ISO 27002:2022, Kontroll 7.11, Støtteverktøy

ISO 27002:2022 – Kontroll 7.11 – Støtteverktøy

ISO 27002:2022 Control 7.11 (Supporting Utilities) fokuserer på å beskytte informasjonsressurser ved å sikre påliteligheten til viktige verktøy som strøm, vann og telekom. Den anbefaler revisjoner, redundanstiltak og sikre konfigurasjoner for å forhindre forstyrrelser og støtte forretningskontinuitet.

ISO 27002 kontroll 7.11: Sikre pålitelige og sikre støtteverktøy

Feil eller forstyrrelser av verktøy som elektrisitet, gass, vann eller kjøling som er nødvendig for riktig og kontinuerlig funksjon av informasjonsbehandlingsanlegg kan føre til kompromittering av informasjonsressurser eller kan avskjære forretningskontinuitet.

For eksempel kan svikt i klimaanlegg i et datasenter føre til en plutselig temperaturøkning når datasenteret rammes av en hetebølge. Dette kan føre til at servere som hoster nettsider og/eller kundedata stenges, og dermed føre til tap av tilgjengelighet av data og forstyrrelser i forretningsdriften.

Kontroll 7.11 tar for seg hvordan organisasjoner kan eliminere risikoer for tilgjengelighet og integritet til informasjonsressurser på grunn av svikt i støtteverktøy som gass, kjøling, telekommunikasjon, vann og elektrisitet.

Formål med kontroll 7.11

Kontroll 7.11 gjør det mulig for organisasjoner å eliminere og redusere risikoer for tilgjengeligheten og integriteten til informasjonsressurser og for Forretnings kontinuitet ved å sette på plass passende tiltak som beskytter støtteverktøy mot feil og forstyrrelser som strømbrudd.

Attributttabell for kontroll 7.11

Kontroll 7.11 er både detektiv og forebyggende ettersom den krever at organisasjoner tar en proaktiv tilnærming og implementerer forholdsregler. tiltak mot risikoene til riktig og kontinuerlig funksjon av verktøy som kreves for informasjonsbehandlingsfasiliteter som datasentre, nettverkssystemer og datautstyr.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Integritet	#Beskytte	#Fysisk sikkerhet	#Beskyttelse
#Detektiv	#Tilgjengelighet	#Oppdag

Eierskap til kontroll 7.11

Kontroll 7.11 innebærer identifisere risikoer for den kontinuerlige driften støtte verktøy og implementering av passende tiltak og kontroller for å sikre at tilgjengeligheten og integriteten til informasjonsressurser ikke påvirkes av feil i disse verktøyene.

Mens anleggsledelsens rolle og innsats er kritisk, bør informasjonssikkerhetssjefen bære ansvaret for overholdelse av kontroll 7.11.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Generell veiledning om samsvar

Etter å ha fremhevet at støtteverktøy som vannforsyning, elektrisitet, kommunikasjon, kloakk og klimaanlegg er avgjørende for operasjonene som utføres i informasjonsbehandlingsanlegg.

Generell veiledning viser syv viktige anbefalinger som organisasjoner bør ta hensyn til for å overholde kontroll 7.11:

Organisasjoner bør følge produsentens instruksjoner når de konfigurerer, bruker og vedlikeholder enhetene som brukes til å kontrollere verktøyene.
Verktøy bør revideres for å sikre at de er egnet til å oppfylle forretningsvekstmål og de opererer med andre verktøy uten problemer.
Alt utstyr som støtter verktøyene bør gå gjennom regelmessige inspeksjoner og testing slik at det ikke er noen forstyrrelser eller svikt i deres funksjon.
Avhengig av risikonivået for informasjonsressurser og forretningskontinuitet, kan et alarmsystem etableres for funksjonsfeil utstyr som støtter verktøyene.
For å minimere risikoen, bør verktøy ha flere feeder med separat fysisk ruting.
Nettverket som er koblet til utstyret som støtter verktøyene, bør være atskilt fra nettverket som er koblet til IT-fasiliteter.
Utstyr som støtter verktøyene bør kun tillates å koble til internett hvis det er strengt nødvendig, og denne forbindelsen bør etableres på en sikker måte.

Supplerende veiledning

Bortsett fra den generelle veiledningen, innebærer kontroll 7.11 anbefalinger om to spesifikke spørsmål:

Nødprosedyrer

Organisasjoner bør fastsette en nødkontaktperson og registrere hans/hennes kontaktinformasjon. Disse opplysningene skal gis til alt personell i tilfelle en feil eller avbrudd oppstår.

Nødbrytere og ventiler for å stoppe verktøy som vann, gass og elektrisitet bør plasseres i nærheten av nødutgangene.

Nødlys og kommunikasjon skal være klar til bruk i tilfelle en nødsituasjon oppstår.

Nettverkstilkobling

Organisasjoner kan vurdere å ha flere ruter fra alternative tjenesteleverandører for å øke nettverkstilkoblingen slik at feil eller forstyrrelser av støtteverktøy forhindres.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022/7.11 replaces 27002:2013/(11.2.2)

Mens 2022-versjonen i stor grad ligner på 2013-versjonen, er det en viktig forskjell.

Ocuco ISO 27002:2022 versjon introduserer følgende to krav i sin generelle veiledning:

Nettverket som er koblet til utstyret som støtter verktøyene, bør være atskilt fra nettverket som er koblet til IT-fasiliteter.
Utstyr som støtter verktøyene bør kun tillates å koble til internett hvis det er strengt nødvendig, og denne forbindelsen bør etableres på en sikker måte.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Bedrifter kan bruke ISMS.Online for å hjelpe dem med deres Overholdelse av ISO 27002 innsats ved å gi dem en plattform som gjør det enkelt å administrere sikkerhetspolicyer og -prosedyrer, oppdatere dem etter behov, teste dem og overvåke effektiviteten.

Vår skybaserte plattform lar deg administrere raskt og enkelt alle aspekter av ISMS-en din, inkludert risikostyring, retningslinjer, planer, prosedyrer og mer, på ett sentralt sted. Plattformen er enkel å bruke og har et intuitivt grensesnitt som gjør det enkelt å lære å bruke.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt