Når IT-utstyr som eksterne stasjoner, USB-stasjoner, bærbare datamaskiner eller skrivere ikke lenger er nødvendig, blir de enten fysisk ødelagt, returnert tilbake til leieren, overført til en tredjepart, resirkulert eller gjort tilgjengelig for gjenbruk for å utføre annen virksomhet operasjoner.
Med tanke på at dette utstyret kan inneholde informasjonskapasitet og lisensiert programvare, bør organisasjoner sørge for at all informasjon og lisensiert programvare er ugjenkallelig fjernet eller overskrevet før avhending eller gjenbruk finner sted. Dette vil bidra til å opprettholde konfidensialiteten til informasjonen i dette utstyret.
For eksempel, hvis en organisasjon bruker en ekstern leverandør av IT-ressurstjenester og overfører gamle bærbare datamaskiner, skrivere og eksterne stasjoner til denne leverandøren, kan denne tjenesteleverandøren få uautorisert tilgang til informasjon som er vert for dette utstyret.
Kontroll 7.14 tar for seg hvordan organisasjoner kan opprettholde konfidensialiteten til informasjonen som er lagret på utstyret som skal kastes eller gjenbrukes ved å implementere passende sikkerhetstiltak og prosedyrer.
Kontroll 7.14 gjør det mulig for organisasjoner å forhindre uautorisert tilgang til sensitiv informasjon ved å bekrefte at all informasjon og lisensiert programvare som er lagret på utstyr blir irreversibelt slettet eller overskrevet før utstyret kastes eller leveres til tredjeparter for gjenbruk.
Kontroll 7.14 er en forebyggende type kontroll som krever at organisasjoner opprettholder konfidensialiteten til informasjon vert på utstyret som skal kastes eller utplasseres for gjenbruk ved å etablere og anvende hensiktsmessige prosedyrer og tiltak for avhending og gjenbruk.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet | #Beskytte | #Fysisk sikkerhet # Asset Management | #Beskyttelse |
Overholdelse av kontroll 7.14 krever etablering av en organisasjonsomfattende dataavhending-gjenbruksprosedyre, identifikasjon av alt utstyr og implementering av passende tekniske avhendingsmekanismer og gjenbruksprosess.
Derfor bør informasjonssjefen være ansvarlig for etablering, implementering og vedlikehold av prosedyrer og mekanismer for avhending av utstyr og gjenbruk.
Kontroll 7.14 lister opp fire viktige hensyn som organisasjoner bør ta i betraktning for overholdelse:
Før deponering finner sted eller utstyret gjøres tilgjengelig for gjenbruk, må organisasjoner bekrefte om utstyret inneholder noe informasjonsressurser og lisensiert programvare og bør sikre at slik informasjon eller programvare slettes permanent.
Kontroll 7.14 viser to metoder som kan brukes til å fjerne informasjonen i utstyr på en sikker og permanent måte:
Komponenter av utstyret og informasjonen i det kan ha etiketter og merker som identifiserer organisasjonen eller som avslører navnet på eieren av eiendelen, nettverket eller informasjonsklassifiseringsnivået som er tildelt.
Alle disse etikettene og merkingene bør destrueres uopprettelig.
Med hensyn til følgende forhold kan organisasjoner velge å avinstallere alle sikkerhetskontroller som tilgangsbegrensninger eller overvåkingssystemer når de forlater fasiliteter:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Kontroll 7.14 innebærer i tillegg til den generelle veiledningen tre konkrete anbefalinger til organisasjoner.
Når skadet utstyr som inneholder informasjon sendes til reparasjon, kan det bli utsatt for risiko for uautorisert tilgang fra tredjeparter.
Organisasjoner bør gjennomføre en risikovurdering som tar hensyn til informasjonens sensitivitetsnivå og vurder om å ødelegge utstyret er et mer levedyktig alternativ enn å reparere.
Mens krypteringsteknikken på full disk i stor grad minimerer risikoen for konfidensialitet av informasjon, bør den overholde følgende standarder:
Organisasjoner bør velge en overskrivingsteknikk som tar hensyn til følgende kriterier:
27002:2022/7.14 replaces 27002:2013/(11.2.7)
Kontroll 7.14 ligner stort sett på motstykket i 2013-versjonen. Kontroll 7.14 i 2022-versjonen inkluderer imidlertid mer omfattende krav i den generelle veiledningen.
I motsetning til 2013-versjonen introduserer 2022-versjonen følgende krav:
ISMS.Online er en komplett løsning for ISO 27002 gjennomføring.
Det er et nettbasert system som lar deg vise at din styringssystem for informasjonssikkerhet (ISMS) er i samsvar med de godkjente standardene ved hjelp av gjennomtenkte prosesser og prosedyrer og sjekklister.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |