Når enheter som inneholder informasjonsressurser tas ut av en organisasjons lokaler, vil de bli utsatt for høyere risiko for skade, tap, ødeleggelse, tyveri eller kompromittering.
Dette er fordi fysiske sikkerhetskontroller implementert i en organisasjons fasiliteter vil ikke være effektive, noe som gjør at eiendeler som tas utenfor stedet, er sårbare for trusler som fysiske risikoer og uautorisert tilgang fra ondsinnede parter.
For eksempel kan ansatte som jobber utenfor stedet ta bedriftens datamaskiner som inneholder sensitiv informasjon ut av forretningslokaler, jobbe på en kaffebar eller en hotellobby, koble til en usikker offentlig Wi-Fi og la enhetene sine være uten tilsyn. Alle disse er til stede risiko for sikkerheten, konfidensialitet, integritet og tilgjengelighet av informasjon som er vert på disse enhetene.
Derfor bør organisasjoner sørge for at enheter som tas utenfor stedet holdes sikre.
Kontroller 7.9-adresser hvordan organisasjoner kan opprettholde sikkerheten til enheter utenfor stedet som er vert for informasjonsressurser ved å etablere og implementere hensiktsmessige kontroller og prosedyrer.
Kontroll 7.9 gjør det mulig for organisasjoner å opprettholde sikkerheten til utstyr som inneholder informasjonsressurser ved å forhindre to spesifikke risikoer:
Kontroll 7.9 er forebyggende. Den lar organisasjoner implementere passende kontroller og prosedyrer forebyggende slik at enheter som fjernes fra en organisasjons lokaler gis samme beskyttelsesnivå som utstyr som er plassert på stedet.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Fysisk sikkerhet # Asset Management | #Beskyttelse |
Kontroll 7.9 krever at organisasjoner etablerer og anvender prosedyrer og kontroller som dekker alle enheter som eies av eller brukes på vegne av organisasjonen. Videre er opprettelsen av en aktivabeholdning og den øverste ledelsens godkjenning av bruken av personlige enheter avgjørende for effektiv beskyttelse av eksterne enheter.
Derfor bør informasjonssikkerhetssjefen rådføre seg med ledelsen og relevante eiendeler og bør være ansvarlig for opprettelse, implementering og vedlikehold av prosedyrer og tiltak for å opprettholde sikkerheten til enheter som fjernes fra bedriftens lokaler.
Kontroll 7.9 lister opp seks krav som organisasjoner bør forholde seg til når de utformer og implementerer tiltak og retningslinjer for beskyttelse av eiendeler tatt utenfor stedet:
Kontroll 7.9 foreskriver også krav til beskyttelse av utstyr installert utenfor bedriftens lokaler permanent.
Dette utstyret kan inkludere antenner og minibanker.
Tatt i betraktning at dette utstyret kan være utsatt for økt risiko for skade og tap, krever Control 7.9 at organisasjoner tar hensyn til følgende når de beskytter dette utstyret utenfor stedet:
Videre anbefaler Kontroll 7.9 organisasjoner å vurdere kontrollene 6.7 og 8.1 når de definerer og implementerer tiltak for å beskytte enheter og utstyr.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
27002:2022/ 7.9 erstatter 27002:2013/(11.2.6)
Det er tre hovedforskjeller som må fremheves:
Sammenlignet med 2013-versjonen, Kontroller 7.9 i 2022-versjonen introduserer følgende to krav:
I motsetning til 2013-versjonen inneholder Control 7.9 i 2022-versjonen egen veiledning om beskyttelse av utstyr som er permanent installert på et sted utenfor stedet.
Disse kan inkludere antenner og minibanker.
2013-versjonen uttalte eksplisitt at organisasjoner kan forby ansatte å jobbe eksternt når det er passende for risikonivået som er identifisert. 2022-versjonen refererer imidlertid ikke til et slikt tiltak.
Du kan bruke ISMS.online for å administrere ISO 27002-implementeringen, ettersom den er designet spesielt for å hjelpe et selskap med å implementere deres styringssystem for informasjonssikkerhet (ISMS) for å oppfylle kravene i ISO 27002.
Plattformen bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |