Beskyttelse mot fysiske og miljømessige trusler

ISO 27002:2022 – Kontroll 7.5 – Beskyttelse mot fysiske og miljømessige trusler

ISO 27002:2022 Kontroll 7.5 fremhever behovet for organisasjoner for å vurdere og redusere fysiske og miljømessige trusler (f.eks. naturkatastrofer, sivil uro og kriminalitet) for å beskytte kritisk infrastruktur og informasjonsressurser. Den legger vekt på risikovurderinger og forebyggende tiltak som brannslukking og sikkerhetskontroller for å sikre datakonfidensialitet, integritet og tilgjengelighet.

Beskytt organisasjonen din mot fysiske og miljømessige trusler

Trusler mot informasjonsressurser er ikke bare digitale: En organisasjons kritiske fysiske infrastruktur som er vert for informasjonsressurser er også utsatt for miljømessige og fysiske trusler som kan resultere i tap, ødeleggelse, tyveri og kompromittering av informasjonsressurser og sensitive data.

Disse truslene kan omfatte naturhendelser som jordskjelv, flom og skogbranner. De kan også omfatte menneskeskapte katastrofer som sivil uro og kriminelle aktiviteter.

Kontroll 7.5 tar for seg hvordan organisasjoner kan vurdere, identifisere og redusere risikoer for kritisk fysisk infrastruktur på grunn av fysiske og miljømessige trusler.

Formål med kontroll 7.5

Kontroll 7.5 gjør det mulig for organisasjoner å måle potensielle negative effekter av miljømessige og fysiske trusler og for å dempe og/eller eliminere disse effektene ved å iverksette passende tiltak.

Attributttabell for kontroll 7.5

Kontroll 7.5 er en forebyggende type kontroll som krever at organisasjoner eliminerer og/eller reduserer konsekvensene som sannsynligvis vil oppstå på grunn av eksterne risikoer som naturkatastrofer og menneskeskapte hendelser.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Fysisk sikkerhet	#Beskyttelse
	#Integritet
	#Tilgjengelighet

Eierskap til kontroll 7.5

Kontroll 7.5 krever at organisasjoner gjennomføre en grundig risikovurdering før du starter noen operasjoner på et fysisk premiss og for å iverksette nødvendige tiltak som står i forhold til risikonivået som er identifisert.

Sikkerhetssjefer bør derfor være ansvarlige for opprettelse, ledelse, implementering og gjennomgang av hele prosessen.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Generell veiledning om samsvar

Kontroll 7.5 spesifiserer en tre-trinns prosess for å identifisere og eliminere risikoer på grunn av fysiske trusler og miljøtrusler:

Trinn 1: Fullfør en risikovurdering

Organisasjoner bør foreta en risikovurdering å identifisere potensielle fysiske og miljømessige katastrofer som kan oppstå på hver spesifikke fysiske premiss og deretter måle effektene som sannsynligvis vil oppstå på grunn av de identifiserte fysiske og miljømessige truslene.

Tatt i betraktning at hvert fysisk premiss og infrastruktur deri vil være gjenstand for ulike miljøforhold og fysiske risikofaktorer, vil typen trussel og risikonivået som er identifisert variere etter hvert premiss og dets plassering.

For eksempel, mens en lokal kan være mest sårbar for skogbrann, kan en annen lokalitet være lokalisert i et område der jordskjelv forekommer ofte.

Et annet kritisk krav som stilles av kontroll 7.5 er at denne risikovurderingen skal gjennomføres før igangsetting av operasjoner på et fysisk premiss.

Trinn 2: Identifiser og implementer kontroller

Basert på typen trussel og risikonivået identifisert i det første trinnet, bør organisasjoner sette på plass passende kontroller som tar hensyn til de sannsynlige konsekvensene av de miljømessige og fysiske truslene.

For å illustrere gir Control 7.5 eksempler på kontroller som kan settes på plass for følgende trusler:

Brann: Organisasjoner bør distribuere systemer for å utløse alarmer når en brann oppdages eller for å aktivere brannslokkingssystemer som er i stand til å beskytte lagringsmedier og informasjonssystemer mot skade.

Flom: Systemer bør distribueres og konfigureres for å oppdage flom i områder der informasjonsressurser er lagret. Videre bør verktøy som vannpumper være klare til bruk ved flom.

Elektriske overspenninger: Servere og kritiske informasjonsstyringssystemer bør vedlikeholdes og beskyttes mot strømbrudd.

Sprengstoff og våpen: Organisasjoner bør gjennomføre stikkprøver og inspeksjoner på alle personer, gjenstander og kjøretøy som kommer inn i lokaler som er vert for kritisk infrastruktur.

Trinn 3: Overvåking

Tatt i betraktning at typen trusler og risikonivået kan endre seg over tid, bør organisasjoner kontinuerlig overvåke risikovurderingene og revurdere kontrollene de implementerte om nødvendig.

Supplerende veiledning

Kontroll 7.5 lister opp fire spesifikke hensyn som organisasjoner bør ta hensyn til.

Konsultasjon med eksperter

Hver spesifikk type miljømessig og fysisk trussel, enten det er giftig avfall, jordskjelv eller brann, er unik med tanke på sin natur, risikoen den utgjør og mottiltak den krever.

Derfor bør organisasjoner søke ekspertråd om hvordan de kan identifisere eliminere og/eller redusere risikoer som oppstår på grunn av disse truslene.

Valg av plassering for lokaler

Ved å ta hensyn til den lokale topografien, kan vannstander og tektoniske bevegelser av den potensielle plasseringen av lokaler bidra til å identifisere og eliminere risikoer tidlig.

Videre bør organisasjoner vurdere risikoen for menneskeskapte katastrofer i det valgte byområdet som politisk uro og kriminell aktivitet.

Ekstra lag med sikkerhet

I tillegg til de spesifikke kontrollene som er implementert, sikker informasjonslagring metoder som safer kan legge til et ekstra lag med sikkerhet mot katastrofer som brann og flom.

Forebygging av kriminalitet gjennom miljødesign

Kontroll 7.5 anbefaler at organisasjoner vurderer dette konseptet når de implementerer kontroller for å øke sikkerheten til lokaler. Denne metoden kan brukes til å eliminere urbane trusler som kriminelle aktiviteter, sivil uro og terrorisme.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022/7.5 replaces 27002:2013/(11.1.4)

Mens 2013-versjonen tok for seg hvordan organisasjoner bør iverksette passende forebyggende tiltak mot fysiske og miljømessige trusler, er 2022-versjonen mye mer omfattende når det gjelder spesifikke etterlevelsestrinn organisasjoner bør ta.

Totalt sett er det to hovedforskjeller:

2022-versjonen gir veiledning om samsvar

2013-versjonen inneholdt ingen veiledning om hvordan organisasjoner skulle identifisere og eliminere risikoer på grunn av miljømessige og fysiske trusler.

2022-versjonen, i kontrakt, beskriver en tre-trinns prosess organisasjoner bør følge, inkludert å utføre en risikovurdering.

2022-versjonen anbefaler organisasjoner å vurdere å implementere ekstra lag med tiltak

I tilleggsveiledningen viser 2022-versjonen til tiltak som bruk av safer og kriminalitetsforebygging gjennom miljødesignkonsepter som kan brukes til å styrke beskyttelsen mot trusler.

2013-versjonen tok derimot ikke opp slike tilleggstiltak.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Ocuco ISMS.online plattform tilbyr en rekke kraftige verktøy som forenkler måten du kan dokumentere, implementere, vedlikeholde og forbedre styringssystemet for informasjonssikkerhet (ISMS) og oppnå samsvar med ISO 27002.

Den omfattende pakken med verktøy gir deg ett sentralt sted hvor du kan lage et skreddersydd sett med retningslinjer og prosedyrer som stemmer overens med dine organisasjonens spesifikke risikoer og behov.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt