ISO 27002:2022, Kontroll 6.7 – Fjernarbeid

Attributttabell

Attributter brukes til å kategorisere kontroller. Du kan umiddelbart matche kontrollalternativet ditt med mye brukte bransjefraser og spesifikasjoner ved å bruke attributter.

Attributter for kontroll 6.7 er som vist nedenfor.

Hva er hensikten med kontroll 6.7?

Hensikten med Kontroll 6.7 er å sikre at personell som arbeider eksternt har tilstrekkelig tilgangskontroll på plass for å beskytte konfidensialitet, integritet og tilgjengelighet til sensitiv eller proprietær informasjon, prosesser og systemer fra uautorisert tilgang eller avsløring av uautoriserte personer.

For å sikre informasjonssikkerheten når personell arbeider eksternt, bør organisasjoner utstede en emnespesifikk policy for fjernarbeid som definerer relevante vilkår og restriksjoner for informasjonssikkerhet. Retningslinjene bør distribueres til alle ansatte og inkludere veiledning om hvordan de kan bruke fjerntilgangsteknologier trygt og sikkert.

En emnespesifikk policy som denne vil sannsynligvis dekke:

• Omstendighetene der fjernarbeid er tillatt.
• Prosessene som brukes for å sikre at eksterne arbeidere er autorisert til å få tilgang til konfidensiell informasjon.
• Prosedyrene for å sikre at informasjon er beskyttet når den overføres mellom ulike fysiske lokasjoner.

I tillegg til disse grunnleggende kravene er det også viktig å ha en klart definert prosedyre for rapportering av hendelser, inkludert passende kontaktdetaljer. Dette kan bidra til å redusere risikoen for at brudd eller andre typer sikkerhetshendelser oppstår i utgangspunktet.

Retningslinjene kan også trenge å løse problemer som kryptering, brannmurer og antivirusprogramvareoppdateringer samt opplæring av ansatte om hvordan du bruker ekstern tilkobling på en sikker måte.

Hva er involvert og hvordan du oppfyller kravene

For å oppfylle kravene til kontroll 6.7, bør organisasjoner som tillater fjernarbeidsaktiviteter utstede en temaspesifikk policy for fjernarbeid som definerer relevante vilkår og restriksjoner.

Retningslinjene bør gjennomgås regelmessig, spesielt når det er endringer i teknologi eller lovgivning.

Retningslinjene bør kommuniseres til alle ansatte, entreprenører og andre parter som er involvert i fjernarbeidsaktiviteter.

Retningslinjene bør dokumenteres og gjøres tilgjengelig for enhver relevant tredjepart, inkludert regulatorer og revisorer.

Organisasjoner må også sikre at de har tilstrekkelige tiltak på plass for å beskytte sensitiv eller konfidensiell informasjon som overføres eller lagres elektronisk under fjernarbeid.

I tråd med bestemmelsene i kontroll 6.7, bør følgende forhold vurderes:

• Den eksisterende eller foreslåtte fysiske sikkerheten til det eksterne arbeidsstedet, tatt i betraktning den fysiske sikkerheten til stedet og det lokale miljøet, inkludert de forskjellige jurisdiksjonene der personell befinner seg.
• Regler og sikkerhetsmekanismer for det eksterne fysiske miljøet som låsbare arkivskap, sikker transport mellom lokasjoner og regler for ekstern tilgang, oversiktlig skrivebord, utskrift og avhending av informasjon og andre tilknyttede eiendeler, og hendelsesrapportering for informasjonssikkerhet.
• De forventede fysiske eksterne arbeidsmiljøene.
• Kommunikasjonssikkerhetskravene, tatt i betraktning behovet for fjerntilgang til organisasjonens systemer, sensitiviteten til informasjonen som skal aksesseres og sendes over kommunikasjonskoblingen og sensitiviteten til systemene og applikasjonene.
• Bruk av fjerntilgang som virtuell skrivebordstilgang som støtter behandling og lagring av informasjon på privateid utstyr.
• Trusselen om uautorisert tilgang til informasjon eller ressurser fra andre personer på det eksterne arbeidsstedet (f.eks. familie og venner).
• Trusselen om uautorisert tilgang til informasjon eller ressurser fra andre personer på offentlige steder.
• Bruk av hjemmenettverk og offentlige nettverk, og krav eller begrensninger for konfigurasjon av trådløse nettverkstjenester.
• Bruk av sikkerhetstiltak, som brannmurer og beskyttelse mot skadelig programvare.
• Sikre mekanismer for fjerndistribuering og initialisering av systemer.
• Sikre mekanismer for autentisering og aktivering av tilgangsprivilegier som tar hensyn til sårbarheten til enkeltfaktorautentiseringsmekanismer der ekstern tilgang til organisasjonens nettverk er tillatt.

Retningslinjene og tiltakene som skal vurderes bør omfatte:

1. Tilveiebringelse av egnet utstyr og lagringsmøbler for fjernarbeid, der bruk av privateid utstyr som ikke er under kontroll av organisasjonen ikke er tillatt.
2. En definisjon av det tillatte arbeidet, klassifiseringen av informasjon som kan lagres og de interne systemene og tjenestene som fjernarbeideren har tillatelse til å få tilgang til.
3. Tilbyr opplæring for de som jobber eksternt og de som gir støtte. Dette bør inkludere hvordan du kan drive virksomhet på en sikker måte mens du arbeider eksternt.
4. Tilveiebringelse av egnet kommunikasjonsutstyr, inkludert metoder for å sikre ekstern tilgang, for eksempel krav til enhetsskjermlåser og inaktivitetstidtakere.
5. Aktivering av enhetsposisjonssporing.
6. Installasjon av fjernsletting.
7. Fysisk sikkerhet.
8. Regler og veiledning om familie og besøkendes tilgang til utstyr og informasjon.
9. Levering av maskinvare- og programvarestøtte og vedlikehold.
10. Tilveiebringelse av forsikring.
11. Prosedyrene for backup og forretningskontinuitet.
12. Revisjon og sikkerhetsovervåking.
13. Tilbakekall av myndighet og tilgangsrettigheter og tilbakelevering av utstyr når fjernarbeidsaktivitetene avsluttes.

Endringer og forskjeller fra ISO 27002:2013

Kontroll 6.7 i ISO 27002:2022 er en modifisert versjon av kontroll 6.2.2 i ISO 27002:2013 og er ikke en ny kontroll.

Selv om disse to kontrollene har mange egenskaper, skiller de seg noe i nomenklatur og formuleringer. Kontrollnavnet er for eksempel ikke det samme. Kontroll 6.2.2 i ISO 27002:2013 omtales som fjernarbeid. Kontroll 6.7 refererer til det som fjernarbeid. Samtidig ble fjernarbeid erstattet av fjernarbeid i den nye versjonen av standarden.

I kontroll 6.7, ISO 27002:2022, definerer standarden hva fjernarbeid er, og hvilke typer arbeid som kan kvalifisere som fjernarbeid. Dette inkluderer fjernarbeid, som er det opprinnelige kontrollnavnet i 2013-versjonen av standarden.

Retningslinjene for implementering er noe like selv om språket og begrepene er forskjellige. Versjon 2022 brukte mye brukervennlig språk for å sikre at brukerne av standarden kan forstå hva de gjør.

Når det er sagt, ble noen punkter lagt til i kontroll 6.7 og noen fjernet fra kontroll 6.2.2.

Lagt til Control 6.7 Remote Working

• regler og sikkerhetsmekanismer for det eksterne fysiske miljøet som låsbare arkivskap, sikker transport mellom lokasjoner og regler for ekstern tilgang, oversiktlig skrivebord, utskrift og avhending av informasjon og andre tilhørende eiendeler, og hendelsesrapportering for informasjonssikkerhet.
• de forventede fysiske eksterne arbeidsmiljøene.
• trusselen om uautorisert tilgang til informasjon eller ressurser fra andre personer på offentlige steder.
• sikre mekanismer for å distribuere og initialisere systemer eksternt.
• sikre mekanismer for autentisering og aktivering av tilgangsprivilegier som tar hensyn til sårbarheten til enkeltfaktorautentiseringsmekanismer der ekstern tilgang til organisasjonens nettverk er tillatt.

Fjernet fra kontroll 6.2.2 Fjernarbeid

• Bruk av hjemmenettverk og krav eller begrensninger for konfigurasjon av trådløse nettverkstjenester.
• Retningslinjer og prosedyrer for å forhindre tvister om rettigheter til åndsverk utviklet på privateid utstyr.
• Tilgang til privateid utstyr (for å verifisere sikkerheten til maskinen eller under en undersøkelse), som kan forhindres av lovgivning.
• Programvarelisensavtaler som er slik at organisasjoner kan bli ansvarlige for lisensiering av klientprogramvare på arbeidsstasjoner som eies privat av ansatte eller eksterne brukere.

Videre gir ISO 27002 versjon 2022 uttalelser av formål og attributttabeller for hver kontroll, som hjelper brukerne med å bedre forstå og implementere kontrollene.

2013-versjonen har ikke disse to delene.

Hvem er ansvarlig for denne prosessen?

Hovedansvaret for å lage en informasjonssikkerhetspolicy for fjernarbeidere ligger hos organisasjonens informasjonssikkerhetsansvarlige. Imidlertid bør også andre interessenter involveres i prosessen.

Dette inkluderer IT-ledere, som er ansvarlige for å implementere og vedlikeholde policyen, samt HR-ledere, som er ansvarlige for å sørge for at ansatte forstår den og følger den.

Hvis du har et leverandørstyringsprogram, vil svaret avhenge av hvem som er ansvarlig for å administrere entreprenører og leverandører generelt. I de fleste tilfeller vil denne personen også være ansvarlig for å lage en informasjonssikkerhetspolicy for eksterne arbeidere i den avdelingen.

Hva betyr disse endringene for deg?

ISO 27002 ble ikke vesentlig endret, så du trenger ikke gjøre så mye annet enn å sjekke at informasjonssikkerhetsprosessene dine er i tråd med oppgraderingen.

Hovedendringen var å modifisere noen av kontrollene og å tydeliggjøre noen av kravene. Hovedeffekten med hensyn til kontroll 6.7 er at hvis du outsourcer noen av operasjonene dine til en tredjepart eller har folk som jobber eksternt, må du sørge for at de har et passende nivå av sikkerhetskontroller på plass.

Hvis du har en eksisterende ISO 27001-sertifisering, vil din nåværende prosess for å administrere informasjonssikkerhet oppfylle de nye kravene.

Dette betyr at hvis du ønsker å fornye din nåværende ISO 27001-sertifisering, trenger du ikke å gjøre noe i det hele tatt. Du må bare sørge for at prosessene dine fortsatt stemmer overens med den nye standarden.

Hvis du derimot starter fra bunnen av, må du tenke litt over hvordan bedriften din kan være forberedt på cyberangrep og andre trusler mot informasjonsmidlene.

Hovedsaken er at det er viktig å behandle cyberrisikoer seriøst nok slik at de blir administrert som en del av din overordnede forretningsstrategi i stedet for å bli behandlet som et eget problem av IT- eller sikkerhetsavdelinger alene.

Hvordan ISMS.Online hjelper

ISMS.Online-plattformen hjelper med alle aspekter ved implementering av ISO 27002, fra styring av risikovurderingsaktiviteter til utvikling av retningslinjer, prosedyrer og retningslinjer for å overholde standardens krav.

Det gir en måte å dokumentere funnene dine og kommunisere dem med teammedlemmene dine på nettet. ISMS.Online lar deg også lage og lagre sjekklister for alle oppgavene som er involvert i implementeringen av ISO 27002, slik at du enkelt kan spore fremdriften til organisasjonens sikkerhetsprogram.

Med sitt automatiserte verktøysett gjør ISMS.Online det enkelt for organisasjoner å demonstrere samsvar med ISO 27002-standarden.

Kontakt oss i dag for planlegg en demonstrasjon.