.Online lar deg også lage og lagre sjekklister for alle oppgavene som er involvert i implementeringen av ISO 27002, slik at du enkelt kan spore fremdriften til organisasjonens sikkerhetsprogram.
Med sitt automatiserte verktøysett gjør ISMS.Online det enkelt for organisasjoner å demonstrere samsvar med ISO 27002-standarden.
Kontakt oss i dag for planlegg en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |