Hva er Control 7.3?
Kontroll 7.3 i den nye ISO 27002:2022 dekker behovet for å designe og implementere fysisk sikkerhet for kontorer, rom og fasiliteter.
Denne kontrollen ble utformet for å oppmuntre organisasjoner til å ha passende tiltak på plass for å forhindre uautorisert tilgang til rom, kontorer og fasiliteter, spesielt der informasjonssikkerhet håndteres, gjennom bruk av låser, alarmer, sikkerhetsvakter eller andre hensiktsmessige midler, for å forhindre informasjon. sikkerhetsproblemer.
Fysisk sikkerhet for kontorer, rom og fasiliteter forklart
Fysisk sikkerhet er et kritisk element i informasjonssikkerhet. De to går hånd i hånd og må vurderes sammen. Informasjonssikkerhet er beskyttelse av informasjon og informasjonssystemer mot uautorisert tilgang, bruk, avsløring, avbrudd, modifikasjon eller ødeleggelse.
Fysisk sikkerhet refererer til beskyttelsestiltak iverksatt for å beskytte personell, anlegg, utstyr og andre eiendeler mot naturlige eller menneskeskapte farer ved å redusere risiko knyttet til innbrudd, sabotasje, terrorisme og andre kriminelle handlinger.
Det første trinnet i fysisk sikkerhet for informasjonssensitive steder er å avgjøre om du har en. Informasjonssensitive steder er rom, kontorer og fasiliteter, hvor det er datamaskiner som inneholder sensitive data eller hvor det er personer som har tilgang til sensitive data.
Fysisk sikkerhet kan inkludere.
Låser og nøkler
Låse dører, vinduer og skap; bruk av sikkerhetsforseglinger på bærbare datamaskiner og mobile enheter; passordbeskyttelse for datamaskiner; kryptering for sensitive data.
CCTV
TV-kameraer med lukket krets er en utmerket måte å overvåke aktivitet rundt lokaler eller i bestemte områder av en bygning.
Innbruddsalarmer
Disse kan aktiveres av bevegelse, varme eller lyd og brukes til å varsle deg om inntrengere eller personer som ikke burde være i et bestemt område (for eksempel en alarm som går når noen prøver å bryte seg inn på kontoret).
Attributttabell for kontroll 7.3
Attributter lar deg raskt matche kontrollutvalget ditt med typiske bransjespesifikasjoner og terminologi. Følgende kontroller er tilgjengelige i kontroll 7.3.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Beskytte | #Sikkerhet for leverandørforhold | #Governance og økosystem |
| #Integritet | #Beskyttelse | |||
| #Tilgjengelighet |
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er hensikten med kontroll 7.3?
Formålet med Kontroll 7.3 er å hindre uautorisert fysisk tilgang, skade og forstyrrelse av organisasjonens informasjon og andre tilhørende eiendeler i kontorer, rom og fasiliteter.
Hovedformålet med Kontroll 7.3 er å redusere risikonivået for uautorisert fysisk tilgang til kontorer, rom og fasiliteter, til et akseptabelt nivå ved å:
- Hindre uautorisert fysisk tilgang til kontorer, rom og fasiliteter av andre enn autorisert personell.
- Forhindre skade eller forstyrrelse av organisasjonens informasjon og andre tilhørende eiendeler inne på kontorer, rom og fasiliteter.
- Sikre at alle informasjonssikkerhetssensitive områder ikke er påtrengende for å gjøre det vanskelig for folk å bestemme formålet sitt.
- Minimere risikoen for tyveri eller tap av eiendom innenfor kontorer, rom og fasiliteter.
- Sikre at personer som har autorisert fysisk tilgang blir identifisert (dette kan oppnås ved å bruke en kombinasjon av uniformsmerker, elektroniske dørinngangssystemer og besøkskort).
- Der det er mulig, bør CCTV eller andre overvåkingsenheter brukes for å gi sikkerhetsovervåking over nøkkelområder som innganger/utganger.
Kontroll 7.3 gjelder alle bygninger som brukes av organisasjonen til kontorer eller administrative funksjoner. Det gjelder også rom hvor konfidensiell informasjon lagres eller behandles, inkludert møterom hvor sensitive diskusjoner finner sted.
Den gjelder ikke for mottaksområder eller andre offentlige områder i en organisasjons lokaler med mindre de brukes til administrative formål (f.eks. et resepsjonsområde som fungerer som kontor).
Hva er involvert og hvordan du oppfyller kravene
Kontrollen 7.3 spesifiserer at rom og anlegg skal sikres. Følgende sikkerhetstiltak kan tas, i henhold til kontrollretningslinjene i ISO 27002:2022, for å sikre at rom og fasiliteter er sikre:
- Plassering av kritiske fasiliteter for å unngå tilgang for publikum.
- Der det er aktuelt, sikre at bygninger er diskrete og gir minimumsindikasjoner om formålet, uten tydelige tegn, utenfor eller inne i bygningen, som identifiserer tilstedeværelsen av informasjonsbehandlingsaktiviteter.
- Konfigurere fasiliteter for å forhindre at konfidensiell informasjon eller aktiviteter blir synlig og hørbar fra utsiden. Elektromagnetisk skjerming bør også vurderes som hensiktsmessig.
- Ikke gjør kataloger, interne telefonbøker og online tilgjengelige kart som identifiserer plasseringer av konfidensiell informasjonsbehandlingsfasiliteter lett tilgjengelig for enhver uautorisert person.
Du kan få mer informasjon om hva som ligger i å oppfylle kravene til kontrollen i standarddokumentet ISO 27002:2022.
Endringer og forskjeller fra ISO 27002:2013
Opprinnelig publisert i 2013, ble den reviderte 2022-revisjonen av ISO 27002 utgitt 15. februar 2022.
Kontroll 7.3 er ikke en ny kontroll. Det refererer til en modifisert versjon av kontroll 11.1.3 i ISO 27002. En stor forskjell mellom 2013- og 2022-versjonene er endringen i kontrollnummeret. Kontrollnummeret 11.1.3 ble erstattet med 7.3. Bortsett fra det er konteksten og betydningen stort sett den samme, selv om fraseologien er annerledes.
En annen forskjell mellom begge kontrollene er at 2022-versjonen kommer med en attributttabell og formålserklæring. Disse delene er ikke tilgjengelige i 2013-versjonen.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Hvem er ansvarlig for denne prosessen?
Den første man må vurdere når det gjelder sikring av kontorer, rom og fasiliteter er den som har mest kontroll over det fysiske bygget og dets innhold. Denne personen er vanligvis anleggsleder eller direktør.
Så er det sikkerhetssjefen. Sikkerhetsansvarlig er ansvarlig for at alle områder er sikre, inkludert kontorlokaler og fasiliteter. Sikkerhetssjefen er også ansvarlig for å holde styr på alle ansatte som har tilgang til disse områdene og sørge for at de bruker tilgangen på riktig måte.
I noen tilfeller deler imidlertid flere personer ansvaret for sikkerhet. For eksempel, når en person har tilgang til sensitiv informasjon som kan brukes mot bedriftens interesser eller andre ansattes personlige liv, er det viktig å ha flere personer involvert i beskyttelsen deres.
En HR-avdeling kan håndtere ansattes forsikringer og fordeler mens IT håndterer datasystemer og nettverk; begge avdelingene kan ha en hånd i å administrere fysisk sikkerhet så vel som cybersikkerhetsproblemer som phishing-svindel og uautoriserte tilgangsforsøk.
Hva betyr disse endringene for deg?
Ingen store endringer kreves for å overholde den nyeste versjonen av ISO 27002.
Du bør imidlertid vurdere din nåværende informasjonssikkerhetsløsning for å sikre at den er i samsvar med den reviderte standarden. Hvis du har gjort noen endringer siden den siste utgaven ble utgitt i 2013, er det verdt å se disse justeringene på nytt for å finne ut om de fortsatt er relevante eller om de må oppdateres.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.Online hjelper
Plattformen vår er utviklet spesielt for de som er nye innen informasjonssikkerhet eller trenger en enkel måte å lære om ISO 27002 uten å måtte bruke tid på å lære fra bunnen av eller lese gjennom lange dokumenter.
ISMS.Online er utstyrt med alle verktøyene som trengs for å oppnå samsvar, inkludert dokumentmaler, sjekklister og retningslinjer som kan tilpasses etter dine behov.
Vil du se hvordan det fungerer?
Ta kontakt i dag for å bestill en demo.
