Uautorisert tilgang til begrensede fysiske områder som serverrom og IT-utstyrsrom kan føre til tap av konfidensialitet, tilgjengelighet, integritet og sikkerhet for informasjonsmidler.
Kontroll 7.4 omhandler implementering av hensiktsmessige overvåkingssystemer til hindre uautorisert tilgang av inntrengere til sensitive fysiske lokaler.
Kontroll 7.4 er en ny type kontroll som krever at organisasjoner oppdager og forebygger eksternt og internt inntrengere som går inn i begrensede fysiske områder uten tillatelse ved å sette på plass egnede overvåkingsverktøy.
Disse overvåkingsverktøyene overvåker og registrerer kontinuerlig tilgangsbegrensede områder og beskytter organisasjonen mot risikoer som kan oppstå som følge av uautorisert tilgang, inkludert men ikke begrenset til:
Kontroll 7.4 er detektiv og forebyggende. Det gjør det mulig for organisasjoner å opprettholde integritet, konfidensialitet, tilgjengelighet og sikkerhet for sensitive data og kritiske informasjonsressurser ved kontinuerlig overvåking av tilgang til begrensede lokaler.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende #Detektiv | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte #Oppdag | #Fysisk sikkerhet | #Beskyttelse #Forsvar |
Overholdelse av kontroll 7.4 krever identifikasjon av alle begrensede områder og fastsettelse av overvåkingsverktøy som passer til det aktuelle fysiske området.
Derfor bør hovedsikkerhetsoffiserer være ansvarlige for riktig implementering, vedlikehold, styring og gjennomgang av overvåkingssystemer.
Kontroll 7.4 krever at organisasjoner implementerer disse tre trinnene for å oppdage og hindre uautorisert tilgang til fasiliteter som er vert for kritiske informasjonsressurser:
Organisasjoner bør ha et videoovervåkingssystem, et eksempel er et CCTV-kamera, for å kontinuerlig overvåke tilgang til begrensede områder som er vert for kritiske informasjonsressurser. Videre bør dette overvåkingssystemet føre en oversikt over alle innreise til de fysiske lokalene.
Utløse en alarm når en inntrenger går inn i fysiske lokaler, gjør det mulig for sikkerhetsteamet å reagere raskt på sikkerhetsbrudd. Videre kan det også være effektivt for å avskrekke inntrengeren.
Organisasjoner bør bruke bevegelses-, lyd- og kontaktdetektorer som utløser en alarm når en uvanlig aktivitet i de fysiske lokalene oppdages.
Spesielt:
Det tredje overholdelsestrinnet krever konfigurasjon av alarmsystemet for å sikre at alle sensitive områder, inkludert alle ytterdører, vinduer, ledige områder og datarom er innenfor rekkevidden til alarmsystemet slik at det ikke er noen sårbarhet som kan utnyttes.
For eksempel, hvis lokaler som røykeområder eller til og med innganger til treningsstudioer ikke er overvåket, kan disse brukes som angrepsvektorer av inntrengere.
Vår nylige suksess med å oppnå ISO 27001-, 27017- og 27018-sertifiseringer var i stor grad knyttet til ISMS.online.
Mens Control 7.4 ikke sier at organisasjoner må velge og implementere et spesifikt overvåkingssystem fremfor andre alternativer, lister den opp en rekke overvåkingsverktøy som kan brukes separat eller i kombinasjon med andre:
Kontroll 7.4 fremhever at organisasjoner bør ta hensyn til følgende når de implementerer fysiske sikkerhetsovervåkingssystemer:
Kontroll 7.4 er a ny kontroll som ikke ble behandlet i ISO 27002:2013 i enhver kapasitet.
De ISMS.online plattform tilbyr en rekke kraftige verktøy som forenkler måten du kan dokumentere, implementere, vedlikeholde og forbedre styringssystemet for informasjonssikkerhet (ISMS) og oppnå samsvar med ISO 27002.
Den omfattende pakken med verktøy gir deg ett sentralt sted hvor du kan lage et skreddersydd sett med retningslinjer og prosedyrer som stemmer overens med organisasjonens spesifikke risikoer og behov. Det åpner også for samarbeid mellom kolleger så vel som eksterne partnere som leverandører eller tredjepartsrevisorer.
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |