Kontroll 7.2 dekker behovet for organisasjoner for å beskytte sikre områder ved å bruke passende inngangskontroller og tilgangspunkter.
Inngangskontroller og tilgangspunkter er en avgjørende del av enhver bygnings sikkerhetssystem. Det er de som gjør det mulig for deg å komme deg inn og ut av bygningen din uten å gå på bekostning av sikkerheten, og de kan også hindre uautoriserte eller uønskede personer i å komme inn.
Inngangskontroller er enhetene som lar deg få tilgang til en bygning gjennom dører eller porter, for eksempel tastaturer, kortlesere, biometriske skannere og fjernkontroller. De kan også inkludere andre funksjoner som låsemekanismer for dører og porter, samt turnstiles eller svingdører.
Et tilgangspunkt er en elektronisk enhet som gir sikkerhet i store næringsbygg. Den bruker teknologi for radiofrekvensidentifikasjon (RFID) for å spore all bevegelse inn og ut av anlegget. Tilgangspunktet sender data tilbake til hovedkvarteret slik at sikkerhetspersonell kan overvåke når noen kommer inn eller forlater anlegget og hvilke områder de har tilgang til mens de er der.
Attributter brukes til å klassifisere kontroller. Ved å bruke disse kan du enkelt matche kontrollvalget ditt med regelmessig brukte bransjefraser og krav. Attributtene i kontroll 7.2 er som følger.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Fysisk sikkerhet #Identitets- og tilgangsadministrasjon | #Beskyttelse |
Kontroll 7.2 sikrer kun autorisert fysisk tilgang til organisasjonens informasjon og andre tilhørende eiendeler.
Fysisk sikkerhet er av primær betydning når man beskytter konfidensialitet, integritet og tilgjengelighet til informasjonsressurser. Kontroll 7.2 er først og fremst opptatt av å beskytte informasjon og andre tilhørende eiendeler mot uautorisert tilgang, tyveri eller tap. For dette formål må passende inngangskontroller og tilgangspunkter være på plass for å sikre at kun autoriserte personer kan få tilgang til sikre områder.
Disse kontrollene bør utformes slik at de gir en rimelig sikkerhet for at fysisk tilgang er begrenset til autoriserte personer og at disse personene faktisk er den de utgir seg for å være.
Dette inkluderer bruk av låser og nøkler (både manuelle og elektroniske), sikkerhetsvakter, overvåkingssystemer og andre barrierer rundt innganger og tilgangspunkter. Adgangskontrollsystemer som passord, kortnøkler eller biometriske enheter kan også brukes for å kontrollere tilgang til sensitive områder i anlegget bør også utplasseres.
For å oppfylle kravene til kontroll 7.2-implementering er organisasjoner pålagt å kontrollere og om mulig isolere fra informasjonsbehandlingsanlegg tilgangspunkter som leverings- og lasteområder og andre punkter der uvedkommende kan ta seg inn i lokalene, for å unngå uautorisert tilgang. Disse områdene bør være begrenset til kun autorisert personell.
Det er ganske mange implementeringsveiledninger i ISO 27002 standarddokumentet under kontroll 7.2 som kan tjene som grunnlag for å oppfylle kravene til denne kontrollen. Disse retningslinjene dekker generelt personell, besøkende og leveringsfolk. Du kan se implementeringsretningslinjene når du får tilgang til den reviderte versjonen av ISO 27002:2022.
For det første er ikke kontroll 7.2 i ISO 27002:2022 en ny kontroll, snarere er det en kombinasjon av kontrollene 11.1.2 og 11.1.6 i ISO 27002:2013. Disse to kontrollene ble revidert i ISO 27002:2022 for å gjøre den mer brukervennlig i forhold til ISO 27002:2013.
Kontroll 11.1.2 – Fysiske inngangskontroller, dekker behovet for sikre områder som skal beskyttes av passende inngangskontroller for å sikre at kun autorisert personell får tilgang. Som du kan se, dekker kontroll 11.1.2 i utgangspunktet fysiske inngangskontroller, og implementeringsretningslinjene i den delen av standarden ser på trinnene organisasjoner kan ta for å sikre at bare personer som er autorisert kan tillates for spesifikke formål.
Den fastsetter også at passende tiltak som tofaktorautentisering er nødvendig for tilgang til informasjonssikkerhetssensitive områder av autoriserte personer. Denne tilgangen bør også støttes av en fysisk loggbok eller elektronisk revisjonsspor.
Kontroll 11.1.6 – Leverings- og lasteområder på den annen side dekker tilgang til leverings- og lasteområder kun for autoriserte personer. Det anbefales at dette området utformes slik at det er isolert fra driftslokaler slik at leveringspersonell ikke kan få tilgang til andre deler av bygget.
Som du kan se, ble disse to anbefalingene slått sammen til én i kontroll 7.2 i den oppdaterte versjonen av ISO 27002.
Til syvende og sist er kontroll 7.2 og kontroll 11.1.2 og 11.1.6 noe like i sammenheng. Den primære forskjellen er at 11.1.2 og 11.1.6 ble slått sammen for å gi økt brukervennlighet.
I tillegg ble en attributttabell og kontrollformål lagt til i 2022-versjonen av ISO 27002. Disse to elementene er ikke i kontrollene i 2013-versjonen.
Kontroll av fysisk tilgang regnes som blant de viktigste sikkerhetstiltakene i en bedrift eller organisasjon.
Sikkerhetsavdelingen er ansvarlig for alle aspekter av fysisk sikkerhet, inkludert inngangskontroll. De kan imidlertid delegere myndighet til en annen avdeling dersom de føler at de mangler kompetansen eller ressursene som trengs for å håndtere denne oppgaven.
IT-team spiller også en viktig rolle i fysisk sikkerhet. De bidrar til å sikre at teknologisystemene som brukes av fysisk sikkerhet, er oppdaterte og sikre. For eksempel, hvis du har et inntrengningsdeteksjonssystem (IDS) på plass ved organisasjonens inngangsdør, men programvaren ikke har blitt oppdatert på måneder, vil det ikke gjøre mye nytte når en inntrenger prøver å komme seg forbi det.
Siden ISO 27002-standarden bare ble litt endret, trenger ikke organisasjonen din å endre praksisen for informasjonssikkerhet særlig mye.
Hvis du allerede har en ISO 27001-sertifisering, vil du finne at din nåværende tilnærming til informasjonssikkerhetsstyring tilfredsstiller de nye standardene.
Hvis du starter fra bunnen av, må du imidlertid gjøre deg kjent med informasjonen i den nye standarden.
Vennligst sjekk vår nye ISO 27002:2022-veiledning for å lære mer om hvordan disse endringene kan påvirke organisasjonen din.
Plattformen vår gir brukere tilgang til all nødvendig dokumentasjon og ressurser som policyer, prosedyrer, standarder, retningslinjer og informasjon knyttet til compliance-prosesser.
ISMS.online-plattformen er ideell for selskaper som trenger å:
Plattformen vår gir deg tilpassbare dashboards som gir deg sanntids innsyn i samsvarsstatusen din.
Du kan overvåke og administrere alle aspekter av ISO 27002-samsvarsreisen fra ett sted – revisjonsstyring, gapanalyse, opplæringsledelse, risikovurdering osv.
Det gir en brukervennlig, integrert løsning som kan nås 24/7 via alle enheter med internettforbindelse. Plattformen lar alle ansatte samarbeide sømløst og sikkert for å håndtere sikkerhetsrisikoer og spore organisasjonens etterlevelse, samt reisen mot ISO 27001-sertifisering.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
