ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701-samsvar: Håndtering av mobile enheter og risikoer for fjernarbeid
Mobile enheter og fjernarbeid er raskt i ferd med å bli en del av den moderne arbeidsplassen.
Organisasjonens behov for å sikre at alle slags enheter er dekket av en generell enhetspolicy for sluttbrukere som tar hensyn til enhetens art, hvordan den vil bli brukt i forbindelse med PII, hvordan den administreres av organisasjonen og hva sluttbrukerens forpliktelser mens du bruker enheten.
ISO ber organisasjoner om å kategorisere endepunktenheter på to måter:
- Enheter som skal brukes innenfor rammen av organisasjonens nettverk og fysiske lokaler.
- Enheter som brukes både innenfor og utenfor organisasjonens LAN og fysiske lokaler.
Hva dekkes av ISO 27701 klausul 6.3.2
Klausul 6.3.2 dekker to nøkkelaspekter av det som tidligere var kjent som "fjernarbeid", men er nå mer kjent som "fjernarbeid" - enhetsadministrasjon og generaliserte fjernarbeidsprinsipper.
Klausul 6.3.2 deler disse ned i to underklausuler, som inneholder veiledning fra to koblede underklausuler som omhandler organisasjonsdatasikkerhet i ISO 27002:
- ISO 27701 6.3.2.1 – Mobile enheter og fjernarbeid (Referanser ISO 27002 kontroll 8.1)
- ISO 27701 6.3.2.2 – Fjernarbeid (Referanser ISO 27002 kontroll 6.7)
Underklausul 6.3.2.1 inneholder ytterligere veiledning om gjeldende områder av GDPR-lovgivning.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Ingen av underklausulene inneholder noen tilleggsveiledning for å etablere eller vedlikeholde et PIMS, innenfor konteksten av fjernarbeid eller brukerenhetsadministrasjon.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.3.2.1 – retningslinjer for mobilenheter
Referanser ISO 27002 Kontroll 8.1
Organisasjoner bør implementere emnespesifikke retningslinjer som omhandler ulike kategorier av endepunktenheter og programvareversjoner for mobile enheter, og hvordan sikkerhetskontrollene bør skreddersys for å forbedre datasikkerheten.
En organisasjons retningslinjer for mobile enheter, prosedyrer og støttende sikkerhetstiltak bør ta hensyn til:
- De ulike kategoriene av data som enheten både kan behandle og lagre.
- Hvordan enheter registreres og identifiseres på nettverket.
- Hvordan enheter skal beskyttes fysisk.
- Eventuelle begrensninger på applikasjoner og programvareinstallasjoner.
- Fjernadministrasjon, inkludert oppdateringer og patcher.
- Brukertilgangskontroller, inkludert RBAC om nødvendig.
- Kryptering.
- Antimalware mottiltak (administrert eller uadministrert).
- BUDR.
- Nettleserestriksjoner.
- Brukeranalyse (se ISO 27002 Kontroll 8.16).
- Installasjon, bruk og fjernadministrasjon av flyttbare lagringsenheter eller flyttbare eksterne enheter.
- Hvordan skille data på enheten, slik at PII er partisjonert fra standard enhetsdata (inkludert brukerens personlige data). Dette inkluderer å vurdere om det er hensiktsmessig å lagre noen form for organisasjonsdata på den fysiske enheten, i stedet for å bruke enheten til å gi den online tilgang til den.
- Hva skjer når en enhet mistes eller blir stjålet – dvs. å ta opp eventuelle juridiske, regulatoriske eller kontraktsmessige krav, og forholde seg til organisasjonens forsikringsselskaper.
Individuelt brukeransvar
Alle i organisasjonen som bruker ekstern tilgang, må gjøres eksplisitt oppmerksomme på eventuelle retningslinjer og prosedyrer for mobile enheter som gjelder for dem innenfor rammen av sikker administrasjon av endepunktenheter.
Brukere bør instrueres om å:
- Lukk alle aktive arbeidsøkter når de ikke lenger er i bruk.
- Implementer fysiske og digitale beskyttelseskontroller, slik retningslinjene krever.
- Vær oppmerksom på deres fysiske omgivelser – og de iboende sikkerhetsrisikoene de inneholder – når du får tilgang til sikre data ved hjelp av enheten.
Ta med din egen enhet (BYOD)
Organisasjoner som tillater personell å bruke personlig eide enheter, bør også vurdere følgende sikkerhetskontroller:
- Installere programvare på enheten (inkludert mobiltelefoner) som hjelper til med separering av forretnings- og personopplysninger.
- Håndheve en BYOD-policy som inkluderer:
- Erkjennelse av organisatorisk eierskap til PII.
- Fysiske og digitale beskyttelsestiltak (se ovenfor).
- Fjernsletting av data.
- Eventuelle tiltak som sikrer samsvar med PII-lovgivningen og regulatorisk veiledning.
- IP-rettigheter, angående selskapets eierskap til alt som er produsert på en personlig enhet.
- Organisatorisk tilgang til enheten – enten for personvernformål, eller for å overholde en intern eller ekstern etterforskning.
- EULAer og programvarelisenser som kan bli påvirket av bruk av kommersiell programvare på en privateid enhet.
Trådløse konfigurasjoner
Når organisasjoner utarbeider prosedyrer som omhandler trådløs tilkobling på endepunktenheter, bør organisasjoner:
- Vurder nøye hvordan slike enheter bør tillates å koble til trådløse nettverk for Internett-tilgang, for å sikre PII.
- Sørg for at trådløse tilkoblinger har tilstrekkelig kapasitet til å forenkle sikkerhetskopiering eller andre emnespesifikke funksjoner.
Relevante ISO 27002 kontroller
- ISO 27002 kontroll 8.9 – Configuration Management
- ISO 27002 kontroll 8.16 – Overvåking av aktiviteter
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.3.2.2 – Fjernarbeid
Referanser ISO 27002 Kontroll 6.7
Som med brukerenhetsadministrasjon, bør retningslinjer for fjernarbeid være emnespesifikke og relatert til de forskjellige rollene som utføres i organisasjonen.
Når de utarbeider retningslinjer for fjernarbeid, bør organisasjoner vurdere:
- Eventuelle potensielle risikoer påvirker den fysiske sikkerheten og informasjonssikkerheten til enheter på bestemte eksterne arbeidsplasser, inkludert tilgang for uautorisert personell.
- Kontroller som beskytter forretningsdata, inkludert transportsikkerhet, klare skrivebordspolicyer, sikker utskrift, antimalware-plattformer, brannmurer etc.
- En kategorisk liste over aksepterte eksterne arbeidsplasser, inkludert offentlige områder som hoteller, offentlige møterom og fjernarbeidsplasser.
- Hvordan enheten kommer til å kommunisere med organisasjonens nettverk (VPN-parametere etc.), relatert til kategorien data som overføres og arten av organisasjonens PII-operasjon.
- Virtuelle skrivebordsmiljøer.
- Trådløse sikkerhetsprotokoller og de underliggende sikkerhetsrisikoene som er utbredt i hjemmenettverk eller offentlige nettverk.
- Fjernstyring av enheter (ekstern deaktivering, installasjoner, sletting av data etc).
- Autentiseringsmetoder, nærmere bestemt bruk av MFA.
For å forbedre personvernet og beskytte PII, bør generelle og emnespesifikke retningslinjer for fjernarbeid inkludere:
- Tilførsel av tilstrekkelig utstyr (IKT-utstyr og fysiske lagringstiltak), der slikt utstyr ikke finnes i det eksterne arbeidsmiljøet.
- Tydelige retningslinjer for hva slags arbeid som er tillatt å utføre, og hvilke systemer, data og applikasjoner som kan nås eksternt.
- Opplæringsprogrammer som styrer fjernarbeid, både når det gjelder enhetene som brukes og hva som forventes av fjernarbeidere fra et praktisk og kontraktsmessig perspektiv.
- Tiltak som tilbyr granulær fjernadministrasjon av endepunktenheter, inkludert skjermlåsfunksjonalitet, GPS-sporing og ekstern revisjon.
- Fysiske sikkerhetstiltak som styrer bruken av organisasjon og brukereid sett utenfor stedet, inkludert tredjepartstilgang.
- Forsikringsdekning.
- En ekstern arbeidsspesifikk BUDR-plan, inkludert forretningskontinuitetskontroller.
- Prosedyrer som skisserer hvordan ekstern brukertilgang begrenses eller oppheves etter behov.
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.3.2.1 | Retningslinjer for mobilenheter |
8.1 – Brukerendepunktsenheter for ISO 27002 |
Artikkel (5) |
| 6.3.2.2 | fjernarbeid |
6.7 – Fjernarbeid for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Hos ISMS.online kan vi innlemme styring av informasjonssikkerhet i forsyningskjeden i ditt ISMS.
Raske og praktiske ytelsesmålinger kan også brukes til å overvåke fremdriften til leverandørene dine og andre tredjepartspartnerskap.
Bruk ISMS.online Clusters for å samle hele forsyningskjeden på ett sted for klarhet, innsikt og kontroll.
Finn ut mer og få en praktisk demonstrasjon av bestille en demo.
