IT-utstyr som servere, bærbare datamaskiner, nettverksenheter og skrivere er avgjørende for mange informasjonsbehandlingsoperasjoner som lagring, bruk og overføring av informasjonsressurser.
Men hvis dette utstyret ikke vedlikeholdes under hensyntagen til produktspesifikasjoner og miljørisiko, kan det forringes i kvalitet og ytelse. Denne mangelen på vedlikehold kan føre til kompromittering av tilgjengelighet, integritet og konfidensialitet av informasjonsmidler lagret på dette utstyret.
For eksempel, hvis en organisasjon ikke klarer å utføre regelmessig vedlikehold på servermaskinvare, kan det hende den ikke gjenkjenner at diskplassen er full. Dette kan føre til tap av data som overføres til eller ut av serveren.
Videre kan ansatte eller eksterne tjenesteleverandører få tilgang til IT-utstyr som en del av vedlikeholdsprosedyren, og dette kan også utgjøre en risiko for konfidensialiteten til sensitiv informasjon.
For eksempel kan en ekstern leverandør av vedlikeholdstjenester få tilgang til sensitiv informasjon lagret på bærbare datamaskiner eller installere skadelig programvare på enheter.
Kontroll 7.13 omhandler hvordan organisasjoner kan etablere og implementere hensiktsmessige prosedyrer og tiltak for forsvarlig vedlikehold av utstyr slik at informasjonskapasitet lagret på dette utstyret er ikke kompromittert.
Kontroll 7.13 gjør det mulig for organisasjoner å sette på plass nødvendige tekniske tiltak og prosedyrer for å utføre forsvarlige vedlikeholdsaktiviteter på utstyr som brukes til å lagre informasjonsmidler.
Disse tiltakene og prosedyrene gir sikkerhet for at informasjonsressurser ikke går tapt eller skades, og at de ikke er utsatt for risikoen for kompromittering, for eksempel uautorisert tilgang.
Kontroll 7.13 er en forebyggende type kontroll som krever at organisasjoner tar en proaktiv tilnærming til vedlikehold av utstyr.
Det innebærer å oppdage risikoer som kan oppstå på grunn av mangel på vedlikehold, etablere prosedyrer for vedlikehold av utstyr som tar hensyn til hvert utstyrs spesifikasjoner, og anvende passende kontroller som vil beskytte informasjonsressurser vert på dette utstyret mot kompromiss.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Fysisk sikkerhet # Asset Management | #Beskyttelse #Motstandsdyktighet |
Overholdelse av kontroll 7.13 innebærer å lage en liste over utstyr, gjennomføre en risikovurdering basert på miljøfaktorer og produktspesifikasjoner og etablere og implementere egnede prosedyrer og tiltak for riktig vedlikehold.
Mens rollen til enkeltpersoner som håndterer dette utstyret på daglig basis er kritisk, bør informasjonssikkerhetssjefen bære ansvaret for overholdelse av kontroll 7.13.
Kontroll 7.13 viser 11 spesifikke anbefalinger for organisasjoner å vurdere:
Kontroll 7.13 sier at følgende regnes som utstyr og faller inn under kontroll 7.13:
27002: 2022/7.13 erstatter 27002:2013/(11.2.4)
Sammenlignet med 2013-versjonen, stiller Control 7.13 i 2022-versjonen mer omfattende krav. Mens 2013-versjonen bare oppførte seks spesifikke krav, inneholder Control 7.13 11 krav.
Kontroll 7.13 introduserer de fem følgende kravene, som ikke ble behandlet i 2013-versjonen:
I tilleggsveiledningen definerer kontroll 7.13 hva som faller inn under "Utstyr". I motsetning til dette refererte ikke 2013-versjonen til betydningen av "Utstyr".
ISMS.Online lar deg:
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
