ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.8: Styrking av fysisk og miljømessig sikkerhet
I tillegg til digitale sikkerhetstiltak (RBAC, kryptering og autentiseringskontroller), må organisasjoner konstruere og administrere fysiske lokasjoner (nettsteder, kontorer, fasiliteter) som tilbyr økt beskyttelse til PII uansett hvor den behandles eller lagres.
ISO skisserer en rekke menneskelige, miljømessige og urbane trusler som bør bekjempes gjennom bygningsplanlegging, risikostyring og robuste fysiske kontroller.
Hva dekkes av ISO 27701 klausul 6.8
ISO 27701 6.8s veiledning er spredt over seks underklausuler, som hver inneholder veiledning fra ulike kontroller innenfor ISO 27002, brukt i sammenheng med PII og personvern:
- ISO 27701 6.8.1.1 – Fysisk sikkerhetsomkrets (referanser ISO 27002 kontroll 7.1)
- ISO 27701 6.8.1.2 – Fysiske inngangskontroller (referanser ISO 27002 kontroll 7.2)
- ISO 27701 6.8.1.3 – Sikring av kontorer, rom og fasiliteter (Referanser ISO 27002 Kontroll 7.3)
- ISO 27701 6.8.1.4 – Beskyttelse mot eksterne og miljømessige trusler (Referanser ISO 27002 Kontroll 7.5)
- ISO 27701 6.8.1.5 – Arbeid i sikre områder (Referanser ISO 27002 Kontroll 7.6)
- ISO 27701 6.8.1.6 – Leverings- og lasteområder (Referanser ISO 27002 kontroll 7.2)
ISO 27701 klausul 6.8 inneholder ingen tilleggsveiledning for implementering og administrasjon av et PIMS, og det er heller ingen britiske GDPR-artikler å vurdere.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.8.1.1 – Fysisk sikkerhetsomkrets
Referanser ISO 27002 Kontroll 7.1
Perimeterbeskyttelse opererer etter prinsippet om å skape kontinuerlige interne fysiske barrierer, som hindrer uautorisert tilgang til privat informasjon.
For å opprettholde en ende-til-ende perimeterbeskyttelsesoperasjon, bør organisasjoner forhindre fysisk tilgang til PII ved å:
- Definere og implementere sikkerhetsperimeter som tar hensyn til lagring av sensitive data (PII).
- Opprettholde 'fysisk sunne' omkretser som gir sikker tilgang 24/7.
- Låsing av alle utvendige inngangs- og utgangspunkter når ingen personell er tilstede (og sikring av ventilasjonspunkter, der det er hensiktsmessig).
- Beskytte dører med alarmer og sikre tilgangstiltak (nøkkelkoder, autolåsemekanismer etc).
- Vedlikeholde et robust sett med alarmerte branndører, som tar hensyn til gjeldende lovgivning om konstruksjon av utvendige og innvendige tilgangspunkter.
- Utarbeide beredskapsplaner som gir økt sikkerhet under kritiske situasjoner eller sikkerhetshendelser.
ISO 27701 klausul 6.8.1.2 – Fysiske inngangskontroller
Referanser ISO 27002 Kontroll 7.2
Mens ISO 27701 6.8.1.1 fokuserer på sikkerhetsperimeter, skisserer punkt 6.8.1.2 generelle prinsipper for å sikre at bare autorisert personell har tilgang til områder som inneholder PII og personvernrelaterte eiendeler.
Generell veiledning
Organisasjoner bør:
- Begrens tilgangen til hele tomter, bygninger og kontorfasiliteter ensartet til kun autorisert personell (inkludert nødutgangspunkter).
- Gjennomfør periodiske gjennomganger av tilgangsnivåer, som bør inkludere en generell oppdatering av alle tilgangsnivåer, etter behov (se ISO 27002 kontroll 5.18).
- Før en loggbok, eller lag et digitalt revisjonsspor, for tilgang til stedet og rom (se ISO 27002 kontroll 5.33).
- Utvikle og installere tekniske tilgangstiltak (nøkkelkort, fobs, biometriske inngangssystemer, kodede alarmer etc.).
- Opprettholde et overvåket resepsjonsområde.
- Undersøk de personlige eiendelene til internt og eksternt personell før innreise (NB regionale lover om inspeksjon av personlige eiendeler kan hindre organisasjoner i å gjøre dette).
- Håndheve forskrifter for bilde-ID for hele nettstedet.
- Gir besøkende begrenset tilgang til ethvert område som lagrer eller behandler PII eller personvernrelatert informasjon.
- Lage beredskapsplaner for hendelser og kritiske scenarier.
- Opprettholde et nøkkelstyringssystem som logger, reviderer, vedlikeholder, gir og tilbakekaller tilgang til autentiseringsmetoder som dørinngangssystemer og kombinasjonslåser (se ISO 27002 kontroll 5.17).
Besøkende
Når de gir besøkende tilgang til begrensede områder, bør organisasjoner:
- Bekreft identiteten til den besøkende før du gir tilgang.
- Logg dato og klokkeslett for et besøk.
- Sørg for at arten av besøket er forstått og registrert, og er hensiktsmessig innenfor konteksten av det fysiske området som er tilgjengelig.
- Sørg for at den besøkende er under oppsyn, der det er relevant.
Leverings- og lasteområder
Ved utforming og drift av et lasteområde bør organisasjoner:
- Begrens tilgangen til lasteområder til verifiserte selskaper og enkeltpersoner.
- Bygg lasteområdet slik at ingen andre deler av lokalet er tilgjengelig uten riktig tillatelse.
- Sjekk mottatte leveranser for farlige, ulovlige og eksplosive materialer og tukling før du flytter innholdet rundt i lokalene.
- Logg innkommende leveranser i tråd med organisasjonskontroller (se ISO 27002 kontroller 5.9 og 7.10).
- Tilby en plass for personell til fysisk å skille inngående og utgående materiale.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.8.1.3 – Sikring av kontorer, rom og fasiliteter
Referanser ISO 27002 Kontroll 7.3
Fysisk beskyttelse av PII og personvernrelaterte eiendeler strekker seg også til rom innenfor en etablert sikkerhetsperimeter. For å sikre kontorer, rom og fasiliteter, bør organisasjoner:
For å beskytte interne fasiliteter bør organisasjoner:
- Unngå å bygge kontorfasiliteter som gir medlemmer av allmennheten fri tilgang, uten riktig autorisasjon.
- Når det gjelder PII-behandlingsanlegg, unngå skilting som angir formålet med anlegget (internt eller eksternt).
- Bygg anlegg som hindrer personell i å være synlig for publikum, med passende elektromagnetisk skjerming installert om nødvendig.
- Skjul tilstedeværelsen av PII-behandlingsfasiliteter fra online kartplattformer og kommunikasjonskataloger.
ISO 27701 klausul 6.8.1.4 – Beskyttelse mot eksterne og miljømessige trusler
Referanser ISO 27002 Kontroll 7.5
En "trussel" kan tolkes som enhver større hendelse som har potensial til å påvirke PII eller personvernrelaterte eiendeler.
Organisasjoner bør ta fatt på en trusselrisikovurdering før de utfører "kritiske operasjoner", som tar hensyn til endringer i trusselmiljøet, inkludert både fysiske (f.eks. kriminell aktivitet) og miljømessige (flom, branner etc.) trusler.
Når de bygger fysiske lokaler, bør organisasjoner ta hensyn til:
- Lokale geografiske og topologiske faktorer, inkludert landegenskaper, nærliggende vann og potensialet for et jordskjelv.
- Eventuelle trusler som kommer fra menneskelige kilder i urbane områder, for eksempel terror eller kriminell aktivitet, og politisk vold/uroligheter.
Når risikovurderingen er fullført, bør organisasjoner utvikle en rekke kontroller som søker å både forebygge og minimere risikoen for at en trussel oppstår eller gjentar seg.
ISO nevner brann, flom, elektriske overspenninger og eksplosiver/våpen som av spesiell betydning. Hvis ressursene strekkes, bør organisasjoner fokusere på disse fire områdene som en prioritet.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.8.1.5 – Arbeid i sikre områder
Referanser ISO 27002 Kontroll 7.6
Organisasjoner må beskytte PII og personvernrelaterte eiendeler ved å implementere en sikker arbeidspolicy for alt personell, som tar hensyn til jobbroller og fysiske beskyttelsestiltak.
Når organisasjoner formulerer arbeidspolitikk på sikre områder, bør:
- Sørg for at personalet opererer på en "need to know"-basis.
- Unngå å la personalet være uten tilsyn i lengre perioder.
- Sørg for at alle relevante dører er låst, og lavt fotfall eller permanent ledige områder er gjenstand for periodiske inspeksjoner.
- Overvåk og kontroller bruken av personlige og organisatoriske endepunktenheter, til et nivå som er proporsjonalt med dataene som lagres.
- Vis tydelig beredskapsplaner og nødprosedyrer, slik at personell forstår hvordan de skal reagere på kritiske scenarier.
ISO 27701 klausul 6.8.1.6 – Leverings- og lasteområder
Referanser ISO 27002 Kontroll 7.2
Se ISO 27701 klausul 6.8.1.2 (over).
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.8.1.1 | Fysisk sikkerhetsomkrets |
7.1 – Fysiske sikkerhetsgrenser for ISO 27002 |
none |
| 6.8.1.2 | Fysiske inngangskontroller |
7.2 – Fysisk oppføring for ISO 27002 |
none |
| 6.8.1.3 | Sikring av kontorer, rom og fasiliteter |
7.3 – Sikring av kontorer, rom og fasiliteter for ISO 27002 |
none |
| 6.8.1.4 | Beskyttelse mot eksterne og miljømessige trusler |
7.5 – Beskyttelse mot fysiske og miljømessige trusler for ISO 27002 |
none |
| 6.8.1.5 | Arbeid i sikre områder |
7.6 – Arbeid i sikre områder for ISO 27002 |
none |
| 6.8.1.6 | Leverings- og lasteområder |
7.2 – Fysisk oppføring for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Hvordan hjelper vi?
For å oppnå ISO 27701 må du bygge et Privacy Information Management System (PIMS). Med vår forhåndskonfigurerte PIMS kan du raskt og enkelt organisere og administrere kunde-, leverandør- og personalinformasjon for å overholde ISO 27701 fullt ut.
Du kan også imøtekomme det økende antallet globale, regionale og sektorspesifikke personvernforskrifter vi støtter på ISMS.online-plattformen.
For å oppnå sertifisering til ISO 27701 må du først oppnå sertifisering til ISO 27001. Den gode nyheten er at plattformen vår kan hjelpe deg med å gjøre begge deler.
Finn ut mer av bestille en praktisk demo.
