Stärka den fysiska säkerheten med ISO 27001:2022 efterlevnad
I händelse av att obehörig åtkomst ges till begränsade fysiska områden som serverrum och IT-utrustningsrum, informationstillgångar kan äventyras när det gäller konfidentialitet, tillgänglighet, integritet och säkerhet.
I ISO 27001:2022 bilaga A 7.4 hindras inkräktare från att ta sig in i känsliga fysiska lokaler utan tillstånd.
Syftet med ISO 27001:2022 bilaga A 7.4?
Bilaga A Kontroll 7.4 kräver att organisationer implementerar lämpliga övervakningsverktyg. Detta för att upptäcka och förhindra externa och interna inkräktare från att ta sig in på begränsade fysiska områden utan tillstånd.
Övervakningsverktyg som kan övervaka och registrera åtkomstbegränsade områden skyddar mot risker till följd av obehörig åtkomst till begränsade områden, inklusive men inte begränsat till:
- Datastöld.
- Förlusten av informationstillgångar.
- Ekonomisk skada.
- Borttagning av flyttbara mediatillgångar för skadliga syften.
- Skadlig programvara infektion av IT-tillgångar.
- Attacker utförs av en inkräktare som använder ransomware.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vem har äganderätten till bilaga A 7.4?
Enligt ISO 27001 Bilaga A Kontroll 7.4, efterlevnad av denna kontroll kräver identifiering av alla restriktiva områden. Det kräver också identifiering av övervakningsverktyg som är lämpliga för det specifika fysiska området som ska övervakas.
Därför måste säkerhetschefen vara ansvarig för implementering, underhåll, förvaltning och översyn av övervakningssystem på ett effektivt sätt.
Vägledning om hur man följer ISO 27001:2022 bilaga A 7.4
Enligt ISO 27001 Annex A Kontroll 7.4 måste organisationer implementera följande tre steg för att upptäcka och förhindra obehörig åtkomst till anläggningar som innehåller kritiska informationstillgångar och förhindra att de äventyras.
Sätt in ett videoövervakningssystem för att hålla ett öga på situationen
För att kontinuerligt övervaka åtkomst till begränsade områden som är värd för kritiska informationstillgångar, bör en organisation ha ett videoövervakningssystem, såsom CCTV-kameror. Detta är ett exempel på ett sådant system. Dessutom är det också viktigt att detta övervakningssystem håller ett register över alla in- och utgångar i lokalerna.
Installera detektorer för att utlösa ett larm
Möjligheten att utlösa ett larm när en inkräktare kommer in i den fysiska lokalen gör att säkerhetsteamet kan reagera snabbt på eventuella säkerhetsöverträdelser. Det kan också vara ett effektivt sätt att avskräcka inkräktare från att ta sig in i ditt hem.
Det rekommenderas att organisationer köper rörelse-, ljud- och kontaktdetektorer som varnar dem när onormal aktivitet upptäcks inom organisationens fysiska lokaler.
Detta inkluderar, men är inte begränsat till:
- En kontaktdetektor bör installeras i miljön. När ett okänt föremål eller individ kommer i kontakt med ett specifikt föremål eller bryter kontakten med ett visst föremål, bör ett larm aktiveras. En kontaktdetektor kan till exempel konfigureras för att utlösa ett larm när kontaktdetektorn kommer i kontakt med valfritt fönster eller dörr.
- Rörelsedetektorerna kan konfigureras så att de varnar dig om de upptäcker rörelse inom sitt synfält av ett föremål som rör sig i deras synområde.
- En ljuddetektor, till exempel en krossglasdetektor, kan aktiveras när den upptäcker ett ljud, vilket kan hjälpa till att förhindra bilolyckor.
Konfiguration av larm för alla interna lokaler
Det är absolut nödvändigt att säkerställa att larmsystemet har konfigurerats på lämpligt sätt. Detta kommer att säkerställa att alla känsliga områden, inklusive alla ytterdörrar, fönster, obemannade områden och datorrum, är inom larmsystemets räckvidd. Detta kommer att förhindra att eventuella sårbarheter utnyttjas.
Till exempel kan inkräktare använda rökområden eller gymentréer som attackvektorer om de inte övervakas.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Tillgängliga typer av övervakningssystem
Även ISO 27001 Bilaga A Kontroll 7.4 kräver inte att organisationer väljer ett övervakningssystem framför ett annat, den listar flera övervakningsverktyg som kan användas separat eller i kombination med andra, inklusive:
- CCTV kameror.
- Säkerhetsvakter.
- Inbrottslarmsystem.
- Programvara för fysisk säkerhet.
ISO 27001:2022 bilaga A 7.4 Kompletterande vägledning
Följande överväganden bör beaktas vid implementering av fysiska säkerhetsövervakningssystem enligt bilaga A Kontroll 7.4:
- Att upprätthålla konfidentialitet om övervakningssystemens utformning och inre funktion är viktigt.
- För att eliminera risken för avaktivering av övervakningssystem på distans av illvilliga parter bör lämpliga åtgärder vidtas. Dessa åtgärder bör vidtas för att förhindra avslöjande av övervakningsverksamhet, och videoflöden till obehöriga parter.
- Det är viktigt att larmcentralen är placerad i ett larmutrustat område. Dessutom är det väsentligt att den som utlöser larmet har säker och enkel tillgång att lämna området.
- En manipuleringssäker detektor och en larmcentral bör användas.
- Individer bör övervakas och registreras med hjälp av övervakningssystem endast för legitima ändamål. Denna övervakning och inspelning bör följa alla tillämpliga lagar och förordningar, inklusive dataskyddslagar. Till exempel EU och Storbritannien GDPR kan kräva att organisationer gör en konsekvensbedömning innan de sätter in CCTV-kameror. Dessutom bör inspelningen av videoflöden följa de datalagringsperioder som fastställts av tillämpliga lokala lagar.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Vilka är ändringarna från ISO 27001:2013?
Det är relevant att notera att kontroll 7.4 är en helt ny bilaga A-kontroll som inte behandlas i ISO 27001:2013.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Fördelarna med ISMS.online
ISMS.online erbjuder ett brett utbud av kraftfulla verktyg som förenklar implementering, underhåll och förbättring av ditt ledningssystem för informationssäkerhet (ISMS) för att uppfylla kraven för efterlevnad av ISO 27001.
Förutom att tillhandahålla omfattande verktyg, ISMS.online låter dig skapa skräddarsydda policyer och procedurer skräddarsydda för din organisations risker och krav. Det möjliggör också samarbete mellan kollegor och externa partners såsom leverantörer eller tredjepartsrevisorer.
Hör av dig idag för att boka en demo.