Kontroll 7.8, utstyrsplassering og beskyttelse

ISO 27002:2022 – Kontroll 7.8 – Utstyrsplassering og beskyttelse

ISO 27002 Kontroll 7.8 skisserer beste praksis for plassering og beskyttelse av utstyr, og sikrer at IT-ressurser er beskyttet mot fysiske, miljømessige og uautoriserte tilgangsrisikoer. Den legger vekt på sikker plassering, miljøovervåking og elektromagnetisk beskyttelse for å opprettholde informasjonssikkerhet.

ISO 27002 Kontroll 7.8: Beste praksis for plassering og beskyttelse av utstyr

Mens cybertrusler som malware-angrep, SQL-injeksjon og trafikkavlytting blir mer sofistikerte og utgjør en stor risiko for sikkerhet for informasjonsmidler.

Risikolandskapet er ikke begrenset til programvarebaserte cyberangrep:

Fysiske og miljømessige trusler mot IT-utstyr som servere, datamaskiner, harddisker og flyttbare lagringsmedier kan også kompromittere tilgjengelighet, konfidensialitet og integritet til informasjonsressurser.

For eksempel er søl av en drink på en server, en nedstenging av et datasystem på grunn av høy temperatur og uautorisert tilgang til et datasystem som ikke er plassert i et sikkert område, alle eksempler på fysiske trusler mot utstyrshus informasjonskapasitet.

Kontroll 7.8 tar for seg hvordan organisasjoner kan eliminere og redusere risikoer som oppstår som følge av fysiske og miljømessige trusler til utstyr som er vert for informasjonsressurser.

Formål med kontroll 7.8

Kontroll 7.8 gjør det mulig for organisasjoner å eliminere og/eller redusere to typer risiko for utstyr som inneholder informasjonsmidler:

Fysiske og miljømessige trusler mot utstyr som belysning, strømbrudd, tyveri, kommunikasjonsforstyrrelser og elektriske forstyrrelser. Disse truslene inkluderer også endringer i miljøforhold som fuktighet og temperaturnivåer som kan forstyrre informasjonsbehandlingsaktivitetene.
Uautorisert tilgang til, bruk av, skade på og ødeleggelse av utstyr som ikke er lagret i sikre områder.

Attributttabell for kontroll 7.8

Kontroll 7.8 er en forebyggende type kontroll som krever at organisasjoner opprettholder integriteten, tilgjengeligheten og konfidensialiteten til informasjonsressurser ved å beskytte utstyr som inneholder informasjonsmidler mot fysiske og miljømessige trusler.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Fysisk sikkerhet	#Beskyttelse
	#Integritet		# Asset Management
	#Tilgjengelighet

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Eierskap til kontroll 7.8

Overholdelse av kontroll 7.8 innebærer opprettelse av en inventar av utstyr som er vert for informasjonsressurser, plassering av alt utstyr i sikre områder og implementering av passende tiltak for å forhindre fysiske og miljømessige trusler.

Derfor, informasjonssikkerhetsledere bør være ansvarlige for å etablere, implementere og vedlikeholde nødvendige tiltak og retningslinjer for sikker plassering og beskyttelse av utstyr.

Generell veiledning om samsvar

Kontroll 7.8 foreskriver ni spesifikke krav som bør tas i betraktning for overholdelse:

Utstyr bør plasseres i sikre områder slik at uvedkommende ikke får tilgang til utstyret.
Verktøy som brukes til å behandle sensitiv informasjon som datamaskiner, skjermer og skrivere bør plasseres på en måte som uautorisert personer kan ikke se informasjon vist på skjermer uten tillatelse.
Det bør settes inn egnede tiltak for å eliminere og/eller redusere risikoer som oppstår som følge av fysiske og miljømessige trusler som eksplosiver, kommunikasjonsforstyrrelser, brann, støv og elektromagnetisk stråling.
For eksempel kan en lynavleder være en effektiv kontroll mot lynnedslag.
Retningslinjer for spising og drikking rundt utstyr bør etableres og kommuniseres til alle relevante parter.
Miljøforhold som kan forstyrre informasjonsbehandlingen bør overvåkes kontinuerlig. Disse kan inkludere temperatur- og fuktighetsnivåer.
Lynbeskyttelsesmekanismer bør implementeres i alle bygninger og kontorer. Videre bør lynbeskyttelsesfiltre bygges inn i alle innkommende kraftledninger, inkludert kommunikasjonslinjer.
Hvis utstyret er plassert i et industrielt miljø, bør spesielle beskyttelseskontroller som tastaturmembraner brukes om nødvendig.
Elektromagnetisk utstråling kan føre til lekkasje av sensitiv informasjon. Derfor utstyrshus sensitive eller kritiske informasjonsmidler bør sikres for å forhindre slik risiko.
IT-utstyr som eies og kontrolleres av en organisasjon, bør være klart atskilt fra det som ikke eies og kontrolleres av organisasjonen.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

Selv om 2022- og 2013-versjonene i stor grad ligner, er det én viktig forskjell som må fremheves:

I motsetning til 2013-versjonen introduserer Control 7.8 i 2022-versjonen følgende krav:

IT-utstyr som eies og kontrolleres av en organisasjon, bør være klart atskilt fra det som ikke eies og kontrolleres av organisasjonen.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge ditt ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.

Noen av nøkkelen fordelene ved å bruke ISMS.online inkluderer:

Du kan bygge din ISO 27001-kompatibel ISMS innenfor plattformen.
Brukere kan fullføre oppgaver og sende inn bevis for å demonstrere samsvar med standarden.
Det er enkelt å delegere ansvar og overvåke fremdriften mot overholdelse.
Det omfattende risikovurdering verktøysett sparer tid og krefter gjennom hele prosessen.
Vi har en dedikert team av konsulenter tilgjengelig for å støtte deg gjennom hele reisen mot samsvar.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt