- Se ISO 27002:2022 Kontroll 7.1 för mer information.
- Se ISO 27001:2013 bilaga A 11.1.1 för mer information.
Vad är ISO 27001:2022 Annex A 7.1?
ISO 27001: 2022 Bilaga A 7.1 kräver att organisationer upprättar säkerhetsperimetrar och använder dem för att skydda information och tillhörande tillgångar.
Informations- och informationssäkerhetstillgångar förklaras
Information kan beskrivas som all data, kunskap eller insikt som är värd för en organisation eller ett företag. Detta inkluderar all information som erhållits om individer, kunder, partners, anställda och andra intressenter.
Informationssäkerhetstillgångar kan grovt klassificeras i:
Data
Data och information misstas ofta för varandra men det finns en tydlig skillnad. Data är rå, obearbetad och i allmänhet till ingen nytta i sin nuvarande form. Å andra sidan är information data som har ordnats i ett användbart format, till exempel en e-post eller ett telefonnummer.
Infrastruktur
Infrastruktur omfattar alla komponenter i ett nätverk – servrar, skrivare, routrar och mer – för att skapa ett sammanhållet system.
Mjukvaruinfrastruktur, som t.ex operativsystem och applikationer, måste skyddas från cyberhot, precis som hårdvaran gör. För att undvika exploatering av illvilliga hackare som söker tillgång till känslig data, måste båda uppdateras regelbundet med patchar och korrigeringar för eventuella sårbarheter som exponeras av hackare.
Fysiska säkerhetsperimetrar förklaras
Med fysisk säkerhet avses de fysiska åtgärder som värnar en organisations resurser och lokaler. Det är en grundläggande och oumbärlig del av informationssäkerheten. Det handlar om mer än att bara låsa dörren; det innebär också att vara medveten om vem som har tillgång till vad, när, var och hur.
Fysiska säkerhetsomkretsar identifierar de fysiska gränserna för en byggnad eller ett område och styr åtkomsten till den. Staket, murar, grindar och andra barriärer kan användas för att förhindra obehörigt tillträde av människor eller fordon. Dessutom kan elektronisk övervakningsutrustning som CCTV-kameror användas för att övervaka aktivitet utanför anläggningen.
Fysiska säkerhetsperimetrar erbjuder det första lagret av skydd mot utomstående som försöker komma åt ditt datorsystem via en trådbunden eller trådlös anslutning i ett företag. De kombineras ofta med ytterligare informationssäkerhetskontroller, såsom identitetshantering, åtkomstkontroll och system för intrångsdetektering.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vägledning om ISO 27001:2022 bilaga A 7.1
ISO 27001:2022 bilaga A 7.1 garanterar att en organisation kan visa att den har lämpliga fysiska säkerhetsgränser på plats för att förhindra obehörig fysisk åtkomst till information och andra relaterade tillgångar.
Detta innebär att man vidtar åtgärder för att förhindra:
- Obehörigt tillträde till byggnader, rum eller områden som innehåller informationstillgångar är förbjudet.
- Att ta bort tillgångar utan tillstånd från lokalerna är oacceptabelt.
- Otillåtet utnyttjande av lokaltillgångar, såsom datorer och relaterade enheter, är inte tillåtet.
- Obehörig manipulering av elektronisk kommunikationsutrustning, såsom telefoner, faxar och datorterminaler, är inte tillåtet.
Det är möjligt att implementera fysiska säkerhetsperimetrar på två olika sätt:
Fysisk åtkomstkontroll – skyddar tillträde till anläggningar och byggnader och förflyttning inom dem. Detta inkluderar låsning av dörrar, larm, staket och bommar.
Hårdvarusäkerhet – ger kontroll över fysisk utrustning, såsom datorer, skrivare och skannrar, som behandlar data som innehåller känslig information.
Denna kontroll hjälper skydda information och andra relaterade tillgångar, såsom konfidentiella dokument, register och utrustning, genom att förhindra obehörig användning av lokaler, utrustning och förnödenheter.
Vad är inblandat och hur man uppfyller kraven
Riktlinjer som ska beaktas för fysiska säkerhetsperimetrar bör antas när det är möjligt:
- Etablera säkerhetsbarriärer och fastställa den exakta platsen och styrkan för var och en i linje med informationssäkerhetsbestämmelser om resurserna inom gränsen.
- Att säkerställa den fysiska säkerheten för en byggnad eller plats som innehåller informationsbehandlingssystem är avgörande, utan luckor eller svaga punkter i omkretsen där ett inbrott kan underlättas.
- De yttre ytorna på platsen, inklusive tak, väggar, tak och golv, måste vara av robust konstruktion och alla ytterdörrar bör vara utrustade med kontrollmekanismer som bommar, larm och lås för att förhindra obehörigt tillträde.
- Se till att fönster och dörrar är låsta när de är obemannade och överväg extern säkerhet för fönster, särskilt på bottenvåningen; ventilation måste också beaktas.
För ytterligare insikt om vad som förväntas för överensstämmelse med ISO 27001:2022-standarden, se den tillhörande dokumentationen.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 7.1 ersätter ISO 27001:2013 Bilaga A 11.1.1; sammanhanget och innebörden förblir i stort sett lika, om än annorlunda formulerat.
2022-versionen såg en minskning av implementeringskraven jämfört med den tidigare kontrollen.
Bilaga A 7.1 saknar de krav som beskrivs i bilaga A 11.1.1, vilka är följande:
- Det bör finnas en bemannad reception eller annat sätt att sköta fysiskt inträde till platsen eller byggnaden.
- Endast behörig personal bör tillåtas tillträde till platser och byggnader.
- Konstruera fysiska barriärer, när så är tillämpligt, för att förhindra obehörig fysisk åtkomst och förhindra miljöförorening.
- Det är nödvändigt att installera intrångsdetekteringssystem som uppfyller nationella, regionala eller internationella standarder och testa dem regelbundet för att säkra alla ytterdörrar och tillgängliga fönster.
- Alla obebodda utrymmen bör alltid vara försedda med larmsystem.
- Vi bör säkerställa täckning av andra områden, såsom dator- och kommunikationsrum.
- Organisationen bör hålla sina informationsbehandlingsanläggningar fysiskt åtskilda från de som hanteras av externa källor.
Inget utelämnande minskar effektiviteten hos den nya ISO 27001:2022-standarden; istället togs de bort för att göra kontrollen lättare att använda och förstå.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vem är ansvarig för denna process?
Ocuco-landskapet Chief Information Officer (CIO) är den ledare som ansvarar för att skydda företagets data och system. De samarbetar med andra chefer för att överväga säkerheten när de fattar affärsbeslut, såsom finanschefen och verkställande direktören. Implementering av policyer och rutiner för att skydda företagets information är en viktig del av CIO:s roll.
Ekonomichefen har en roll i att besluta om fysiska säkerhetsperimetrar. I samarbete med andra C-suite-chefer, inklusive CIO:n, bestämmer de hur mycket de ska investera i fysiska säkerhetsåtgärder som övervakningskameror, åtkomstkontroller och larm.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Vad betyder dessa förändringar för dig?
ISO 27001:2022 är ingen större översyn, så inga betydande ändringar är nödvändiga för att uppfylla kraven.
Det är värt att undersöka din nuvarande implementering för att garantera att den är i linje med de nya kraven. Särskilt om några ändringar har gjorts sedan versionen av 2013. Det är värt att omvärdera dessa ändringar för att avgöra om de förblir giltiga eller behöver ändras.
Hur ISMS.Online Hjälp
ISMS.online kan hjälpa till att bevisa ISO 27001-efterlevnad genom att tillhandahålla ett onlinesystem som möjliggör lagring av dokument på en enda tillgänglig plats. Det underlättar också utvecklingen av checklistor för varje dokument, vilket underlättar granskning och ändring av dokument.
Vill du uppleva hur det fungerar?
Kontakta oss idag för att reservera en demonstration.