Hva er Control 7.1?
Kontroll 7.1 i den nye ISO 27002:2022 dekker behovet for organisasjoner til å definere og angi sikkerhetsperimeter og bruke disse parameterne til å beskytte områder som inneholder informasjon og andre tilhørende eiendeler.
Informasjons- og informasjonssikkerhetsressurser forklart
Informasjon kan defineres som enhver data, informasjon eller kunnskap som har verdi for din organisasjon eller virksomhet. Dette inkluderer alle data som samles inn om enkeltpersoner, kunder, partnere, ansatte og andre interessenter.
Informasjonssikkerhetsressurser kan grovt deles inn i:
Data
Data forveksles ofte med informasjon, men det er en forskjell mellom data og informasjon. Data er rå, ubehandlet og ofte ubrukelig i sin nåværende tilstand, mens informasjon er data som har blitt behandlet til brukbare deler av informasjon som en e-postadresse eller telefonnummer.
Infrastruktur
Infrastruktur refererer til alle komponentene som utgjør et nettverk, inkludert servere og andre enheter som skrivere og rutere osv.
Infrastruktur kan også inkludere programvare som operativsystemer og applikasjoner som bør beskyttes mot cyberangrep like mye som maskinvare, da begge må holdes oppdatert med patcher og rettelser for sårbarheter oppdaget av hackere, slik at de ikke kan utnyttet av ondsinnede hackere som ønsker å få tilgang til sensitive data.
Fysiske sikkerhetsgrenser forklart
Fysisk sikkerhet refererer til alle fysiske tiltak som beskytter en organisasjons fasiliteter og eiendeler. Fysisk sikkerhet er den mest grunnleggende og viktigste delen av informasjonssikkerhet. Det handler ikke bare om å låse døren, men også å vite hvem som har tilgang til hva, når, hvor og hvordan.
Fysiske sikkerhetsomkretser brukes til å identifisere de fysiske grensene til en bygning eller et område og kontrollere tilgangen til den. Fysiske sikkerhetsomkretser kan omfatte gjerder, vegger, porter og andre barrierer som hindrer uautorisert tilgang av mennesker eller kjøretøy. I tillegg til fysiske barrierer kan elektronisk overvåkingsutstyr som fjernsynskameraer med lukket krets brukes til å overvåke aktivitet utenfor anlegget.
Fysiske sikkerhetsomkretser gir en første forsvarslinje mot inntrengere som kan prøve å komme inn i datasystemet ditt via nettverkskabelen eller den trådløse tilkoblingen i en organisasjon. De brukes ofte sammen med andre typer informasjonssikkerhetskontroller som identitetshåndtering, tilgangskontroll og inntrengningsdeteksjonssystemer.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Attributttabell for kontroll 7.1
Attributter er en måte å klassifisere kontroller på. Attributter lar deg raskt matche kontrollutvalget ditt med typiske bransjespesifikasjoner og terminologi. Følgende kontroller er tilgjengelige i kontroll 7.1.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Beskytte | #Fysisk sikkerhet | #Beskyttelse |
| #Integritet | ||||
| #Tilgjengelighet |
Kontroll 7.1 sikrer at en organisasjon kan demonstrere at den har tilstrekkelige fysiske sikkerhetsperimeter på plass for å forhindre uautorisert fysisk tilgang til informasjon og andre tilhørende eiendeler.
Dette inkluderer å forhindre:
- Uautorisert adgang til bygninger, rom eller områder som inneholder informasjonsressurser;
- Uautorisert fjerning av eiendeler fra lokaler;
- Uautorisert bruk av eiendeler i lokaler (f.eks. datamaskiner og datamaskinrelaterte enheter); og
- Uautorisert tilgang til elektronisk kommunikasjonsutstyr som telefoner, faksmaskiner og dataterminaler (f.eks. uautorisert tukling).
Fysiske sikkerhetsomkretser kan implementeres gjennom følgende to kategorier:
Fysisk adgangskontroll: Gir kontroll over inngangen til anlegg og bygninger, samt bevegelsen i dem. Disse kontrollene inkluderer låsing av dører, bruk av alarmer på dører, bruk av gjerder eller barrierer rundt anlegg, etc.
Maskinvaresikkerhet: Gir kontroll over fysisk utstyr (f.eks. datamaskiner) som brukes av en organisasjon til å behandle data som skrivere og skannere som kan inneholde sensitiv informasjon.
Implementering av denne kontrollen kan også dekke uautorisert bruk av anleggsplass, utstyr og forsyninger for å beskytte informasjon og andre tilknyttede eiendeler, for eksempel konfidensielle dokumenter, poster og utstyr.
Hva er involvert og hvordan du oppfyller kravene
Følgende retningslinjer bør vurderes og implementeres der det er hensiktsmessig for fysiske sikkerhetsomkretser:
- Definere sikkerhetsomkrets og plassering og styrke for hver av omkretsene i samsvar med informasjonssikkerhetskravene knyttet til eiendelene innenfor omkretsen.
- Å ha fysisk forsvarlige omkretser for en bygning eller tomt som inneholder informasjonsbehandlingsanlegg (dvs. det skal ikke være hull i omkretsen eller områder hvor det lett kan forekomme innbrudd).
- Utvendige tak, vegger, tak og gulv på tomten bør være av solid konstruksjon, og alle ytterdører bør være passende beskyttet mot uautorisert tilgang med kontrollmekanismer (f.eks. sprosser, alarmer, låser).
- Dører og vinduer bør låses når de ikke er tilsyn, og utvendig beskyttelse bør vurderes for vinduer, spesielt på bakkenivå; ventilasjonspunkter bør også vurderes.
Du kan få mer informasjon om hva som ligger i å oppfylle kravene til kontrollen i standarddokumentet ISO 27002:2022.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27002:2013
Den nye 2022-revisjonen av ISO 27002 ble publisert 15. februar 2022, og er en oppgradering av ISO 27002:2013.
11 nye kontroller ble lagt til denne versjonen av ISO 27002. Kontroll 7.1 er imidlertid ikke en ny kontroll, snarere er det en modifisert versjon av kontroll 11.1.1 i 2013-versjonen av ISO 27002. Den største forskjellen mellom 2013 og 2022 versjon er endring av kontrollnummer.
Kontrollnummeret 11.1.1 ble erstattet med 7.1. Bortsett fra det er konteksten og betydningen stort sett lik, selv om den fraseologien er annerledes.
En annen forskjell mellom begge kontrollene er at implementeringskravene ble redusert i 2022-versjonen.
Følgende krav som er tilgjengelige i kontroll 11.1.1 i ISO 27002:2013 mangler i kontroll 7.1:
- Et bemannet mottaksområde eller andre midler for å kontrollere fysisk tilgang til tomten eller bygningen bør være på plass.
- Tilgang til tomter og bygninger bør begrenses til kun autorisert personell.
- Fysiske barrierer bør, der det er aktuelt, bygges for å hindre uautorisert fysisk tilgang og miljøforurensning.
- Egnede inntrengerdeteksjonssystemer bør installeres i henhold til nasjonale, regionale eller internasjonale standarder og regelmessig testes for å dekke alle ytterdører og tilgjengelige vinduer.
- Ubesatte områder skal være alarmert til enhver tid.
- Dekning bør også gis for andre områder, f.eks. datarom eller kommunikasjonsrom.
- Informasjonsbehandlingsfasiliteter administrert av organisasjonen bør være fysisk atskilt fra de som administreres av eksterne parter.
Disse utelatelsene gjør på ingen måte den nye standarden mindre effektiv, i stedet ble de fjernet for å gjøre den nye kontrollen mer brukervennlig.
Hvem er ansvarlig for denne prosessen?
Informasjonssjefen er ansvarlig for informasjonssikkerheten. Denne personen er ansvarlig for å implementere retningslinjer og prosedyrer for å beskytte selskapets data og systemer. CIOen samarbeider vanligvis med andre ledere, for eksempel økonomisjefen og administrerende direktør, for å sikre at sikkerhetstiltak blir tatt i betraktning under forretningsbeslutninger.
Økonomisjefen er også involvert i beslutninger om fysiske sikkerhetsomkretser. Han eller hun samarbeider med andre medlemmer av C-suiten – inkludert CIO – for å finne ut hvor mye penger som skal bevilges til fysiske sikkerhetstiltak som overvåkingskameraer, tilgangskontroller og alarmer.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Hva betyr disse endringene for deg?
Den nye ISO 27002:2022 er ingen stor revisjon. Derfor trenger du ikke implementere noen alvorlige endringer for å være i samsvar med den nyeste versjonen av ISO 27002.
Du bør imidlertid vurdere å gjennomgå den nåværende implementeringen din og sørge for at den stemmer overens med de nye kravene. Spesielt hvis du har gjort endringer siden forrige versjon ble publisert i 2013. Det er verdt å ta en titt på disse endringene på nytt for å se om de fortsatt er gyldige eller om de må endres.
Når det er sagt, kan du få mer informasjon om hvordan den nye ISO 27002 vil påvirke informasjonssikkerhetsprosessene dine og ISO 27001-sertifiseringen ved å lese vår ISO 27002:2022-veiledning.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.Online hjelper
ISMS.online kan også hjelpe med å demonstrere samsvar med ISO 27002 ved å gi deg et online system som lar deg lagre alle dokumentene dine på ett sted og gjøre dem tilgjengelige for alle som trenger dem. Systemet lar deg også lage sjekklister for hvert dokument slik at det er enkelt for alle som er involvert i å gjøre endringer eller gjennomgå dokumenter for å se hva som må gjøres videre og når det bør gjøres.
Vil du se hvordan det fungerer?
Ta kontakt i dag for å bestill en demo.
