Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 7.7 – Clear Desk og Clear Screen

ISO 27002:2022 Control 7.7 fremhever viktigheten av klare skrivebords- og skjermpolicyer for å beskytte sensitiv informasjon ved å sikre at arbeidsområder og enheter er sikret når de er uten tilsyn. Den legger vekt på oppdaterte krav, inkludert låsing av materialer, avlogging av enheter og bruk av automatiske tidsavbrudd for å forbedre informasjonssikkerheten.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

ISO 27002 Kontroll 7.7: Styrking av sikkerheten med tydelige skrivebords- og skjermpraksis

Når en ansatt forlater sin arbeidsstasjon uten tilsyn, vil sensitiv informasjon i digitalt og fysisk materiale på arbeidsområdet hans bli utsatt for en økt risiko for uautorisert tilgang, tap av konfidensialitet og skade.

For eksempel, hvis en ansatt bruker et verktøy for administrasjon av kunderelasjoner som behandler helsejournaler og lar datamaskinen være uten tilsyn i en lunsjpause, kan ondsinnede parter utnytte denne muligheten til å stjele og misbruke sensitive helsedata.

Kontroll 7.7 tar for seg hvordan organisasjoner kan designe og håndheve klare skrivebords- og skjermregler for å beskytte og opprettholde konfidensialiteten til sensitiv informasjon på digitale skjermer og på papirer.

Formål med kontroll 7.7

Kontroll 7.7 gjør det mulig for organisasjoner å eliminere og/eller redusere risikoen for uautorisert tilgang, bruk, skade eller tap av sensitiv informasjon på skjermer og på papirer på ansattes arbeidsstasjoner når ansatte ikke er tilstede.

Attributttabell for kontroll 7.7

Kontroll 7.7 er en forebyggende type kontroll som krever at organisasjoner opprettholder konfidensialiteten til informasjonsressurser ved å beskrive og håndheve klare skrivebords- og klare skjermregler.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Beskytte #Fysisk sikkerhet #Beskyttelse


ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Eierskap til kontroll 7.7

Tatt i betraktning at Kontroll 7.7 krever at organisasjoner vedtar og implementerer en organisasjonsomfattende policy for klar skrivebord og klar skjerm, bør informasjonssikkerhetsansvarlige være ansvarlige for produksjon, vedlikehold og håndheving av klare skrivebord og klare skjermregler som gjelder på tvers av hele organisasjonen.

Generell veiledning om samsvar

Kontroll 7.7 fremhever at organisasjoner bør lage og håndheve en emnespesifikk policy som angir klare skrivebord og klare skjermregler.

Videre lister Control 7.7 opp syv spesifikke krav som organisasjoner bør ta hensyn til når de etablerer og håndhever klare skrivebords- og klare skjermregler:

  1. Følsom eller kritisk informasjonsressurser som er lagret på digitale eller fysiske gjenstander, bør låses sikkert når de ikke er i bruk eller når arbeidsstasjonen som er vert for disse materialene er forlatt. For eksempel bør gjenstander som papirjournaler, datamaskiner og skrivere oppbevares i sikre møbler som et låst eller passordbeskyttet skap eller skuff.
  2. Enheter som brukes av ansatte som datamaskiner, skannere, skrivere og bærbare datamaskiner bør beskyttes via sikkerhetsmekanismer som nøkkellåser når de ikke brukes eller når de blir stående uten tilsyn.
  3. Når ansatte forlater arbeidsområdet og lar enhetene sine være uten tilsyn, bør de la enhetene være logget av og reaktivering av enheten skal kun skje via en brukerautentiseringsmekanisme. Videre bør automatiske funksjoner for tidsavbrudd og utlogging installeres på alle endepunktansattes enheter som datamaskiner.
  4. Skrivere bør utformes på en slik måte at utskrifter samles inn umiddelbart av personen (opphavsmannen) som har skrevet ut dokumentet. Videre bør en sterk autentiseringsmekanisme være på plass slik at bare opphavsmannen har lov til å samle utskriften.
  5. Fysisk materiale og flyttbare lagringsmedier som inneholder sensitiv informasjon skal holdes sikkert til enhver tid. Når de ikke lenger er nødvendige, bør de kastes gjennom en sikker mekanisme.
  6. Organisasjoner bør lage regler for visning av popup-vinduer på skjermer og disse reglene bør kommuniseres til alle relevante ansatte. For eksempel kan popup-vinduer for e-post og meldinger inneholde sensitiv informasjon, og hvis de vises på skjermen under en presentasjon eller i et offentlig rom, kan dette kompromittere konfidensialiteten til sensitiv informasjon.
  7. Sensitiv eller kritisk informasjon som vises på tavler bør slettes når de ikke lenger er nødvendige.

Supplerende veiledning – kontroll 7.7

Kontroll 7.7 advarer organisasjoner mot risiko som oppstår ved fraflyttede fasiliteter. Når en organisasjon forlater et anlegg, bør fysisk og digitalt materiale som tidligere er lagret i anlegget være det sikkert fjernet slik at sensitiv informasjon er ikke utrygg.

Derfor krever kontroll 7.7 at organisasjoner etablerer prosedyrer for ferie av anlegg slik at alle sensitiv informasjon eiendeler som er plassert i dette anlegget, blir forsvarlig avhendet. Disse prosedyrene kan omfatte å gjennomføre et siste sveip slik at ingen sensitiv informasjon blir ubeskyttet.



ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Endringer og forskjeller fra ISO 27002:2013

27002:2022/7.7 replaces 27002:2013/(11.2.9)

Det er to betydelige forskjeller mellom 2022- og 2013-versjonene.

  • 2022-versjonen refererer ikke til kriterier som skal vurderes ved etablering og implementering av clear desk og clear screen-regler.

I motsetning til 2022-versjonen, uttalte 2013-versjonen eksplisitt at organisasjoner bør vurdere informasjonsklassifiseringsnivåer for hele organisasjonen, juridiske og kontraktsmessige krav, og hvilke typer risikoer organisasjonen står overfor når de etablerer en klar skrivebords- og klarskjermpolicy.

Ocuco ISO 27002:2022 versjon, men refererer ikke til disse elementene.

  • 2022-versjonen introduserer nye og mer omfattende krav til det klare skrivebordet og klare skjermregler.

I motsetning til 2013-versjonen, stiller 2022-versjonen følgende krav som organisasjoner bør vurdere når de etablerer klare skrivebord og klare skjermregler.

  • Organisasjoner bør lage spesifikke regler på popup-skjermer for å opprettholde konfidensialiteten til sensitiv informasjon.
  • Sensitiv informasjon skrevet på tavler bør fjernes når de ikke lenger er nødvendige.
  • Ansattes endepunktsenheter som datamaskiner bør beskyttes med nøkkellåser når de ikke brukes eller når de blir stående uten tilsyn.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen. Din komplette samsvarsløsning for ISO/IEC 27002:2022.

  • Opptil 81 % fremgang fra du logger på
  • Enkel og total overholdelsesløsning

Ta kontakt i dag for å bestill en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbordet er helt perfekt

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Vinteren 2026
Regional leder - Vinteren 2026 Storbritannia
Regional leder - Vinteren 2026 EU
Regional leder – Vinteren 2026 Mellommarked EU
Regional leder - Vinteren 2026 EMEA
Regional leder - Vinteren 2026 Mellommarked EMEA

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.