Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 7.9 – Sikkerhet for eiendeler utenfor lokaler

ISO 27002 Control 7.9 sikrer sikkerheten til informasjonsressurser når de brukes eller lagres utenfor lokaler ved å implementere tiltak som autorisasjonsprosedyrer, kjederegistreringer og overholdelse av retningslinjer for fysisk beskyttelse for å forhindre tap, skade eller kompromittering.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

ISO 27002 kontroll 7.9: Sikring av eiendeler utenfor kontoret

Når enheter som inneholder informasjonsressurser tas ut av en organisasjons lokaler, vil de bli utsatt for høyere risiko for skade, tap, ødeleggelse, tyveri eller kompromittering.

Dette er fordi fysiske sikkerhetskontroller implementert i en organisasjons fasiliteter vil ikke være effektive, noe som gjør at eiendeler som tas utenfor stedet, er sårbare for trusler som fysiske risikoer og uautorisert tilgang fra ondsinnede parter.

For eksempel kan ansatte som jobber utenfor stedet ta bedriftens datamaskiner som inneholder sensitiv informasjon ut av forretningslokaler, jobbe på en kaffebar eller en hotellobby, koble til en usikker offentlig Wi-Fi og la enhetene sine være uten tilsyn. Alle disse er til stede risiko for sikkerheten, konfidensialitet, integritet og tilgjengelighet av informasjon som er vert på disse enhetene.

Derfor bør organisasjoner sørge for at enheter som tas utenfor stedet holdes sikre.

Kontroller 7.9-adresser hvordan organisasjoner kan opprettholde sikkerheten til enheter utenfor stedet som er vert for informasjonsressurser ved å etablere og implementere hensiktsmessige kontroller og prosedyrer.

Formål med kontroll 7.9

Kontroll 7.9 gjør det mulig for organisasjoner å opprettholde sikkerheten til utstyr som inneholder informasjonsressurser ved å forhindre to spesifikke risikoer:

  • Eliminere og/eller minimere risikoen for tap, skade, ødeleggelse eller kompromittering av enheter som inneholder informasjonsressurser når de tas utenfor lokaler.
  • Forebygging av risiko for avbrudd i organisasjonens informasjonsbehandling aktiviteter på grunn av kompromittering av enheter utenfor stedet.

Attributttabell for kontroll 7.9

Kontroll 7.9 er forebyggende. Den lar organisasjoner implementere passende kontroller og prosedyrer forebyggende slik at enheter som fjernes fra en organisasjons lokaler gis samme beskyttelsesnivå som utstyr som er plassert på stedet.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Beskytte #Fysisk sikkerhet #Beskyttelse
#Integritet # Asset Management
#Tilgjengelighet


ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Eierskap til kontroll 7.9

Kontroll 7.9 krever at organisasjoner etablerer og anvender prosedyrer og kontroller som dekker alle enheter som eies av eller brukes på vegne av organisasjonen. Videre er opprettelsen av en aktivabeholdning og den øverste ledelsens godkjenning av bruken av personlige enheter avgjørende for effektiv beskyttelse av eksterne enheter.

Derfor bør informasjonssikkerhetssjefen rådføre seg med ledelsen og relevante eiendeler og bør være ansvarlig for opprettelse, implementering og vedlikehold av prosedyrer og tiltak for å opprettholde sikkerheten til enheter som fjernes fra bedriftens lokaler.

Generell veiledning om samsvar

Kontroll 7.9 lister opp seks krav som organisasjoner bør forholde seg til når de utformer og implementerer tiltak og retningslinjer for beskyttelse av eiendeler tatt utenfor stedet:

  1. Datautstyr og lagringsmedier som tas utenfor stedet, for eksempel bedriftsdatamaskiner, USB-er, harddisker og skjermer, bør ikke etterlates uten tilsyn i offentlige rom som kaffebarer eller i utrygge områder.
  2. Enhetsprodusentens veiledning og spesifikasjoner om den fysiske beskyttelsen til den aktuelle enheten skal overholdes til enhver tid. For eksempel kan enhetsprodusentens instruksjoner inkludere hvordan du beskytter enheten/utstyret mot vann, varme, elektromagnetiske felt og støv.
  3. Ansatte og/eller andre organisasjoner som tar datautstyr utenfor bedriftens lokaler kan overføre dette utstyret til andre ansatte eller tredjeparter. For å opprettholde sikkerheten til dette utstyret, bør organisasjoner føre en logg som definerer varetektskjeden. Denne loggposten bør minst inneholde navn på enkeltpersoner ansvarlig for enheten og deres organisasjon.
  4. Hvis en organisasjon anser at en autorisasjonsprosess er nødvendig og praktisk for å fjerne utstyr fra bedriftens lokaler, bør den etablere og anvende en autorisasjonsprosedyre for å ta med visst utstyr utenfor stedet. Denne autorisasjonsprosedyren bør også inkludere å føre en oversikt over alle handlinger for fjerning av enheten slik at organisasjonen har et revisjonsspor.
  5. Det bør iverksettes hensiktsmessige tiltak for å eliminere risikoen for uautorisert visning av informasjon på skjermen på kollektivtransport.
  6. Verktøy for posisjonssporing og ekstern tilgang bør være på plass slik at enheten kan spores og informasjonen i enheten kan slettes eksternt om nødvendig.

Supplerende veiledning om kontroll 7.9

Kontroll 7.9 foreskriver også krav til beskyttelse av utstyr installert utenfor bedriftens lokaler permanent.

Dette utstyret kan inkludere antenner og minibanker.

Tatt i betraktning at dette utstyret kan være utsatt for økt risiko for skade og tap, krever Control 7.9 at organisasjoner tar hensyn til følgende når de beskytter dette utstyret utenfor stedet:

  1. Kontroll 7.4, nemlig den fysiske sikkerhetsovervåkingen, bør vurderes.
  2. Kontroll 7.5, nemlig beskyttelse mot miljømessige og fysiske trusler bør tas i betraktning
  3. Tilgangskontroller bør etableres og hensiktsmessige tiltak bør iverksettes for å forhindre tukling.
  4. Logiske tilgangskontroller bør opprettes og brukes.

Videre anbefaler Kontroll 7.9 organisasjoner å vurdere kontrollene 6.7 og 8.1 når de definerer og implementerer tiltak for å beskytte enheter og utstyr.



ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Endringer og forskjeller fra ISO 27002:2013

27002:2022/ 7.9 erstatter 27002:2013/(11.2.6)

Det er tre hovedforskjeller som må fremheves:

  • Kontroll 7.9 foreskriver mer omfattende krav

Sammenlignet med 2013-versjonen, Kontroller 7.9 i 2022-versjonen introduserer følgende to krav:

  1. Det bør iverksettes hensiktsmessige tiltak for å eliminere risikoen for uautorisert visning av informasjon på skjermen på kollektivtransport.
  2. Verktøy for posisjonssporing og ekstern tilgang bør være på plass slik at enheten kan spores og informasjonen i enheten kan slettes eksternt om nødvendig.

  • Kontroll 7.9 introduserer nye krav for permanent installerte eksterne enheter

I motsetning til 2013-versjonen inneholder Control 7.9 i 2022-versjonen egen veiledning om beskyttelse av utstyr som er permanent installert på et sted utenfor stedet.

Disse kan inkludere antenner og minibanker.

  • Forbud mot fjernarbeid for å eliminere risiko

2013-versjonen uttalte eksplisitt at organisasjoner kan forby ansatte å jobbe eksternt når det er passende for risikonivået som er identifisert. 2022-versjonen refererer imidlertid ikke til et slikt tiltak.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Du kan bruke ISMS.online for å administrere ISO 27002-implementeringen, ettersom den er designet spesielt for å hjelpe et selskap med å implementere deres styringssystem for informasjonssikkerhet (ISMS) for å oppfylle kravene i ISO 27002.

Plattformen bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.

Ta kontakt i dag for å bestill en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbordet er helt perfekt

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Vinteren 2026
Regional leder - Vinteren 2026 Storbritannia
Regional leder - Vinteren 2026 EU
Regional leder – Vinteren 2026 Mellommarked EU
Regional leder - Vinteren 2026 EMEA
Regional leder - Vinteren 2026 Mellommarked EMEA

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.