ISO 27002:2022, Kontroll 7.10 – Lagringsmedier

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

beskåret,bilde,av,profesjonell,forretningskvinne,jobber,på,henne,kontor,via

Bruk av lagringsmedieenheter som solid-state-stasjoner (SSD), USB-pinner, eksterne stasjoner og mobiltelefoner er avgjørende for mange kritiske informasjonsbehandlingsoperasjoner som sikkerhetskopiering av data, datalagring og informasjonsoverføring.

Imidlertid lagring av sensitive og kritiske informasjon om disse enhetene introduserer risikoer for integriteten, konfidensialitet og tilgjengelighet av informasjonsressurser. Disse risikoene kan omfatte tap eller tyveri av lagringsmedier som inneholder sensitiv informasjon, spredning av skadelig programvare til alle bedriftens datanettverk via lagringsmediene, og feil og forringelse av lagringsmedieenheter som brukes til sikkerhetskopiering av data.

Kontroll 7.10 tar for seg hvordan organisasjoner kan etablere passende prosedyrer, retningslinjer og kontroller for å opprettholde sikkerheten til lagringsmedier gjennom hele livssyklusen, fra anskaffelse til avhending.

Formål med kontroll 7.10

Kontroll 7.10 gjør det mulig for organisasjoner å eliminere og redusere risikoen for uautorisert tilgang til, bruk, sletting, modifikasjon og overføring av sensitiv informasjon som ligger på lagringsmedieenheter ved å fastsette prosedyrer for håndtering av lagringsmedier gjennom hele livssyklusen.

Attributttabell

Kontroll 7.10 er en forebyggende type kontroll som krever at organisasjoner oppretter, implementerer og vedlikeholder prosedyrer og tiltak for å sikre sikkerheten til lagringsmedieenheter fra anskaffelse til avhending.

KontrolltypeInformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende#Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte#Fysisk sikkerhet
# Asset Management 		#Beskyttelse
Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Hvilket lagringsmedium dekker Control 7.10?

Kontroll 7.10 gjelder både digitale og fysiske lagringsmedier. For eksempel lagring av informasjon på fysiske filer er også omfattet av kontroll 7.10.

I tillegg til de flyttbare lagringsmediene er faste lagringsmedier som harddisker også underlagt kontroll 7.10.

Eierskap til kontroll 7.10

Kontroll 7.10 krever at organisasjoner oppretter og implementerer hensiktsmessige prosedyrer, tekniske kontroller og organisasjonsomfattende retningslinjer for bruk av lagringsmedier basert på organisasjonens eget klassifiseringsskjema og dens datahåndteringskrav som juridiske og kontraktsmessige forpliktelser.

Med tanke på dette bør informasjonssikkerhetsledere være ansvarlige for hele compliance-prosessen.

Generell veiledning om samsvar

Flyttbare lagringsmedier

Selv om flyttbare lagringsmedier er avgjørende for mange forretningsoperasjoner, og de brukes ofte av de fleste ansatte, utgjør de den høyeste grad av risiko for den sensitive informasjonen.

Kontroll 7.10 viser ti krav som organisasjoner bør overholde for administrasjon av flyttbare lagringsmedier gjennom hele livssyklusen:

  1. Organisasjoner bør etablere en temaspesifikk policy for anskaffelse, autorisasjon, bruk og avhending av flyttbare lagringsmedier. Denne policyen bør kommuniseres til alt personell og til alle relevante parter.

  2. Hvis det er praktisk og nødvendig, bør organisasjoner etablere autorisasjonsprosedyrer for hvordan flyttbare lagringsmedier kan tas ut av bedriftens lokaler. Videre bør organisasjoner føre loggoppføringer over fjerning av lagringsmedier for revisjonssporformål.

  3. Alle flyttbare lagringsmedier bør lagres på et sikkert område, for eksempel en safe, med tanke på informasjonsklassifiseringsnivået som er tildelt informasjonen og de miljømessige og fysiske truslene mot lagringsmedier.

  4. Hvis konfidensialitet og integritet til informasjonen på flyttbare lagringsmedier er av avgjørende betydning, bør kryptografiske teknikker brukes for å beskytte lagringsmediene mot uautorisert tilgang.

  5. Mot risikoen for forringelse av flyttbare lagringsmedier og tap av informasjon som er lagret på mediet, bør informasjonen overføres til en ny lagringsmedieenhet før slik risiko oppstår.

  6. Kritisk og sensitiv informasjon bør kopieres og lagres på flere lagringsmedier for å minimere risikoen for tap av kritisk informasjon.

  7. For å redusere risikoen for fullstendig tap av informasjon, kan registrering av flyttbare lagringsmedieenheter være et alternativ å vurdere.

  8. Med mindre det er en forretningsrelatert grunn til å bruke flyttbare lagringsmedieporter som USB-porter eller SD-kortspor, bør de ikke tillates.

  9. Det må være en overvåkingsmekanisme på plass for overføring av informasjon til flyttbare lagringsmedieenheter.

  10. Når informasjon i fysiske medier som papirer overføres via bud eller post, er det stor risiko for uautorisert tilgang til denne informasjonen. Derfor bør passende tiltak iverksettes.

Veiledning om sikker gjenbruk og avhending av lagringsmedier

Kontroll 7.10 gir egen veiledning for sikker gjenbruk og avhending av lagringsmedier slik at organisasjoner kan redusere og eliminere risikoen for kompromittering av konfidensialiteten til informasjon.

Kontroll 7.10 fremhever at organisasjoner bør definere og anvende prosedyrer for gjenbruk og avhending av lagringsmedier, under hensyntagen til sensitivitetsnivået til informasjonen i lagringsmediet.

Ved å etablere disse prosedyrene bør organisasjoner vurdere følgende:

  1. Hvis et lagringsmedium skal gjenbrukes av en intern part i en organisasjon, bør den sensitive informasjonen som ligger på det lagringsmediet slettes irreversibelt eller formateres på nytt før den godkjennes for gjenbruk.

  2. Lagringsmedier som er vert for sensitiv informasjon bør destrueres på en sikker måte når den ikke lenger er nødvendig. For eksempel kan papirdokumenter makuleres og digitalt utstyr kan ødelegges fysisk.

  3. Det bør være en prosedyre for identifisering av lagringsmedieelementer som må kasseres.

  4. Når organisasjoner velger å samarbeide med en ekstern part for å håndtere innsamling og avhending av lagringsmedier, bør de gjennomføre pga omhu for å sikre at den valgte leverandøren er kompetent og den implementerer passende kontroller.

  5. Opprettholde en oversikt over alle kasserte gjenstander for revisjonsspor.

  6. Når flere lagringsmedier skal kastes sammen, bør akkumuleringseffekten tas i betraktning: Kombinering av ulike informasjonsbiter fra hvert lagringsmedium kan forvandle ikke-sensitiv informasjon til sensitiv informasjon.

Sist men ikke minst krever Control 7.10 at organisasjoner utfører en risikovurdering på skadet utstyr som lagrer konfidensiell informasjon å avgjøre om utstyret skal destrueres i stedet for å repareres.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Endringer og forskjeller fra ISO 27002:2013

27002:2022/7.10 erstatter 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Det er fire hovedforskjeller som må fremheves:

  • Strukturelle endringer

Mens 2013-versjonen inneholdt tre separate kontroller på ledelsen av media, avhending av media og fysisk medieoverføring, kombinerer 2022-versjonen disse tre kontrollene under kontroll 7.10.

  • 2022-versjonen inkluderer krav til gjenbruk av lagringsmedier

I motsetning til 2013-versjonen som kun tok for seg sikker avhending av lagringsmedier, omhandler 2022-versjonen også sikker gjenbruk av lagringsmedier.

  • 2013-versjonen inneholder mer omfattende krav til fysisk overføring av lagringsmedier

2013-versjonen innebar mer omfattende krav til fysisk overføring av lagringsmedier. For eksempel inkluderte 2013-versjonen regler om ID-verifisering for kurerer og emballasjestandarder.

Kontroll 7.10 i 2022-versjonen sa derimot bare at organisasjoner skulle opptre med aktsomhet når de velger tjenesteleverandører som kurerer.

  • 2022-versjonen krever en emnespesifikk policy for flyttbare lagringsmedier

Mens 2022- og 2013-versjonene i stor grad ligner på krav til flyttbare lagringsmedier, introduserer 2022-versjonen kravet om å etablere en emnespesifikk policy for flyttbare lagringsmedier. 2013-versjonen dekket derimot ikke dette kravet.

Hvordan ISMS.online hjelper

De ISMS.online plattform bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.

Ta kontakt i dag for å bestill en demo.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer