- Se ISO 27002:2022 Kontroll 7.9 för mer information.
- Se ISO 27001:2013 bilaga A 11.2.6 för mer information.
ISO 27001:2022 Kontroll 7.9 – Säkerhet för tillgångar utanför kontoret
När enheter som innehåller värdefulla informationstillgångar tas bort från organisationens fysiska plats är de mer mottagliga för skada, stöld, förlust, förstörelse eller intrång.
Fysiska säkerhetskontroller inom en organisations anläggningar kommer inte att vara effektiva, vilket gör att dess tillgångar utanför platsen blir utsatta för hot som fysiska risker och illvilliga individer som försöker få obehörig åtkomst.
Partners arbetar på distans kan ta företagsdatorer med konfidentiell data bort från verksamheten, arbeta på ett kafé, hotellobby, etc, ansluta till osäkrat offentligt Wi-Fi och lämna sina enheter oövervakade. Dessa åtgärder utgör en risk för säkerheten, konfidentialitet, integritet och tillgänglighet för informationen som finns på enheterna.
Organisationer bör se till att enheter som tas utanför lokalerna förblir säkra.
ISO 27001:2022 bilaga A 7.9 beskriver hur organisationer kan säkerställa säkerheten för enheter som är placerade borta från huvudplatsen och som är värd för informationstillgångar. De måste upprätta lämpliga kontroller och rutiner för att uppnå detta.
Syftet med ISO 27001:2022 bilaga A 7.9
ISO 27001: 2022 Bilaga A 7.9 tillåter organisationer att skydda säkerheten för informationstillgångar som finns i hårdvara genom att motverka två distinkta risker:
- Minimerar risken för att datatillgångar i enheter utanför platsen går förlorade, skadas, förstörs eller exponeras.
- Att undvika avbrott i företagets databehandling operationer från intrång i externa enheter.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till bilaga A 7.9
ISO 27001:2022 Annex A 7.9 kräver att organisationer upprättar och implementerar protokoll och regler som täcker alla enheter som ägs eller används för företagets räkning. Dessutom är det viktigt för ett effektivt skydd av enheter utanför anläggningen att en tillgångsinventering skapas och att den högsta ledningen godkänner användningen av personliga enheter.
Ocuco-landskapet Informationssäkerhetschef bör rådgöra med ledning och tillgångsägare och ansvara för att utveckla, genomföra och upprätthålla rutiner och åtgärder för att säkerställa säkerheten för enheter som tas bort från företagets lokaler.
Allmän vägledning om ISO 27001:2022 bilaga A 7.9 Överensstämmelse
Bilaga A 7.9 beskriver sex nödvändigheter som organisationer måste iaktta när de konstruerar och tillämpar åtgärder och protokoll för att skydda tillgångar som tas bort från lokalerna:
- Datorer, USB-enheter, hårddiskar och bildskärmar som tagits utanför anläggningen av företaget bör aldrig lämnas utan tillsyn i allmänna utrymmen som kaféer, och inte heller på någon osäker plats.
- Följ alltid enhetstillverkarens instruktioner och specifikationer angående fysiskt skydd av enheten. Följ till exempel deras instruktioner om att skydda enheten från vatten, värme, elektromagnetiska fält och damm.
- Anställda och andra organisationer som tar datorutrustning utanför företagets lokaler bör föra en logg som beskriver förvarskedjan. Denna logg bör åtminstone innehålla namnen på de personer som är ansvariga för enheten och deras organisation.
- Om en organisation finner att auktorisation är nödvändig och praktisk för att avlägsna utrustning från företagets lokaler, bör de upprätta ett förfarande. Denna procedur bör täcka tagande av viss utrustning utanför anläggningen och föra ett register över alla borttagningsåtgärder för att ge organisationen en revisionsspår.
- Det är viktigt att vidta nödvändiga åtgärder för att avvärja faran för otillåten visning av data på kollektivtrafikens skärmar.
- Organisationen bör installera platsspårningsverktyg och möjliggöra fjärråtkomst, så att enhetens plats kan övervakas och vid behov all data som lagras på enheten kan fjärrrensas.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om bilaga A 7.9
ISO 27001:2022 bilaga A 7.9 ställer krav på skydd av utrustning som installeras utanför företagets lokaler på permanent basis.
Denna utrustning kan bestå av antenner och bankomater.
Med tanke på den ökade risken för skada och förlust av denna utrustning, kräver bilaga A 7.9 att organisationer överväger följande när de skyddar den utanför anläggningen:
- ISO 27001:2022 bilaga A 7.4, Fysisk säkerhetsövervakning, bör beaktas.
- Se till att ISO 27001:2022 bilaga A 7.5 beaktas, vilket är skyddet mot miljö- och fysiska hot.
- Åtkomstkontroller bör skapas och lämpliga åtgärder bör vidtas för att stoppa störningar.
- Skapa och tillämpa logiska åtkomstkontroller.
Bilaga A 7.9 rekommenderar organisationer att ha bilaga A 6.7 och bilaga A 8.1 i åtanke när de formulerar och inför åtgärder för att skydda anordningar och utrustning.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 7.9 ersätter ISO 27001:2013 Bilaga A 11.2.6.
Det finns tre stora skillnader som bör noteras:
ISO 27001:2022 bilaga A Kontroll 7.9 kräver en omfattande uppsättning instruktioner.
Bilaga A 7.9 introducerar två nya krav i jämförelse med dess ISO 27001:2013-version:
- Lämpliga åtgärder bör vidtas för att förhindra att obehöriga ser informationen som visas i kollektivtrafiken.
- Platsövervakning och fjärråtkomst bör aktiveras för att möjliggöra spårning av enheten och möjligheten att radera information som lagrats på enheten på distans, om det behövs.
I bilaga A 7.9 införs nya kriterier för anordningar som är permanent placerade på avstånd från lokalerna.
I jämförelse med ISO 27001:2013-versionen ger ISO 27001:2022 Annex A 7.9 tydliga råd om skyddsutrustning som är fixerad på en annan plats.
Det kan röra sig om antenner och bankomater.
Förbudet mot distansarbete införs för att minska riskerna.
ISO 27001:2013-versionen klargjorde att organisationer kunde förbjuda anställda från distansarbete om det var förenligt med de risknivåer som hade identifierats. Däremot nämner inte ISO 27001:2022-versionen detta.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.online är det perfekta verktyget för att hantera en ISO 27001:2022-implementering. Den är skräddarsydd för att hjälpa företag att implementera en ledningssystem för informationssäkerhet (ISMS) som uppfyller standarderna i ISO 27001:2022.
Plattformen använder sig av ett riskbaserat tillvägagångssätt, tillsammans med bästa praxis och mallar i toppklass, för att hjälpa till att känna igen riskerna som din organisation står inför och nödvändiga kontroller för att hantera dem. Genom att göra det kan du effektivt minimera både din riskexponering och efterlevnadskostnader.
Kontakta oss nu för att arrangera en demonstration.