Kontroll 7.1 i den nye ISO 27002:2022 dekker behovet for organisasjoner til å definere og angi sikkerhetsperimeter og bruke disse parameterne til å beskytte områder som inneholder informasjon og andre tilhørende eiendeler.
Informasjon kan defineres som enhver data, informasjon eller kunnskap som har verdi for din organisasjon eller virksomhet. Dette inkluderer alle data som samles inn om enkeltpersoner, kunder, partnere, ansatte og andre interessenter.
Informasjonssikkerhetsressurser kan grovt deles inn i:
Data forveksles ofte med informasjon, men det er en forskjell mellom data og informasjon. Data er rå, ubehandlet og ofte ubrukelig i sin nåværende tilstand, mens informasjon er data som har blitt behandlet til brukbare deler av informasjon som en e-postadresse eller telefonnummer.
Infrastruktur refererer til alle komponentene som utgjør et nettverk, inkludert servere og andre enheter som skrivere og rutere osv.
Infrastruktur kan også inkludere programvare som operativsystemer og applikasjoner som bør beskyttes mot cyberangrep like mye som maskinvare, da begge må holdes oppdatert med patcher og rettelser for sårbarheter oppdaget av hackere, slik at de ikke kan utnyttet av ondsinnede hackere som ønsker å få tilgang til sensitive data.
Fysisk sikkerhet refererer til alle fysiske tiltak som beskytter en organisasjons fasiliteter og eiendeler. Fysisk sikkerhet er den mest grunnleggende og viktigste delen av informasjonssikkerhet. Det handler ikke bare om å låse døren, men også å vite hvem som har tilgang til hva, når, hvor og hvordan.
Fysiske sikkerhetsomkretser brukes til å identifisere de fysiske grensene til en bygning eller et område og kontrollere tilgangen til den. Fysiske sikkerhetsomkretser kan omfatte gjerder, vegger, porter og andre barrierer som hindrer uautorisert tilgang av mennesker eller kjøretøy. I tillegg til fysiske barrierer kan elektronisk overvåkingsutstyr som fjernsynskameraer med lukket krets brukes til å overvåke aktivitet utenfor anlegget.
Fysiske sikkerhetsomkretser gir en første forsvarslinje mot inntrengere som kan prøve å komme inn i datasystemet ditt via nettverkskabelen eller den trådløse tilkoblingen i en organisasjon. De brukes ofte sammen med andre typer informasjonssikkerhetskontroller som identitetshåndtering, tilgangskontroll og inntrengningsdeteksjonssystemer.
Attributter er en måte å klassifisere kontroller på. Attributter lar deg raskt matche kontrollutvalget ditt med typiske bransjespesifikasjoner og terminologi. Følgende kontroller er tilgjengelige i kontroll 7.1.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Fysisk sikkerhet | #Beskyttelse |
Kontroll 7.1 sikrer at en organisasjon kan demonstrere at den har tilstrekkelige fysiske sikkerhetsperimeter på plass for å forhindre uautorisert fysisk tilgang til informasjon og andre tilhørende eiendeler.
Dette inkluderer å forhindre:
Fysiske sikkerhetsomkretser kan implementeres gjennom følgende to kategorier:
Fysisk adgangskontroll: Gir kontroll over inngangen til anlegg og bygninger, samt bevegelsen i dem. Disse kontrollene inkluderer låsing av dører, bruk av alarmer på dører, bruk av gjerder eller barrierer rundt anlegg, etc.
Maskinvaresikkerhet: Gir kontroll over fysisk utstyr (f.eks. datamaskiner) som brukes av en organisasjon til å behandle data som skrivere og skannere som kan inneholde sensitiv informasjon.
Implementering av denne kontrollen kan også dekke uautorisert bruk av anleggsplass, utstyr og forsyninger for å beskytte informasjon og andre tilknyttede eiendeler, for eksempel konfidensielle dokumenter, poster og utstyr.
Følgende retningslinjer bør vurderes og implementeres der det er hensiktsmessig for fysiske sikkerhetsomkretser:
Du kan få mer informasjon om hva som ligger i å oppfylle kravene til kontrollen i standarddokumentet ISO 27002:2022.
Den nye 2022-revisjonen av ISO 27002 ble publisert 15. februar 2022, og er en oppgradering av ISO 27002:2013.
11 nye kontroller ble lagt til denne versjonen av ISO 27002. Kontroll 7.1 er imidlertid ikke en ny kontroll, snarere er det en modifisert versjon av kontroll 11.1.1 i 2013-versjonen av ISO 27002. Den største forskjellen mellom 2013 og 2022 versjon er endring av kontrollnummer.
Kontrollnummeret 11.1.1 ble erstattet med 7.1. Bortsett fra det er konteksten og betydningen stort sett lik, selv om den fraseologien er annerledes.
En annen forskjell mellom begge kontrollene er at implementeringskravene ble redusert i 2022-versjonen.
Følgende krav som er tilgjengelige i kontroll 11.1.1 i ISO 27002:2013 mangler i kontroll 7.1:
Disse utelatelsene gjør på ingen måte den nye standarden mindre effektiv, i stedet ble de fjernet for å gjøre den nye kontrollen mer brukervennlig.
Informasjonssjefen er ansvarlig for informasjonssikkerheten. Denne personen er ansvarlig for å implementere retningslinjer og prosedyrer for å beskytte selskapets data og systemer. CIOen samarbeider vanligvis med andre ledere, for eksempel økonomisjefen og administrerende direktør, for å sikre at sikkerhetstiltak blir tatt i betraktning under forretningsbeslutninger.
Økonomisjefen er også involvert i beslutninger om fysiske sikkerhetsomkretser. Han eller hun samarbeider med andre medlemmer av C-suiten – inkludert CIO – for å finne ut hvor mye penger som skal bevilges til fysiske sikkerhetstiltak som overvåkingskameraer, tilgangskontroller og alarmer.
Den nye ISO 27002:2022 er ingen stor revisjon. Derfor trenger du ikke implementere noen alvorlige endringer for å være i samsvar med den nyeste versjonen av ISO 27002.
Du bør imidlertid vurdere å gjennomgå den nåværende implementeringen din og sørge for at den stemmer overens med de nye kravene. Spesielt hvis du har gjort endringer siden forrige versjon ble publisert i 2013. Det er verdt å ta en titt på disse endringene på nytt for å se om de fortsatt er gyldige eller om de må endres.
Når det er sagt, kan du få mer informasjon om hvordan den nye ISO 27002 vil påvirke informasjonssikkerhetsprosessene dine og ISO 27001-sertifiseringen ved å lese vår ISO 27002:2022-veiledning.
ISMS.online kan også hjelpe med å demonstrere samsvar med ISO 27002 ved å gi deg et online system som lar deg lagre alle dokumentene dine på ett sted og gjøre dem tilgjengelige for alle som trenger dem. Systemet lar deg også lage sjekklister for hvert dokument slik at det er enkelt for alle som er involvert i å gjøre endringer eller gjennomgå dokumenter for å se hva som må gjøres videre og når det bør gjøres.
Vil du se hvordan det fungerer?
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
