Mens overgangen til eksternt arbeid og økende bruk av mobile enheter øker de ansattes produktivitet og sparer organisasjoner penger, er brukerens endepunktsenheter som bærbare datamaskiner, mobiltelefoner og nettbrett sårbare for cybertrusler. Dette er fordi cyberkriminelle ofte utnytter disse enhetene for å vinne uautorisert tilgang til bedriftsnettverk og kompromittere informasjonsressurser.
For eksempel kan nettkriminelle målrette ansatte med et phishing-angrep, overtale ansatte til å laste ned et malware-vedlegg, og deretter bruke denne malware-infiserte brukerendepunktsenheten til å spre skadelig programvare over hele bedriftens nettverk. Dette angrepet kan resultere i tap av tilgjengelighet, integritet eller konfidensialitet for informasjonsressurser.
Ifølge en Undersøkelsen utført med 700 IT-fagfolk, opplevde rundt 70 % av organisasjonene kompromittering av informasjonsressurser og IT-infrastruktur som et resultat av et endepunktbrukerrelatert enhetsrelatert angrep i 2020.
Kontroll 8.1 tar for seg hvordan organisasjoner kan etablere, vedlikeholde og implementere emnespesifikke retningslinjer, prosedyrer og tekniske tiltak for å sikre at informasjonsressurser som er vert for eller behandlet på brukerens endepunktsenheter ikke blir kompromittert, tapt eller stjålet.
Kontroll 8.1 gjør det mulig for organisasjoner å beskytte og opprettholde sikkerheten, konfidensialiteten, integriteten og tilgjengeligheten til informasjonsressurser som er plassert på eller tilgjengelig via endepunktbrukerenheter ved å sette på plass passende retningslinjer, prosedyrer og kontroller.
Kontroll 8.1 er forebyggende. Det krever at organisasjoner implementerer retningslinjer, prosedyrer og tekniske tiltak som gjelder for alle brukerendepunktenheter som er vert for eller behandler informasjonsressurser, slik at de ikke blir kompromittert, tapt eller stjålet.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | # Asset Management #Informasjonsbeskyttelse | #Beskyttelse |
Tatt i betraktning at overholdelse av kontroll 8.1 innebærer opprettelse, vedlikehold av og overholdelse av organisasjonsomfattende temaspesifikke retningslinjer, prosedyrer og tekniske tiltak, sier sjefen informasjonssikkerhetsansvarlig bør ha ansvaret for overholdelse med kravene i kontroll 8.1.
Kontroll 8.1 krever at organisasjoner oppretter en emnespesifikk policy som tar for seg hvordan brukerendepunktsenheter skal konfigureres sikkert og hvordan disse enhetene skal håndteres av brukere.
Alt personell bør informeres om denne policyen og policyen bør dekke følgende:
Videre bemerker den generelle veiledningen at organisasjoner bør vurdere å forby lagring av sensitive informasjonsressurser på brukerens endepunktsenheter ved å implementere tekniske kontroller.
Disse tekniske kontrollene kan inkludere deaktivering av lokale lagringsfunksjoner som SD-kort.
Ved å implementere disse anbefalingene bør organisasjoner ty til Configuration Management som beskrevet i Control 8.9 og bruke automatiserte verktøy.
Alt personell bør informeres om sikkerhetstiltakene for brukerendepunktsenheter og prosedyrer de bør følge. Dessuten bør de være det gjort seg bevisst sitt ansvar for å anvende disse tiltakene og prosedyrene.
Organisasjoner bør instruere personell til å overholde følgende regler og prosedyrer:
Videre anbefales organisasjoner også å etablere en spesiell prosedyre for tap eller tyveri av brukerendepunktsenheter. Denne prosedyren bør opprettes under hensyntagen til juridiske, kontraktsmessige og sikkerhetskrav.
Mens det å tillate personell å bruke sine egne personlige enheter til arbeidsrelaterte formål sparer organisasjoner penger, utsetter det sensitiv informasjonsressurser for nye risikoer.
Kontroll 8.1 viser fem anbefalinger som organisasjoner bør vurdere når de lar ansatte bruke sine egne enheter til arbeidsrelaterte oppgaver:
Organisasjoner bør utvikle og vedlikeholde prosedyrer for:
Når brukerens endepunktsenheter tas ut av organisasjonens lokaler, kan informasjonsressurser bli utsatt for økt risiko for kompromittering. Derfor kan det hende at organisasjoner må etablere ulike kontroller for enheter som brukes utenfor lokalene.
Videre advarer Control 8.1 organisasjoner mot tap av informasjon på grunn av to risikoer knyttet til trådløse tilkoblinger:
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
27002:2022/8.1 erstatter 27002:2013/(6.2.1 og 12.2.8)
In kontrast til 2022-versjonen som adresserer brukerendepunktsenheter under én kontroll(8.1), inkluderte 2013-versjonen to separate kontroller: Mobile Device Policy i Control 6.2.1 og Unattended User Equipment in Control 11.2.8.
Videre, mens Control 8.1 i 2022-versjonen gjelder for alle brukerendepunktsenheter som bærbare datamaskiner, nettbrett og mobiltelefoner, refererte 2013-versjonen kun til de mobile enhetene.
Mens begge versjonene stort sett er like når det gjelder kravene til brukeransvar, inneholder 2022-versjonen ett tilleggskrav:
Sammenlignet med 2013-versjonen introduserer kontroll 8.1 i 2022-versjonen tre nye krav for bruk av personells private enheter (BYOD):
I likhet med 2013-versjonen krever 2022-versjonen også at organisasjoner vedtar en emnespesifikk policy for brukerendepunktsenheter.
Kontroll 8.1 i 2022-versjonen er imidlertid mer omfattende ettersom den inneholder tre nye elementer som må inkluderes:
ISMS.Online er den ledende ISO 27002-programvaren for styringssystem som støtter samsvar med ISO 27002og hjelper bedrifter med å tilpasse sikkerhetspolitikken og prosedyrer med standarden.
Den skybaserte plattformen gir et komplett sett med verktøy for å hjelpe organisasjoner med å sette opp en styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27002.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
