- Se ISO 27002:2022 Kontroll 7.10 för mer information.
- Se ISO 27001:2013 bilaga A 8.3.1 för mer information.
- Se ISO 27001:2013 bilaga A 8.3.2 för mer information.
- Se ISO 27001:2013 bilaga A 8.3.3 för mer information.
- Se ISO 27001:2013 bilaga A 11.2.5 för mer information.
ISO 27001 Annex A 7.10: Skydda känsliga data på lagringsmedia
Användningen av lagringsmedieenheter, såsom SSD, USB, externa enheter och mobiler, är avgörande för många viktiga informationshanteringsoperationer, inklusive säkerhetskopiering, lagring och överföring av data.
Lagringen av känsliga och viktiga data på dessa enheter innebär risker för informationsresursernas korrekthet, sekretess och tillgänglighet. Dessa risker kan involvera försvinnande eller stöld av lagringsmedia med konfidentiell information, överföring av skadlig programvara över alla företags datanätverk via lagringsmediet, och nedbrytning eller minskning av kvaliteten på lagringsmedia som används för säkerhetskopiering.
ISO 27001:2022 bilaga A 7.10 beskriver de steg som organisationer måste vidta för att säkerställa säkerheten för lagringsmedier genom hela dess livscykel, från förvärv till avyttring. Policyer och kontroller måste införas för att garantera dess säkerhet.
Syftet med ISO 27001:2022 bilaga A 7.10
ISO 27001:2022 Annex A 7.10 underlättar för organisationer att minska och utrota risker förknippade med obehörig åtkomst, användning, radering, ändring och överföring av konfidentiell data som finns på lagringsmedieenheter. Den fastställer rutiner för att hantera lagringsmedia under hela dess livscykel.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vad omfattar bilaga A 7.10?
ISO 27001:2022 Annex A 7.10 avser både digitala och fysiska lagringsmedier. Till exempel, lagring av data på fysiska dokument omfattas också av denna kontroll.
Tillsammans med flyttbara lagringsmedia omfattas även hårddiskar som en form av fast lagring av ISO 27001:2022 Annex A 7.10.
Äganderätt till bilaga A 7.10
ISO 27001:2022 Annex A 7.10 ger organisationer mandat att skapa och utföra lämpliga procedurer, tekniska kontroller och organisationsövergripande policyer avseende användning av lagringsmedia enligt organisationens eget klassificeringssystem och eventuell datahantering krav såsom juridiska och avtalsenliga förhållanden.
Informationssäkerhetschefer bör ta hand om hela efterlevnadscykeln.
Vägledning om ISO 27001:2022 bilaga A 7.10 Överensstämmelse
Flyttbart lagringsmedia
Avtagbara medier är oumbärliga för många affärsverksamheter och används i stor utsträckning av personal. De utgör dock den största risken för känsliga uppgifter.
ISO 27001:2022 bilaga A 7.10 anger tio villkor som organisationer måste följa för hanteringen av flyttbara lagringsmedier under dess livscykel:
- Organisationer bör skapa en policy inriktad på anskaffning, auktorisering, användning och kassering av flyttbara lagringsmedier, och informera all personal och tillämpliga parter om dess existens.
- Organisationer bör, där det är praktiskt och nödvändigt, implementera tillståndsförfaranden för att ta bort flyttbara lagringsmedier från företagets lokaler. Dessutom bör en logg över borttagningar föras för revisionsspårning.
- Förvara alla flyttbara lagringsmedia på en säker plats som ett kassaskåp, med tanke på informationsklassificering nivå som tilldelas informationen och eventuella miljö- och fysiska hot mot media.
- Om det är ytterst viktigt att upprätthålla konfidentialitet och tillförlitlighet för informationen på flyttbara medier, bör kryptografiska metoder användas för att skydda media från obehörig åtkomst.
- För att förhindra försämring av flyttbara lagringsmedier och dataförlust bör informationen flyttas till en ny lagringsenhet innan risken uppstår.
- Det är avgörande att kopiera och lagra känslig data på flera lagringsmedier för att minska risken för att kritisk information går förlorad.
- För att minska risken för fullständig dataförlust kan registrering av flyttbara lagringsmedieenheter vara en gångbar lösning.
- USB-portar och SD-kortplatser bör inte användas, såvida det inte är nödvändigt.
- Det är nödvändigt att övervaka överföringen av information till alla flyttbara lagringsmedieenheter.
- Vid överföring av information som finns i fysiska dokument via post eller bud finns det en stor risk för obehörig åtkomst. För att motverka detta bör lämpliga åtgärder vidtas.
Vägledning om säker återanvändning och kassering av lagringsmedia
ISO 27001: 2022 Bilaga A 7.10 ger anvisningar om säker återanvändning och kassering av lagringsmedia för att hjälpa organisationer att minska och bli av med risken för att informationens konfidentialitet kränks.
Bilaga A 7.10 anger att organisationer bör skapa och genomföra planer för återvinning och kassering av lagringsmedier, med hänsyn till känsligheten hos de uppgifter som lagras i lagringsmediet.
Organisationer bör överväga följande när de upprättar dessa åtgärder:
- Om en organisations interna part ska återanvända ett lagringsmedium, bör känslig information som finns på det oåterkalleligt raderas eller formateras om innan auktorisation.
- Säker förstörelse av lagringsmedia som innehåller känslig information är nödvändig när den inte längre behövs. Pappersdokument kan strimlas och digital utrustning kan förstöras fysiskt.
- Ett system bör utvecklas för att identifiera lagringsmedia som behöver kasseras.
- Organisationer bör utföra due diligence när de väljer en extern part för att samla in och kassera lagringsmedia, och se till att den valda leverantören är kompetent och har lämpliga kontroller på plats.
- Dokumentera alla kasserade föremål för ett revisionsspår.
- Vid kassering av flera lagringsmedier tillsammans bör hänsyn tas till den kumulativa effekten: Kombination av olika data från varje lagringsmedium kan resultera i omvandling av icke-känslig information till känsligt material.
Slutligen ger ISO 27001:2022 bilaga A 7.10 organisationer i uppdrag att utvärdera risken för konfidentiell data som lagras på skadad utrustning, för att avgöra om utrustningen ska förstöras eller repareras.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 7.10 ersätter ISO 27001:2013 Bilaga A 08.3.1, 08.3.2, 08.3.3 och 11.2.5.
Det finns fyra anmärkningsvärda skillnader.
Förändringar i struktur
Till skillnad från 2013-versionen, som hade tre separata kontroller för mediehantering, medieavfall och fysisk medieöverföring, kombinerar 2022-versionen dem under bilaga A 7.10.
Krav för återanvändning av lagringsmedia har lagts till i 2022-versionen
I motsats till 2013-versionen, som endast omfattade säker avyttring av media, innehåller 2022-versionen även krav på säker mediaåteranvändning.
Fysiska överföringskrav är mer omfattande i 2013 års version
2013 års version hade mer omfattande krav för fysisk överföring av lagringsmedia, inklusive ID-verifiering för kurirer och förpackningsstandarder. Däremot föreslår bilaga A 7 7.10 i 2022-versionen endast organisationer att agera med försiktighet när de väljer kurirer.
Ämnesspecifik policy för flyttbara lagringsmedier krävs i 2022 års version
Medan 2022- och 2013-versionerna liknar varandra när det gäller krav på flyttbara lagringsmedier, kräver 2022-versionen en ämnesspecifik policy för flyttbara lagringsmedier. 2013 års version täckte inte detta krav.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.online tar ett riskbaserat tillvägagångssätt, med hjälp av branschledande bästa praxis och mallar, för att hjälpa dig att upptäcka de risker som din organisation utsätts för och de kontroller som behövs för att hantera dem. Detta hjälper till att minska både risker och efterlevnadskostnader.
Kontakta oss nu för att arrangera en demonstration.