- Se ISO 27002:2022 Kontroll 7.14 för mer information.
- Se ISO 27001:2013 bilaga A 11.2.7 för mer information.
ISO 27001 bilaga A 7.14: Bästa praxis för säker kassering och återanvändning av utrustning
IT-utrustning som inte längre behövs måste antingen förstöras, återlämnas till leasegivaren, lämnas till tredje part, återvinnas eller återanvändas för annan affärsverksamhet.
Organisationer bör skydda information och licensierad programvara genom att se till att den raderas eller skrivs över innan utrustningen kasseras eller återanvänds. Detta kommer att hjälpa till att skydda sekretessen för data som lagras på enheten.
Om en organisation anlitar en extern tjänsteleverantör för bortskaffande av IT-tillgångar för att överföra föråldrade bärbara datorer, skrivare och externa enheter, kan denna leverantör få obehörig åtkomst till data som finns på utrustningen.
ISO 27001:2022 Annex A 7.14 handlar om hur organisationer kan bevara konfidentialitet för data som lagras på utrustning som är avsedd för bortskaffande eller återanvändning, genom att implementera effektiva säkerhetsåtgärder och procedurer.
Syftet med ISO 27001:2022 bilaga A 7.14
ISO 27001: 2022 Bilaga A 7.14 gör det möjligt för organisationer att förhindra obehörig åtkomst till känsliga data genom att verifiera att all information och programvara som är licensierad på utrustningen oåterkalleligt raderas eller skrivs över innan utrustningen kasseras eller överlämnas till en tredje part för återanvändning.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till bilaga A 7.14
I enlighet med ISO 27001:2022 bilaga A 7.14 måste ett organisationsomfattande databortskaffande-återanvändningsförfarande upprättas, inklusive identifiering av all utrustning och implementering av lämpliga tekniska bortskaffandemekanismer och återanvändningsprocesser.
Ocuco-landskapet Chief Information Officer bör vara ansvarig för att upprätta, införa och upprätthålla system och processer för att kassera och återanvända utrustning.
Vägledning om ISO 27001:2022 bilaga A 7.14 Överensstämmelse
ISO 27001:2022 bilaga A 7.14 specificerar fyra viktiga överväganden för efterlevnad som organisationer bör ha i åtanke:
Det är tillrådligt att inta en proaktiv hållning
Innan de kasseras eller återanvänds måste organisationer kontrollera om utrustningen innehåller någon informationstillgångar och licensierad programvara och se till att dessa raderas permanent.
Fysisk förstörelse eller oåterkallelig radering av data
ISO 27001:2022 bilaga A 7.14 anger att två tillvägagångssätt kan användas för att säkerställa säker och permanent radering av information om utrustning:
- Utrustning som innehåller lagringsmedieenheter som innehåller information ska förstöras fysiskt.
- Organisationer bör hänvisa till bilaga A 7.10 och bilaga A 8.10 angående Förvarings media respektive Informationsradering för att säkerställa att all data som lagras på utrustningen raderas, skrivs över eller förstörs på ett sätt som förhindrar återhämtning av illvilliga parter.
Alla etiketter och markeringar bör tas av
Utrustningskomponenter och data de innehåller kan märkas eller märkas för att identifiera organisationen eller avslöja tillgångsägaren, nätverket eller klassificeringsnivån för informationen. Alla dessa etiketter och märkningar ska förstöras permanent.
Borttagning av kontroller
Organisationer kan överväga att avinstallera säkerhetskontroller, till exempel åtkomstbegränsningar eller övervakningssystem, när de lämnar anläggningar, med tanke på följande villkor:
- Hyresavtalet ställer kraven för återlämnande av fastigheten.
- Det är viktigt att minska risken för eventuell obehörig åtkomst till känslig information av den framtida hyresgästen.
- Kan nuvarande kontroller utnyttjas på kommande anläggning.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om bilaga A 7.14
Utöver den allmänna vägledningen tillhandahåller ISO 27001:2022 Annex A 7.14 tre specifika rekommendationer för organisationer.
Skadad utrustning
När utrustning som innehåller data skickas för reparation kan den vara sårbar för obehörig åtkomst från tredje part.
Organisationer bör utföra en riskbedömning, med hänsyn till informationens känslighetsnivå, och överväga om att förstöra utrustningen skulle vara ett mer hållbart val än reparation.
Full-Disk Kryptering
Att säkerställa att heldiskkryptering uppfyller de högsta standarderna är avgörande för att skydda datakonfidentialitet. Det bör noteras att följande bör följas:
- Kryptering är tillförlitlig och skyddar alla aspekter av disken, inklusive överblivet utrymme.
- Kryptografiska nycklar bör vara tillräckligt långa för att förhindra brute force-attacker.
- Organisationer bör skydda sekretessen för sina kryptografiska nycklar. Till exempel bör krypteringsnyckeln inte lagras på samma hårddisk.
Överskrivningsverktyg
Organisationer bör välja en överskrivningsmetod samtidigt som de överväger följande kriterier:
- Informationstillgången har tilldelats en viss klassificering.
- Vilken typ av lagringsmedia där informationen förvaras är känd.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 7.14 ersätter ISO 27001:2013 bilaga A 11.2.7 i den reviderade standarden. ISO 27001:2022-versionen ersätter ISO 27001:2013-versionen av standarden, med den senaste versionen inklusive uppdateringar av bilaga A 7.14.
ISO 27001:2022 Annex A 7.14 är ungefär som dess motsvarighet från 2013. 2022-versionen har dock mer omfattande krav i den allmänna vägledningen.
I jämförelse med ISO 27001:2013 ställer 2022-versionen dessa krav:
- Organisationer bör radera alla skyltar och taggar som anger deras organisation, nätverk och klassificeringsnivå.
- Organisationer bör överväga att eliminera alla kontroller som de har etablerat vid en anläggning när de reser.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.Online tillhandahåller en heltäckande metod för implementering av ISO 27001:2022. Den erbjuder en strömlinjeformad process som gör det möjligt för användare att snabbt och effektivt uppfylla standarderna för den internationella säkerhetsstandarden. Med sitt användarvänliga gränssnitt gör det det enkelt för organisationer att etablera och underhålla ett robust Informationssäkerhetshanteringssystem.
Detta webbaserade system gör det möjligt för dig att visa att ditt ISMS uppfyller de angivna kriterierna, genom effektiva processer, procedurer och checklistor.
Kontakta oss nu för att arrangera en demonstration.