Bruk av lagringsmedieenheter som solid-state-stasjoner (SSD), USB-pinner, eksterne stasjoner og mobiltelefoner er avgjørende for mange kritiske informasjonsbehandlingsoperasjoner som sikkerhetskopiering av data, datalagring og informasjonsoverføring.
Imidlertid lagring av sensitive og kritiske informasjon om disse enhetene introduserer risikoer for integriteten, konfidensialitet og tilgjengelighet av informasjonsressurser. Disse risikoene kan omfatte tap eller tyveri av lagringsmedier som inneholder sensitiv informasjon, spredning av skadelig programvare til alle bedriftens datanettverk via lagringsmediene, og feil og forringelse av lagringsmedieenheter som brukes til sikkerhetskopiering av data.
Kontroll 7.10 tar for seg hvordan organisasjoner kan etablere passende prosedyrer, retningslinjer og kontroller for å opprettholde sikkerheten til lagringsmedier gjennom hele livssyklusen, fra anskaffelse til avhending.
Kontroll 7.10 gjør det mulig for organisasjoner å eliminere og redusere risikoen for uautorisert tilgang til, bruk, sletting, modifikasjon og overføring av sensitiv informasjon som ligger på lagringsmedieenheter ved å fastsette prosedyrer for håndtering av lagringsmedier gjennom hele livssyklusen.
Kontroll 7.10 er en forebyggende type kontroll som krever at organisasjoner oppretter, implementerer og vedlikeholder prosedyrer og tiltak for å sikre sikkerheten til lagringsmedieenheter fra anskaffelse til avhending.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Fysisk sikkerhet # Asset Management | #Beskyttelse |
Kontroll 7.10 gjelder både digitale og fysiske lagringsmedier. For eksempel lagring av informasjon på fysiske filer er også omfattet av kontroll 7.10.
I tillegg til de flyttbare lagringsmediene er faste lagringsmedier som harddisker også underlagt kontroll 7.10.
Kontroll 7.10 krever at organisasjoner oppretter og implementerer hensiktsmessige prosedyrer, tekniske kontroller og organisasjonsomfattende retningslinjer for bruk av lagringsmedier basert på organisasjonens eget klassifiseringsskjema og dens datahåndteringskrav som juridiske og kontraktsmessige forpliktelser.
Med tanke på dette bør informasjonssikkerhetsledere være ansvarlige for hele compliance-prosessen.
Selv om flyttbare lagringsmedier er avgjørende for mange forretningsoperasjoner, og de brukes ofte av de fleste ansatte, utgjør de den høyeste grad av risiko for den sensitive informasjonen.
Kontroll 7.10 viser ti krav som organisasjoner bør overholde for administrasjon av flyttbare lagringsmedier gjennom hele livssyklusen:
Kontroll 7.10 gir egen veiledning for sikker gjenbruk og avhending av lagringsmedier slik at organisasjoner kan redusere og eliminere risikoen for kompromittering av konfidensialiteten til informasjon.
Kontroll 7.10 fremhever at organisasjoner bør definere og anvende prosedyrer for gjenbruk og avhending av lagringsmedier, under hensyntagen til sensitivitetsnivået til informasjonen i lagringsmediet.
Ved å etablere disse prosedyrene bør organisasjoner vurdere følgende:
Sist men ikke minst krever Control 7.10 at organisasjoner utfører en risikovurdering på skadet utstyr som lagrer konfidensiell informasjon å avgjøre om utstyret skal destrueres i stedet for å repareres.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
27002:2022/7.10 erstatter 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Det er fire hovedforskjeller som må fremheves:
Mens 2013-versjonen inneholdt tre separate kontroller på ledelsen av media, avhending av media og fysisk medieoverføring, kombinerer 2022-versjonen disse tre kontrollene under kontroll 7.10.
I motsetning til 2013-versjonen som kun tok for seg sikker avhending av lagringsmedier, omhandler 2022-versjonen også sikker gjenbruk av lagringsmedier.
2013-versjonen innebar mer omfattende krav til fysisk overføring av lagringsmedier. For eksempel inkluderte 2013-versjonen regler om ID-verifisering for kurerer og emballasjestandarder.
Kontroll 7.10 i 2022-versjonen sa derimot bare at organisasjoner skulle opptre med aktsomhet når de velger tjenesteleverandører som kurerer.
Mens 2022- og 2013-versjonene i stor grad ligner på krav til flyttbare lagringsmedier, introduserer 2022-versjonen kravet om å etablere en emnespesifikk policy for flyttbare lagringsmedier. 2013-versjonen dekket derimot ikke dette kravet.
De ISMS.online plattform bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |