Hopp til innhold
Jobb smartere med vår nye forbedrede navigasjon!
Se hvordan IO gjør samsvar enklere. Les bloggen
ISMS.online

ISO 27002:2022 – Kontroll 8.1 – User Endpoint Devices

ISO 27002 Control 8.1 fokuserer på å sikre brukerens endepunktenheter (f.eks. bærbare datamaskiner, smarttelefoner) for å beskytte sensitiv informasjon mot kompromittering, tyveri eller tap ved å implementere sikkerhetspolicyer, tekniske kontroller og brukerbevissthetsprogrammer.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

Sikring av brukerendepunktsenheter: ISO 27002-kontroll 8.1 forklart

Mens overgangen til eksternt arbeid og økende bruk av mobile enheter øker de ansattes produktivitet og sparer organisasjoner penger, er brukerens endepunktsenheter som bærbare datamaskiner, mobiltelefoner og nettbrett sårbare for cybertrusler. Dette er fordi cyberkriminelle ofte utnytter disse enhetene for å vinne uautorisert tilgang til bedriftsnettverk og kompromittere informasjonsressurser.

For eksempel kan nettkriminelle målrette ansatte med et phishing-angrep, overtale ansatte til å laste ned et malware-vedlegg, og deretter bruke denne malware-infiserte brukerendepunktsenheten til å spre skadelig programvare over hele bedriftens nettverk. Dette angrepet kan resultere i tap av tilgjengelighet, integritet eller konfidensialitet for informasjonsressurser.

Ifølge en Undersøkelsen utført med 700 IT-fagfolk, opplevde rundt 70 % av organisasjonene kompromittering av informasjonsressurser og IT-infrastruktur som et resultat av et endepunktbrukerrelatert enhetsrelatert angrep i 2020.

Kontroll 8.1 tar for seg hvordan organisasjoner kan etablere, vedlikeholde og implementere emnespesifikke retningslinjer, prosedyrer og tekniske tiltak for å sikre at informasjonsressurser som er vert for eller behandlet på brukerens endepunktsenheter ikke blir kompromittert, tapt eller stjålet.

Formål med kontroll 8.1

Kontroll 8.1 gjør det mulig for organisasjoner å beskytte og opprettholde sikkerheten, konfidensialiteten, integriteten og tilgjengeligheten til informasjonsressurser som er plassert på eller tilgjengelig via endepunktbrukerenheter ved å sette på plass passende retningslinjer, prosedyrer og kontroller.

Attributttabell for kontroll 8.1

Kontroll 8.1 er forebyggende. Det krever at organisasjoner implementerer retningslinjer, prosedyrer og tekniske tiltak som gjelder for alle brukerendepunktenheter som er vert for eller behandler informasjonsressurser, slik at de ikke blir kompromittert, tapt eller stjålet.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Beskytte # Asset Management #Beskyttelse
#Integritet #Informasjonsbeskyttelse
#Tilgjengelighet


ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Eierskap til kontroll 8.1

Tatt i betraktning at overholdelse av kontroll 8.1 innebærer opprettelse, vedlikehold av og overholdelse av organisasjonsomfattende temaspesifikke retningslinjer, prosedyrer og tekniske tiltak, sier sjefen informasjonssikkerhetsansvarlig bør ha ansvaret for overholdelse med kravene i kontroll 8.1.

Generell veiledning om samsvar

Kontroll 8.1 krever at organisasjoner oppretter en emnespesifikk policy som tar for seg hvordan brukerendepunktsenheter skal konfigureres sikkert og hvordan disse enhetene skal håndteres av brukere.

Alt personell bør informeres om denne policyen og policyen bør dekke følgende:

  • Hvilken type informasjon, spesielt på hvilket klassifiseringsnivå, kan behandles, lagres eller brukes i brukerens endepunktsenheter.
  • Hvordan enhetene skal registreres.
  • Krav til fysisk beskyttelse av enheter.
  • Restriksjoner på installasjon av programvare på enheter.
  • Regler for installering av programvare på enhetene og for programvareoppdateringer.
  • Regler for hvordan brukerens endepunktsenheter kan kobles til offentlige nettverk eller til nettverk på andre off-site lokaler.
  • Tilgangskontroller.
  • Kryptering av lagringsmediet som er vert for informasjonsressurser.
  • Hvordan enheter vil være beskyttet mot angrep fra skadelig programvare.
  • Hvordan enheter kan deaktiveres eller låses ute. Hvordan informasjonen i enhetene kan slettes eksternt.
  • Back-up metoder og prosedyrer.
  • Regler om bruk av nettapplikasjoner og tjenester.
  • Analyse av sluttbrukeratferd.
  • Hvordan flyttbare lagringsmedier som USB-stasjoner kan brukes og hvordan fysiske porter som USB-porter kan deaktiveres.
  • Hvordan segregeringsevner kan brukes til å skille organisasjonens informasjon eiendeler fra andre eiendeler som er lagret på brukerenheten.

Videre bemerker den generelle veiledningen at organisasjoner bør vurdere å forby lagring av sensitive informasjonsressurser på brukerens endepunktsenheter ved å implementere tekniske kontroller.

Disse tekniske kontrollene kan inkludere deaktivering av lokale lagringsfunksjoner som SD-kort.

Ved å implementere disse anbefalingene bør organisasjoner ty til Configuration Management som beskrevet i Control 8.9 og bruke automatiserte verktøy.

Supplerende veiledning om brukeransvar

Alt personell bør informeres om sikkerhetstiltakene for brukerendepunktsenheter og prosedyrer de bør følge. Dessuten bør de være det gjort seg bevisst sitt ansvar for å anvende disse tiltakene og prosedyrene.

Organisasjoner bør instruere personell til å overholde følgende regler og prosedyrer:

  • Når en tjeneste ikke lenger er nødvendig eller når en økt avsluttes, bør brukere logge ut av økten og avslutte tjenestene.
  • Personell bør ikke forlate enhetene sine uten tilsyn. Når enhetene ikke er i bruk, bør personell vedlikeholde sikkerhet for enhetene mot uautorisert tilgang eller bruk ved å bruke fysiske kontroller som nøkkellåser og av tekniske kontroller som robuste passord.
  • Personell bør opptre med ekstra forsiktighet når de bruker endepunktenheter som inneholder sensitiv informasjon på usikre offentlige områder.
  • Brukerendepunktsenheter bør beskyttes mot tyveri, spesielt i risikofylte områder som hotellrom, konferanserom eller offentlig transport.

Videre anbefales organisasjoner også å etablere en spesiell prosedyre for tap eller tyveri av brukerendepunktsenheter. Denne prosedyren bør opprettes under hensyntagen til juridiske, kontraktsmessige og sikkerhetskrav.



klatring

Frigjør deg fra et fjell av regneark

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din


Supplerende veiledning om bruk av personlige enheter (BYOD)

Mens det å tillate personell å bruke sine egne personlige enheter til arbeidsrelaterte formål sparer organisasjoner penger, utsetter det sensitiv informasjonsressurser for nye risikoer.

Kontroll 8.1 viser fem anbefalinger som organisasjoner bør vurdere når de lar ansatte bruke sine egne enheter til arbeidsrelaterte oppgaver:

  1. Det bør være tekniske tiltak som programvareverktøy på plass for å skille personlig og forretningsmessig bruk av enhetene slik at organisasjonens informasjon er beskyttet.
  2. Personell bør kun få lov til å bruke sin egen enhet etter at de godtar følgende:

    • Personalet erkjenner sine plikter til å fysisk beskytte enheter og utføre nødvendige programvareoppdateringer.
    • Personalet samtykker i å ikke kreve eierskap til organisasjonens informasjonsmidler.
    • Personalet godtar at informasjonen i enheten kan fjernslettes når enheten mistes eller blir stjålet, med forbehold om lovkrav til personopplysninger.
  3. Etablering av retningslinjer for eierskap til immaterielle rettigheter opprettet ved bruk av brukerens endepunktsenheter.
  4. Hvordan de private enhetene til personell vil få tilgang med tanke på lovbestemte restriksjoner på slik tilgang.
  5. Å tillate personell å bruke sine private enheter kan føre til juridisk ansvar på grunn av bruk av tredjepartsprogramvare på disse enhetene. Organisasjoner bør vurdere programvarelisensavtalene de har med sine leverandører.

Supplerende veiledning om trådløse tilkoblinger

Organisasjoner bør utvikle og vedlikeholde prosedyrer for:

Ytterligere veiledning om kontroll 8.1

Når brukerens endepunktsenheter tas ut av organisasjonens lokaler, kan informasjonsressurser bli utsatt for økt risiko for kompromittering. Derfor kan det hende at organisasjoner må etablere ulike kontroller for enheter som brukes utenfor lokalene.

Videre advarer Control 8.1 organisasjoner mot tap av informasjon på grunn av to risikoer knyttet til trådløse tilkoblinger:

  • Trådløse tilkoblinger med lav båndbredde kan føre til svikt i sikkerhetskopieringen av data.
  • Brukerendepunktsenheter kan av og til bli koblet fra det trådløse nettverket og planlagte sikkerhetskopieringer kan mislykkes.


ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Endringer og forskjeller fra ISO 27002:2013

27002:2022/8.1 erstatter 27002:2013/(6.2.1 og 12.2.8)

Strukturelle forskjeller

In kontrast til 2022-versjonen som adresserer brukerendepunktsenheter under én kontroll(8.1), inkluderte 2013-versjonen to separate kontroller: Mobile Device Policy i Control 6.2.1 og Unattended User Equipment in Control 11.2.8.

Videre, mens Control 8.1 i 2022-versjonen gjelder for alle brukerendepunktsenheter som bærbare datamaskiner, nettbrett og mobiltelefoner, refererte 2013-versjonen kun til de mobile enhetene.

2022-versjonen foreskriver tilleggskrav for brukeransvar

Mens begge versjonene stort sett er like når det gjelder kravene til brukeransvar, inneholder 2022-versjonen ett tilleggskrav:

  • Personell bør opptre med ekstra forsiktighet når de bruker endepunktenheter som inneholder sensitiv informasjon på usikre offentlige områder.

2022-versjonen er mer omfattende når det gjelder BYOD

Sammenlignet med 2013-versjonen introduserer kontroll 8.1 i 2022-versjonen tre nye krav for bruk av personells private enheter (BYOD):

  • Etablering av retningslinjer for eierskap til immaterielle rettigheter opprettet ved bruk av brukerens endepunktsenheter.
  • Hvordan de private enhetene til personell vil få tilgang med tanke på lovbestemte restriksjoner på slik tilgang.
  • Å tillate personell å bruke sine private enheter kan føre til juridisk ansvar på grunn av bruk av tredjepartsprogramvare på disse enhetene. Organisasjoner bør vurdere programvarelisensavtalene de har med sine leverandører.

2022-versjonen krever en mer detaljert emnespesifikk policy

I likhet med 2013-versjonen krever 2022-versjonen også at organisasjoner vedtar en emnespesifikk policy for brukerendepunktsenheter.

Kontroll 8.1 i 2022-versjonen er imidlertid mer omfattende ettersom den inneholder tre nye elementer som må inkluderes:

  1. Analyse av sluttbrukeratferd.
  2. Hvordan flyttbare enheter som USB-stasjoner kan brukes og hvordan fysiske porter som USB-porter kan deaktiveres.
  3. Hvordan segregeringsevner kan brukes til å skille organisasjonens informasjon eiendeler fra andre eiendeler som er lagret på brukerenheten.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.Online er den ledende ISO 27002-programvaren for styringssystem som støtter samsvar med ISO 27002og hjelper bedrifter med å tilpasse sikkerhetspolitikken og prosedyrer med standarden.

Den skybaserte plattformen gir et komplett sett med verktøy for å hjelpe organisasjoner med å sette opp en styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27002.

Ta kontakt i dag for å bestill en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbordet er helt perfekt

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Vinteren 2026
Regional leder - Vinteren 2026 Storbritannia
Regional leder - Vinteren 2026 EU
Regional leder – Vinteren 2026 Mellommarked EU
Regional leder - Vinteren 2026 EMEA
Regional leder - Vinteren 2026 Mellommarked EMEA

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.