ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.8.2: Beskyttelsesutstyr for overholdelse av personvern
Ved siden av 'logiske' kontroller – programvarebaserte tilgangsbegrensninger og serverbaserte administrative funksjoner, legger ISO også stor vekt på rollen som utstyrssikkerhet må spille for beskyttelse av PII og personvernrelaterte eiendeler.
Organisasjoner må vurdere et bredt spekter av faktorer, fra BYOD-protokoller, til plasseringen av personvernelementer, hvordan brukere oppfører seg når de får tilgang til dem, hvordan settet fjernes og klare retningslinjer for skrivebord/skjerm.
Hva dekkes av ISO 27701 klausul 6.8.2
ISO 27701 klausul 6.8.2 er en vidtrekkende klausul som dekker mange ulike aspekter av utstyrskontroll og sikkerhet.
Det er 9 underklausuler å vurdere, hvor hver av dem inneholder veiledningsnotater fra en medfølgende klausul i ISO 27002, brukt innenfor rammen av personvern:
- ISO 27701 6.8.2.1 – Plassering og beskyttelse av utstyr (Referanser ISO 27002 kontroll 7.8)
- ISO 27701 6.8.2.2 – Støtteverktøy (referanser ISO 27002 kontroll 7.11)
- ISO 27701 6.8.2.3 – Kablingssikkerhet (Referanser ISO 27002 kontroll 7.12)
- ISO 27701 6.8.2.4 – Utstyrsvedlikehold (Referanser ISO 27002 kontroll 7.13)
- ISO 27701 6.8.2.5 – Fjerning av eiendeler (Referanser ISO 27002 kontroll 7.10)
- ISO 27701 6.8.2.6 – Sikkerhet for utstyr og eiendeler utenfor lokaler (Referanser ISO 27002 kontroll 7.9)
- ISO 27701 6.8.2.7 – Sikker avhending eller gjenbruk av utstyr (Referanser ISO 27002 kontroll 7.14)
- ISO 27701 6.8.2.8 – Ubetjent brukerutstyr (Referanser ISO 27002 kontroll 8.1)
- ISO 27701 6.8.2.9 – Klart skrivebord og klar skjermpolicy (Referanser ISO 27002 kontroll 7.7)
ISO tilbyr ingen ytterligere veiledning angående implementering eller vedlikehold av et PIMS, og bare to underklausuler (6.8.2.9 og 6.8.2.7) inneholder informasjon som må vurderes sammen med britisk GDPR-lovgivning.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.8.2.1 – Utstyrsplassering og beskyttelse
Referanser ISO 27002 Kontroll 7.8
For å minimere risikoen for PII og personvernrelaterte eiendeler, som kan bli utsatt for tap eller uautorisert tilgang på grunn av skade, bør organisasjoner:
- Plasser utstyr på riktig måte – inkludert ressurser og fasiliteter for personvernbehandling – for å forhindre at uautorisert personell trenger tilgang til områder med begrenset tilgang.
- Minimer risikoen for utilsiktet eller bevisst visning av begrenset materiale (spesielt PII).
- Reduser risikoen for miljømessige eller fysiske trusler (f.eks. tyveri, brann, flom).
- Sett våre klare regler som omhandler spising, røyking eller drikking i nærheten av personvernrelaterte eiendeler og informasjon.
- Sørg for at personvernrelaterte eiendeler holdes i miljøer med passende nivåer av varme og fuktighet.
- Implementer lynbeskyttelseskontroller.
- Iverksette ad-hoc-tiltak for personvernrelaterte eiendeler holdt i produksjonsområder (støvskjermer, sikre boliger, elektromagnetisk skjerming etc).
- Skille organisatoriske og ikke-organisatoriske behandlingsfasiliteter for personvern.
ISO 27701 klausul 6.8.2.2 – Støtteverktøy
Referanser ISO 27002 Kontroll 7.11
Det er viktig å beskytte PII-behandlingsanlegg mot eventuelle forstyrrelser eller hendelser som kommer fra det ISO anser som "støttende verktøy" (elektrisitet, gass, vann, kloakk osv.).
For å minimere risikoen for PII, bør organisasjoner:
- Følg alltid leverandørens anbefalinger når du konfigurerer utstyr på stedet.
- Utfør periodiske revisjoner av verktøy for å sikre at de oppfyller de operasjonelle og økonomiske behovene til organisasjonen, og imøtekommer levering av alle andre verktøy.
- Test verktøy regelmessig for å sikre kontinuitet i virksomheten, og ta opp eventuelle bekymringer direkte med leverandøren av verktøyet.
- Sørg for at verktøy drar nytte av flere innmatinger og "mangfoldig ruting".
- Opprettholde et system som skiller verktøy på sitt eget interne nettverk fra PII-behandlingsfasiliteter, der slike fasiliteter krever LAN-tilgang, og bare gi dem WAN-tilgang hvis det er eksplisitt nødvendig.
- Gi nødhjelpstjenester – som nødbelysning, telefonutstyr med en dedikert krets som er redundant fra hovedkommunikasjonssystemet, nødkontaktnumre og lett tilgjengelige nødutganger.
- Utforsk muligheten for å motta flere rutere per leverandør av verktøy.
ISO 27701 klausul 6.8.2.3 – Kablingssikkerhet
Referanser ISO 27002 Kontroll 7.12
PII overføres i stor grad via kabler. Som sådan bør organisasjoner innføre kabelsikkerhetskontroller som beskytter personvernrelatert informasjon mot avlytting og/eller tap.
Kablingssikkerhet er et høyt spesialisert felt, og organisasjoner bør søke ekspertråd der det er aktuelt. Når det er sagt, er det noen få grunnleggende styrende prinsipper å følge.
Generell veiledning
Organisasjoner bør:
- Kjør strøm- og kommunikasjonskabler under jorden.
- Sørg for at kabling over bakken er beskyttet av tiltak som tilstrekkelig kanal, gulvhus og verktøystolper.
- Skille strømkabler fra nettverks- og kommunikasjonskabler for å forhindre forstyrrelser.
- Sørg for at kablene har etiketter i hver ende, for å hjelpe med vedlikehold og tilkoblingsaktiviteter.
Kritiske systemer
Når det gjelder forretningskritisk og kommersielt sensitiv informasjon, er det en rekke tilleggskontroller som organisasjoner bør vurdere:
- Panserutstyr, inkludert alarmer og sikre rom ved kabeltermineringspunkter, inkludert kontrollert og logget tilgang.
- Elektromagnetisk skjerming.
- Økte fysiske inspeksjoner.
ISO 27701 klausul 6.8.2.4 – Utstyrsvedlikehold
Referanser ISO 27002 Kontroll 7.13
For å forhindre uautorisert tilgang til PII – eller skade på personvernrelaterte eiendeler – bør organisasjoner vedlikeholde alt utstyr i samsvar med produsentens retningslinjer, inkludert:
- Overholdelse av en robust vedlikeholdsplan, utført av opplært og autorisert personell.
- Logging av alle feil – inkludert eventuelle mistenkte funksjonsfeil.
- Der det er hensiktsmessig, utsette eksternt vedlikeholdspersonell for en taushetserklæring.
- Sikre at tredjeparts vedlikeholdsentreprenører er egnet overvåket når de utfører sine oppgaver på stedet.
- Utøve tett kontroll over fjernvedlikeholdsfunksjoner, spesielt de som utføres av tredjepartspersonell.
ISO 27701 klausul 6.8.2.5 – Fjerning av eiendeler
Referanser ISO 27002 Kontroll 7.10
Flyttbare lagringsmedier
Når organisasjoner utvikler retningslinjer som styrer fjerning av medieressurser som lagrer PII, bør organisasjoner:
- Overvåk overføringen av PII til lagringsmedier, uansett formål.
- Utvikle emnespesifikke retningslinjer basert på spesifikke rollekrav.
- Sørg for at autorisasjon søkes og innvilges før personell kan fjerne lagringsmedier fra nettverket.
- Lagre media i henhold til produsentens spesifikasjoner.
- Sørg for at media er fri for miljøskader.
- Vurder å bruke krypteringsmetoder og implementere ytterligere fysiske sikkerhetstiltak.
- Minimer risikoen for at PII blir ødelagt ved å overføre informasjon mellom lagringsmedier til et sett med retningslinjer for beste praksis.
- Introduser redundans ved å lagre PII på flere eiendeler samtidig.
- Bruk kun lagringsmedier på godkjente innganger (f.eks. SD-kort og USB-porter).
- Vurder iboende risiko ved overføring av PII mellom lagringsmedier, eller ved flytting av eiendeler mellom personell eller lokaler (se ISO 27002 kontroll 5.14).
Omformål og/eller avhending av eiendeler
Ved omformål, gjenbruk eller kassering av lagringsmedier, bør organisasjoner:
- Formater lagringsmedier, og sørg for at all PII er dokumentert og fjernet før gjenbruk (se ISO 27002 kontroll 8.10).
- Kast alle medier på en sikker måte som organisasjonen ikke har videre bruk for, og som har blitt brukt til å lagre PII.
- (Hvis avhending krever involvering av en tredjepart) være nøye med å sikre at de er en passende og riktig partner, i tråd med organisasjonens ansvar overfor PII og personvern.
- Implementer prosedyrer som identifiserer lagringsmedier som er tilgjengelige for gjenbruk, eller som kan kastes på en sikker måte.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.8.2.6 – Sikkerhet for utstyr og eiendeler utenfor lokaler
Referanser ISO 27002 Kontroll 7.9
Organisasjoner vil noen ganger trenge å sanksjonere bruken av eksterne enheter, som igjen har potensial til å få tilgang til PII og/eller personvernrelatert informasjon – inkludert BYOD-enheter.
Midlertidig eksternt utstyr
Når du administrerer enheter som enten lagrer eller aktivt bruker PII på et annet sted enn offisielt utpekte nettsteder, bør organisasjoner:
- Be alt personell om ikke å forlate slike enheter uten tilsyn på offentlige steder.
- Sørg for at produsentens retningslinjer blir overholdt, spesielt når det gjelder enhetssikkerhet og miljøvern.
- Hold en nøyaktig og oppdatert logg over hvordan eksterne enheter overføres mellom personell, dersom behovet skulle oppstå.
- (For organisatoriske eiendeler) kreve riktig autorisasjon før utstyr fjernes fra lokalene, og føre en logg over alle slike aktiviteter (se ISO 27002 kontroll 5.14).
- Be personell om å være oppmerksom på hvordan de bruker eiendeler på offentlige steder, for å forhindre uautorisert visning av PII og personvernrelatert materiale.
- Bruk GPS-teknologi og ekstern administrasjon for å holde styr på enheter utenfor stedet, samtidig som du beholder muligheten til å fjernslette dem.
Permanent eksternt utstyr
Noen ganger er det nødvendig for en organisasjon å installere permanente anleggsmidler utenfor sine lokaler eller kontorfasiliteter. Slikt utstyr inkluderer:
- Minibanker.
- Kommunikasjonsantenner.
- Radioutstyr.
Når du installerer et slikt sett, bør organisasjoner vurdere:
- Overvåking døgnet rundt (enten personlig eller via CCTV) (se ISO 27002 kontroll 7.4).
- Programvarebaserte tilgangskontroller.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.8.2.7 – Sikker avhending eller gjenbruk av utstyr
Referanser ISO 27002 Kontroll 7.14
PII og personvernrelatert informasjon er spesielt utsatt når det oppstår behov for enten å avhende eller gjenbruke lagring og behandling av eiendeler – enten internt eller i samarbeid med en spesialisert tredjepartsleverandør.
Fremfor alt må organisasjoner sørge for at lagringsmedier som er merket for avhending, som har inneholdt PII, bør fysisk ødelagt, tørkes or overskrevet (se ISO 27002 kontroller 7.10 og 8.10).
For å forhindre at PII blir kompromittert på noen måte, ved avhending eller gjenbruk av eiendeler, bør organisasjoner:
- Sørg for at alle etiketter enten fjernes eller endres etter behov – spesielt de som indikerer tilstedeværelsen av PII.
- Fjern alle fysiske og logiske sikkerhetskontroller ved avvikling av anlegg eller flytting av lokaler, med sikte på å gjenbruke dem på et nytt sted.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
ISO 27701 klausul 6.8.2.8 – Ubetjent brukerutstyr
Referanser ISO 27002 Kontroll 8.1
Organisasjoner bør implementere emnespesifikke retningslinjer som omhandler ulike kategorier av endepunktenheter, med fokus på å forbedre personvern og PII-sikkerhet.
Organisasjoner bør utarbeide retningslinjer og prosedyrer som tar hensyn til:
- Eksistensen av PII på en organisasjons nettverk.
- Hvordan enheter først registreres og deretter identifiseres.
- Fysisk beskyttelse kontroller.
- Restriksjoner på programvareinstallasjon.
- Fjernstyring.
- Brukertilgangskontroller.
- Kryptografi.
- Anti malware plattformer.
- Sikkerhetskopiering og katastrofegjenoppretting.
- Nettleserestriksjoner og innholdsfiltrering.
- Brukeranalyse (se ISO 27002 kontroll 8.16).
- Flyttbar lagring og tilhørende enheter.
- Enhetsbasert datasegregering – dvs. skape en barriere mellom organisasjons- og persondata.
- Beredskapsplaner for tapte eller stjålne enheter.
Brukeransvar
Brukere av enheter utenfor nettstedet bør kontinuerlig være klar over alle retningslinjer og prosedyrer som gjelder for dem, som brukere utenfor nettstedet.
Som et generelt sett med prinsipper bør brukere:
- Lukk arbeids-/eksternøkter når de ikke lenger er i bruk.
- Overhold fysiske og logiske beskyttelsestiltak.
- Vær oppmerksom på deres fysiske omgivelser når du får tilgang til PII eller personvernrelatert informasjon (dvs. unngå "skuldersurfing" i offentlige områder).
Bring Your Own Device (BYOD)-protokoller
Organisasjoner som lar personell bruke sine egne personlige enheter bør også vurdere:
- Installere programvare som hjelper til med separering av forretnings- og personopplysninger.
- Håndheve en BYOD-policy som inkluderer:
- Erkjennelse av organisatorisk eierskap til PII.
- Fysiske og digitale beskyttelsestiltak (se ovenfor).
- Fjernsletting av data.
- Eventuelle tiltak som sikrer samsvar med PII-lovgivningen og regulatorisk veiledning.
- IP-rettigheter, angående selskapets eierskap til alt som er produsert på en personlig enhet.
- Organisatorisk tilgang til enheten – enten for personvernformål, eller for å overholde en intern eller ekstern etterforskning.
- EULAer og programvarelisenser som kan bli påvirket av bruk av kommersiell programvare på en privateid enhet.
WiFi-retningslinjer
Når de vurderer hvordan de skal administrere WiFi-tilkobling for eksterne enheter, bør organisasjoner:
- Vurder nøye hvordan enheter kan koble til trådløse nettverk (dvs. unngå usikrede nettverk mens de bruker PII).
- Sørg for at WiFi har tilstrekkelig kapasitet til å lette sikkerhetskopiering, ivareta vedlikeholdsaktiviteter og behandle data uten noen større hindring for enhetens ytelse og datasikkerhet.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.8.2.9 – Clear Desk and Clear Screen Policy
Referanser ISO 27002 Kontroll 7.7
PII og personvernrelatert informasjon er spesielt utsatt når uforsiktig personale og tredjepartsleverandører ikke overholder sikkerhetstiltakene på arbeidsplassen som beskytter mot utilsiktet eller bevisst visning av PII av uautorisert personell.
Organisasjoner bør utarbeide emnespesifikke retningslinjer for oversiktlig skrivebord og klare skjermer (på en arbeidsplass-for-arbeidsområde-basis om nødvendig) som inkluderer:
- Skjuler fra tilfeldig visning, låser bort eller trygt lagrer PII og personvernrelatert informasjon, når slikt datamateriale ikke er nødvendig.
- Fysiske låsemekanismer på IKT-midler.
- Digitale tilgangskontroller – som tidsavbrudd for visning, passordbeskyttede skjermsparere og automatiske utloggingsfasiliteter.
- Sikker utskrift og umiddelbar dokumentinnsamling.
- Sikker, låst oppbevaring av sensitiv dokumentasjon, og forsvarlig avhending av slikt materiale når det ikke lenger er nødvendig (makulering, tredjeparts avhendingstjenester osv.).
- Vær oppmerksom på forhåndsvisninger av meldinger (e-post, SMS, kalenderpåminnelser) som kan gi tilgang til sensitive data; når en skjerm deles eller vises på et offentlig sted.
- Sletting av fysiske skjermer (f.eks. tavler og oppslagstavler) for sensitiv informasjon, når det ikke lenger er nødvendig.
Når organisasjoner kollektivt forlater lokaler – for eksempel ved kontorflytting eller lignende flytting – bør jeg forsøke å sikre at ingen dokumentasjon blir etterlatt, verken i pulter og arkivsystemer, eller noe som kan ha falt på uklare steder.
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.8.2.1 | Utstyrsplassering og beskyttelse |
7.8 – Utstyrsplassering og beskyttelse for ISO 27002 |
none |
| 6.8.2.2 | Støtteverktøy |
7.11 – Støtteverktøy for ISO 27002 |
none |
| 6.8.2.3 | Kablingssikkerhet |
7.12 – Kablingssikkerhet for ISO 27002 |
none |
| 6.8.2.4 | Vedlikehold av utstyr |
7.13 – Utstyrsvedlikehold for ISO 27002 |
none |
| 6.8.2.5 | Fjerning av eiendeler |
7.10 – Lagringsmedier for ISO 27002 |
none |
| 6.8.2.6 | Sikkerhet for utstyr og eiendeler utenfor lokaler |
7.9 – Sikkerhet for eiendeler utenfor lokaler for ISO 27002 |
none |
| 6.8.2.7 | Sikker avhending eller gjenbruk av utstyr |
7.14 – Sikker avhending eller gjenbruk av utstyr for ISO 27002 |
Artikkel (5) |
| 6.8.2.8 | Ubetjent brukerutstyr |
8.1 – Brukerendepunktsenheter for ISO 27002 |
none |
| 6.8.2.9 | Clear Desk og Clear Screen Policy |
7.7 – Clear Desk og Clear Screen for ISO 27002 |
Artikkel (5) |
Hvordan ISMS.online hjelper
Vi gjør ROPA enkelt
Vi gjør datakartlegging til en enkel oppgave. Det er enkelt å registrere og gjennomgå alt ved å legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske verktøy for registreringer av behandlingsaktivitet.
Vurderingsmaler for deg
Det er enkelt å sette opp og kjøre ulike typer personvernvurderinger, fra databeskyttelseskonsekvensvurderinger til regulatoriske eller overholdelsesberedskap.
Vi har en innebygd risikobank
Vi har laget en innebygd risikobank og en rekke andre praktiske verktøy som vil hjelpe med alle deler av risikovurderingen og styringsprosessen.
Bestill en demo i dag og finn ut hvordan vi kan hjelpe din organisasjon med å oppnå ISO 27701.
