Kontroll 7.3 i den nye ISO 27002:2022 dekker behovet for å designe og implementere fysisk sikkerhet for kontorer, rom og fasiliteter.
Denne kontrollen ble utformet for å oppmuntre organisasjoner til å ha passende tiltak på plass for å forhindre uautorisert tilgang til rom, kontorer og fasiliteter, spesielt der informasjonssikkerhet håndteres, gjennom bruk av låser, alarmer, sikkerhetsvakter eller andre hensiktsmessige midler, for å forhindre informasjon. sikkerhetsproblemer.
Fysisk sikkerhet er et kritisk element i informasjonssikkerhet. De to går hånd i hånd og må vurderes sammen. Informasjonssikkerhet er beskyttelse av informasjon og informasjonssystemer mot uautorisert tilgang, bruk, avsløring, avbrudd, modifikasjon eller ødeleggelse.
Fysisk sikkerhet refererer til beskyttelsestiltak iverksatt for å beskytte personell, anlegg, utstyr og andre eiendeler mot naturlige eller menneskeskapte farer ved å redusere risiko knyttet til innbrudd, sabotasje, terrorisme og andre kriminelle handlinger.
Det første trinnet i fysisk sikkerhet for informasjonssensitive steder er å avgjøre om du har en. Informasjonssensitive steder er rom, kontorer og fasiliteter, hvor det er datamaskiner som inneholder sensitive data eller hvor det er personer som har tilgang til sensitive data.
Fysisk sikkerhet kan inkludere.
Låse dører, vinduer og skap; bruk av sikkerhetsforseglinger på bærbare datamaskiner og mobile enheter; passordbeskyttelse for datamaskiner; kryptering for sensitive data.
TV-kameraer med lukket krets er en utmerket måte å overvåke aktivitet rundt lokaler eller i bestemte områder av en bygning.
Disse kan aktiveres av bevegelse, varme eller lyd og brukes til å varsle deg om inntrengere eller personer som ikke burde være i et bestemt område (for eksempel en alarm som går når noen prøver å bryte seg inn på kontoret).
Attributter lar deg raskt matche kontrollutvalget ditt med typiske bransjespesifikasjoner og terminologi. Følgende kontroller er tilgjengelige i kontroll 7.3.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Sikkerhet for leverandørforhold | #Governance and Ecosystem #Beskyttelse |
Formålet med Kontroll 7.3 er å hindre uautorisert fysisk tilgang, skade og forstyrrelse av organisasjonens informasjon og andre tilhørende eiendeler i kontorer, rom og fasiliteter.
Hovedformålet med Kontroll 7.3 er å redusere risikonivået for uautorisert fysisk tilgang til kontorer, rom og fasiliteter, til et akseptabelt nivå ved å:
Kontroll 7.3 gjelder alle bygninger som brukes av organisasjonen til kontorer eller administrative funksjoner. Det gjelder også rom hvor konfidensiell informasjon lagres eller behandles, inkludert møterom hvor sensitive diskusjoner finner sted.
Den gjelder ikke for mottaksområder eller andre offentlige områder i en organisasjons lokaler med mindre de brukes til administrative formål (f.eks. et resepsjonsområde som fungerer som kontor).
Kontrollen 7.3 spesifiserer at rom og anlegg skal sikres. Følgende sikkerhetstiltak kan tas, i henhold til kontrollretningslinjene i ISO 27002:2022, for å sikre at rom og fasiliteter er sikre:
Du kan få mer informasjon om hva som ligger i å oppfylle kravene til kontrollen i standarddokumentet ISO 27002:2022.
Opprinnelig publisert i 2013, ble den reviderte 2022-revisjonen av ISO 27002 utgitt 15. februar 2022.
Kontroll 7.3 er ikke en ny kontroll. Det refererer til en modifisert versjon av kontroll 11.1.3 i ISO 27002. En stor forskjell mellom 2013- og 2022-versjonene er endringen i kontrollnummeret. Kontrollnummeret 11.1.3 ble erstattet med 7.3. Bortsett fra det er konteksten og betydningen stort sett den samme, selv om fraseologien er annerledes.
En annen forskjell mellom begge kontrollene er at 2022-versjonen kommer med en attributttabell og formålserklæring. Disse delene er ikke tilgjengelige i 2013-versjonen.
Den første man må vurdere når det gjelder sikring av kontorer, rom og fasiliteter er den som har mest kontroll over det fysiske bygget og dets innhold. Denne personen er vanligvis anleggsleder eller direktør.
Så er det sikkerhetssjefen. Sikkerhetsansvarlig er ansvarlig for at alle områder er sikre, inkludert kontorlokaler og fasiliteter. Sikkerhetssjefen er også ansvarlig for å holde styr på alle ansatte som har tilgang til disse områdene og sørge for at de bruker tilgangen på riktig måte.
I noen tilfeller deler imidlertid flere personer ansvaret for sikkerhet. For eksempel, når en person har tilgang til sensitiv informasjon som kan brukes mot bedriftens interesser eller andre ansattes personlige liv, er det viktig å ha flere personer involvert i beskyttelsen deres.
En HR-avdeling kan håndtere ansattes forsikringer og fordeler mens IT håndterer datasystemer og nettverk; begge avdelingene kan ha en hånd i å administrere fysisk sikkerhet så vel som cybersikkerhetsproblemer som phishing-svindel og uautoriserte tilgangsforsøk.
Ingen store endringer kreves for å overholde den nyeste versjonen av ISO 27002.
Du bør imidlertid vurdere din nåværende informasjonssikkerhetsløsning for å sikre at den er i samsvar med den reviderte standarden. Hvis du har gjort noen endringer siden den siste utgaven ble utgitt i 2013, er det verdt å se disse justeringene på nytt for å finne ut om de fortsatt er relevante eller om de må oppdateres.
Plattformen vår er utviklet spesielt for de som er nye innen informasjonssikkerhet eller trenger en enkel måte å lære om ISO 27002 uten å måtte bruke tid på å lære fra bunnen av eller lese gjennom lange dokumenter.
ISMS.Online er utstyrt med alle verktøyene som trengs for å oppnå samsvar, inkludert dokumentmaler, sjekklister og retningslinjer som kan tilpasses etter dine behov.
Vil du se hvordan det fungerer?
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
