ISO 27002:2022, kontroll 7.9 – Sikkerhet for eiendeler utenfor lokaler

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

interiør,av,moderne,flere etasjer,bedriftssenter,med,store,vinduer,og

Når enheter som inneholder informasjonsressurser tas ut av en organisasjons lokaler, vil de bli utsatt for høyere risiko for skade, tap, ødeleggelse, tyveri eller kompromittering.

Dette er fordi fysiske sikkerhetskontroller implementert i en organisasjons fasiliteter vil ikke være effektive, noe som gjør at eiendeler som tas utenfor stedet, er sårbare for trusler som fysiske risikoer og uautorisert tilgang fra ondsinnede parter.

For eksempel kan ansatte som jobber utenfor stedet ta bedriftens datamaskiner som inneholder sensitiv informasjon ut av forretningslokaler, jobbe på en kaffebar eller en hotellobby, koble til en usikker offentlig Wi-Fi og la enhetene sine være uten tilsyn. Alle disse er til stede risiko for sikkerheten, konfidensialitet, integritet og tilgjengelighet av informasjon som er vert på disse enhetene.

Derfor bør organisasjoner sørge for at enheter som tas utenfor stedet holdes sikre.

Kontroller 7.9-adresser hvordan organisasjoner kan opprettholde sikkerheten til enheter utenfor stedet som er vert for informasjonsressurser ved å etablere og implementere hensiktsmessige kontroller og prosedyrer.

Formål med kontroll 7.9

Kontroll 7.9 gjør det mulig for organisasjoner å opprettholde sikkerheten til utstyr som inneholder informasjonsressurser ved å forhindre to spesifikke risikoer:

  • Eliminere og/eller minimere risikoen for tap, skade, ødeleggelse eller kompromittering av enheter som inneholder informasjonsressurser når de tas utenfor lokaler.

  • Forebygging av risiko for avbrudd i organisasjonens informasjonsbehandling aktiviteter på grunn av kompromittering av enheter utenfor stedet.

Attributttabell

Kontroll 7.9 er forebyggende. Den lar organisasjoner implementere passende kontroller og prosedyrer forebyggende slik at enheter som fjernes fra en organisasjons lokaler gis samme beskyttelsesnivå som utstyr som er plassert på stedet.

KontrolltypeInformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende#Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte#Fysisk sikkerhet
# Asset Management		#Beskyttelse
Gå til emnet
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Eierskap til kontroll 7.9

Kontroll 7.9 krever at organisasjoner etablerer og anvender prosedyrer og kontroller som dekker alle enheter som eies av eller brukes på vegne av organisasjonen. Videre er opprettelsen av en aktivabeholdning og den øverste ledelsens godkjenning av bruken av personlige enheter avgjørende for effektiv beskyttelse av eksterne enheter.

Derfor bør informasjonssikkerhetssjefen rådføre seg med ledelsen og relevante eiendeler og bør være ansvarlig for opprettelse, implementering og vedlikehold av prosedyrer og tiltak for å opprettholde sikkerheten til enheter som fjernes fra bedriftens lokaler.

Generell veiledning om samsvar

Kontroll 7.9 lister opp seks krav som organisasjoner bør forholde seg til når de utformer og implementerer tiltak og retningslinjer for beskyttelse av eiendeler tatt utenfor stedet:

  1. Datautstyr og lagringsmedier som tas utenfor stedet, for eksempel bedriftsdatamaskiner, USB-er, harddisker og skjermer, bør ikke etterlates uten tilsyn i offentlige rom som kaffebarer eller i utrygge områder.

  2. Enhetsprodusentens veiledning og spesifikasjoner om den fysiske beskyttelsen til den aktuelle enheten skal overholdes til enhver tid. For eksempel kan enhetsprodusentens instruksjoner inkludere hvordan du beskytter enheten/utstyret mot vann, varme, elektromagnetiske felt og støv.

  3. Ansatte og/eller andre organisasjoner som tar datautstyr utenfor bedriftens lokaler kan overføre dette utstyret til andre ansatte eller tredjeparter. For å opprettholde sikkerheten til dette utstyret, bør organisasjoner føre en logg som definerer varetektskjeden. Denne loggposten bør minst inneholde navn på enkeltpersoner ansvarlig for enheten og deres organisasjon.

  4. Hvis en organisasjon anser at en autorisasjonsprosess er nødvendig og praktisk for å fjerne utstyr fra bedriftens lokaler, bør den etablere og anvende en autorisasjonsprosedyre for å ta med visst utstyr utenfor stedet. Denne autorisasjonsprosedyren bør også inkludere å føre en oversikt over alle handlinger for fjerning av enheten slik at organisasjonen har et revisjonsspor.

  5. Det bør iverksettes hensiktsmessige tiltak for å eliminere risikoen for uautorisert visning av informasjon på skjermen på kollektivtransport.

  6. Verktøy for posisjonssporing og ekstern tilgang bør være på plass slik at enheten kan spores og informasjonen i enheten kan slettes eksternt om nødvendig.

Supplerende veiledning om kontroll 7.9

Kontroll 7.9 foreskriver også krav til beskyttelse av utstyr installert utenfor bedriftens lokaler permanent.

Dette utstyret kan inkludere antenner og minibanker.

Tatt i betraktning at dette utstyret kan være utsatt for økt risiko for skade og tap, krever Control 7.9 at organisasjoner tar hensyn til følgende når de beskytter dette utstyret utenfor stedet:

  1. Kontroll 7.4, nemlig den fysiske sikkerhetsovervåkingen, bør vurderes.

  2. Kontroll 7.5, nemlig beskyttelse mot miljømessige og fysiske trusler bør tas i betraktning

  3. Tilgangskontroller bør etableres og hensiktsmessige tiltak bør iverksettes for å forhindre tukling.

  4. Logiske tilgangskontroller bør opprettes og brukes.

Videre anbefaler Kontroll 7.9 organisasjoner å vurdere kontrollene 6.7 og 8.1 når de definerer og implementerer tiltak for å beskytte enheter og utstyr.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Endringer og forskjeller fra ISO 27002:2013

27002:2022/ 7.9 erstatter 27002:2013/(11.2.6)

Det er tre hovedforskjeller som må fremheves:

  • Kontroll 7.9 foreskriver mer omfattende krav

Sammenlignet med 2013-versjonen, Kontroller 7.9 i 2022-versjonen introduserer følgende to krav:

  1. Det bør iverksettes hensiktsmessige tiltak for å eliminere risikoen for uautorisert visning av informasjon på skjermen på kollektivtransport.

  2. Verktøy for posisjonssporing og ekstern tilgang bør være på plass slik at enheten kan spores og informasjonen i enheten kan slettes eksternt om nødvendig.
  • Kontroll 7.9 introduserer nye krav for permanent installerte eksterne enheter

I motsetning til 2013-versjonen inneholder Control 7.9 i 2022-versjonen egen veiledning om beskyttelse av utstyr som er permanent installert på et sted utenfor stedet.

Disse kan inkludere antenner og minibanker.

  • Forbud mot fjernarbeid for å eliminere risiko

2013-versjonen uttalte eksplisitt at organisasjoner kan forby ansatte å jobbe eksternt når det er passende for risikonivået som er identifisert. 2022-versjonen refererer imidlertid ikke til et slikt tiltak.

Hvordan ISMS.online hjelper

Du kan bruke ISMS.online for å administrere ISO 27002-implementeringen, ettersom den er designet spesielt for å hjelpe et selskap med å implementere deres styringssystem for informasjonssikkerhet (ISMS) for å oppfylle kravene i ISO 27002.

Plattformen bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.

Ta kontakt i dag for å bestill en demo.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer