- Se ISO 27002:2022 Kontroll 7.5 för mer information.
- Se ISO 27001:2013 bilaga A 11.1.4 för mer information.
ISO 27001 Annex A 7.5: Stärka säkerheten mot fysiska och miljömässiga hot
Organisationer måste ta hänsyn till de risker som fysiska hot utgör mot deras informationstillgångar.
Sådana hot kan inkludera miljöskador, stöld, förstörelse och äventyrande av data. Dessa problem kan alla leda till förlust av information och risken för att känslig information exponeras.
Naturliga händelser som jordbävningar, översvämningar och skogsbränder, såväl som av människan skapade katastrofer som civila oroligheter och kriminella handlingar, utgör hot.
ISO 27001: 2022 Bilaga A 7.5 kräver att organisationer bedömer, erkänner och minskar riskerna för vital fysisk infrastruktur från fysiska och miljömässiga faror.
Syftet med ISO 27001:2022 bilaga A 7.5
ISO 27001:2022 Annex A 7.5 gör det möjligt för organisationer att bedöma de potentiella risker som miljö- och fysiska hot utgör, och att minska eller eliminera dessa risker genom att implementera lämpliga åtgärder.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till bilaga A 7.5
ISO 27001: 2022 Bilaga A 7.5 kräver att organisationer genomför en omfattande riskbedömning innan de utför någon fysisk verksamhet i lokalerna och att vidta lämpliga åtgärder i proportion till den identifierade risken.
Säkerhetschefer ansvarar för att skapa, hantera, implementera och utvärdera hela processen.
Vägledning om ISO 27001:2022 bilaga A 7.5 Överensstämmelse
ISO 27001:2022 Annex A 7.5 beskriver en tredelad strategi för att identifiera och ta bort potentiella faror från fysiska och miljömässiga källor.
Steg 1 – Gör en riskbedömning
Organisationer bör utföra en riskbedömning att identifiera eventuella fysiska och miljömässiga faror som kan uppstå i deras lokaler och sedan bedöma de möjliga effekterna av dessa identifierade fysiska och miljömässiga risker.
Med tanke på mångfalden av miljöförhållanden och fysiska risker som varje lokal och infrastruktur kan möta, kommer typen av hot och risknivån som identifieras att variera beroende på platsen.
En fastighet kan vara särskilt sårbar för skogsbränder medan en annan kan vara belägen i ett område som är utsatt för jordbävningar.
Det är väsentligt att en riskbedömning görs innan aktiviteter påbörjas på plats, enligt bilaga A 7.5.
Steg 2 – Upprätta och använda kontroller
Med tanke på typen av hot och den tillhörande risken som identifierades initialt, bör organisationer implementera korrekta kontroller med de möjliga konsekvenserna av miljömässiga och fysiska hot i åtanke.
ISO 27001:2022 Annex A 7.5 ger exempel på kontroller som kan implementeras för att bekämpa olika hot:
- Organisationer bör installera system som kan varna dem om bränder och aktivera brandsläckningssystem för att skydda digitala medier och informationssystem från förstörelse.
- System bör implementeras och installeras för att identifiera översvämningar på platser där data lagras. Dessutom bör vattenpumpar vara förberedda för att kunna användas i händelse av översvämning.
- Servrar och datahanteringssystem måste skyddas mot elektriska överspänningar. Regelbundet underhåll och skydd är avgörande för optimal prestanda.
- Organisationer borde regelbundet revision och inspektera människor, föremål och fordon som kommer in på kritiska infrastrukturplatser.
Steg 3 – Övervakning
Håll koll på framstegen och gör justeringar vid behov. Utvärdera regelbundet resultat och gör ändringar för att säkerställa att målen uppnås. Se till att dokumentera eventuella ändringar för framtida referens.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om bilaga A 7.5
ISO 27001:2022 Annex A 7.5 beskriver fyra överväganden som organisationer bör ha i åtanke.
Samråd med experter
Varje miljömässigt och fysiskt hot, såsom giftigt avfall, jordbävning och brand, är distinkt i termer av dess egenskaper, faran den utgör och de åtgärder som måste vidtas.
Organisationer bör konsultera specialistråd om hur man upptäcker, minskar och/eller hanterar risker som dessa hot utgör.
Val av plats för lokaler
Med tanke på den lokala terrängen, vattennivåerna och den tektoniska aktiviteten på en potentiell plats för en byggnad kan det hjälpa att identifiera och eliminera potentiella risker tidigt.
Organisationer bör överväga riskerna för katastrofer orsakade av människor i det valda stadsområdet, till exempel politisk oro och kriminellt beteende.
Extra lager av säkerhet
Användningen av säkra lagringsmetoder, såsom kassaskåp, ger ett extra lager av skydd mot katastrofer som brand och översvämningar, utöver de befintliga säkerhetsåtgärderna.
Brottsförebyggande genom miljödesign
ISO 27001:2022 Annex A 7.5 föreslår att organisationer överväger detta koncept när de inför kontroller för att stärka lokalsäkerheten. Detta tillvägagångssätt kan användas för att bekämpa urbana hot såsom kriminell verksamhet, civila oroligheter och terrorism.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 7.5 ersätter ISO 27001:2013 Bilaga A 11.1.4 i den reviderade standarden.
2013-versionen fokuserade på hur organisationer bör vidta förebyggande åtgärder mot fysiska och miljömässiga hot, medan 2022-versionen är mer omfattande och beskriver de specifika steg som organisationer bör vidta för att följa.
Sammanfattningsvis sticker två huvudsakliga distinktioner ut.
2022-versionen ger råd om mötesbestämmelser
2013 års upplaga gav ingen vägledning om hur organisationer kan känna igen och minska risker orsakade av miljömässiga och fysiska faror.
2022-versionen beskriver en process i tre steg som organisationer måste implementera, som börjar med en riskbedömning.
Revisionen 2022 uppmuntrar organisationer att införa ett extra lager av åtgärder
Den kompletterande vägledningen för 2022 inkluderar användning av kassaskåp och brottsförebyggande genom miljödesign som sätt att öka säkerheten mot hot.
Under 2013 togs dock inga extra steg.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online Hjälp
ISMS.online-plattformen erbjuder en mängd potenta verktyg för att dokumentera, implementera, bevara och förbättra din ledningssystem för informationssäkerhet (ISMS) och att bli kompatibel med ISO 27001:2022 lättare.
Denna omfattande samling verktyg tillhandahåller en enda plats där du kan anpassa en uppsättning policyer och procedurer för att matcha din organisations särskilda risker och behov.
Kontakta oss idag för att arrangera en demonstration.