ISO 27001:2022 Annex A 6.7 – Fjärrarbete

• Se ISO 27002:2022 Kontroll 6.7 för mer information.
• Se ISO 27001:2013 bilaga A 6.2.2 för mer information.

Vad är ISO 27001:2022 Annex A 6.7?

ISO 27001:2022 Annex A 6.7, Remote Working ger vägledning om hur organisationer bör ha en policy på plats för att säkerställa säker åtkomst till informationssystem och nätverk när de arbetar på distans. Den rekommenderar vidare genomförandet av en ledningssystem för informationssäkerhet som inkluderar procedurer för att skydda fjärråtkomst.

Informationssäkerhetskonsekvenser av fjärrarbete

Distansarbete har blivit en mer utbredd trend, eftersom tekniken har utvecklats för att göra det möjligt för anställda att arbeta på distans utan att påverka produktiviteten och effektiviteten. Icke desto mindre kommer detta med risk för datasäkerhetsproblem.

Som företagare är det nödvändigt att skydda immateriella rättigheter från cyberbrottslingar och säkerställa datasäkerheten mot hackare. Genom att vidta åtgärder kan man skydda sig mot cyberbrottslighet och garantera informationssäkerheten.

Fjärrarbete kan innebära en rad säkerhetsrisker som måste åtgärdas, till exempel:

Åtkomstkontroll

Fjärrarbete kan vara fördelaktigt och ge större tillgång till konfidentiella data och system. Ändå kommer det med flera säkerhetsöverväganden.

Fjärrarbete, om det inte övervakas på rätt sätt, kan vara sårbart för säkerhetsproblem som hackning, skadlig programvara, obehörig åtkomst och mer. Detta är särskilt fallet om anställda inte är närvarande i en säker miljö.

Förlust av fysisk säkerhet

Distansarbete kan också ha en effekt på ett företags fysisk säkerhet. Eftersom personal inte längre är närvarande på kontoret eller en byggnad kan de kanske inte upptäcka några misstänkta aktiviteter.

Sekretess

Distansarbete kan utgöra en risk för sekretessen. Till exempel kan anställda få tillgång till konfidentiell information utan tillstånd från företaget.

Anställda kan enkelt få tillgång till konfidentiell företagsdata från den offentliga webben. Dessutom finns det till och med webbplatser där personal kan ladda upp konfidentiell information för allmänheten.

Integritetspolicy

Distansarbete kan ha en effekt på en organisations integritet. Till exempel, om personal arbetar hemifrån, kan de vara mer benägna att inte lägga undan sina personliga tillhörigheter.

Den här egenskapen kan innehålla konfidentiell information som kan äventyra ett företags integritet.

Dataskydd

Fjärrarbete kan utgöra en fara för ett företags data. Anställda kan till exempel få tillgång till företagsinformation på distans, och denna data kan lagras på flera platser.

Om anställda lämnar arbetsplatsen och tar med sig sin enhet, hämtning av data lagrad på datorer, servrar och Mobil enheter kan visa sig vara mer utmanande.

Arbetaren kan göra fel eller agera i ond tro med enheten och riskera datasäkerheten.

Vad är syftet med ISO 27001:2022 bilaga A 6.7?

Syftet med ISO 27001:2022 bilaga A 6.7 är att garantera att personal på distans har de nödvändiga åtkomstkontrollerna på plats för att skydda konfidentialitet, integritet och tillgänglighet av konfidentiell eller proprietär information, procedurer och system från obehörig åtkomst eller avslöjande av obehöriga personer.

Organisationer måste säkerställa informationssäkerheten när personal arbetar på distans. Därför bör de utfärda en skräddarsydd policy för distansarbete som anger tillämpliga villkor och gränser för datasäkerhet. Denna policy bör spridas till all personal, inklusive instruktioner om hur man använder fjärråtkomsttekniker säkert och säkert.

Denna policy kommer sannolikt att ta itu med:

• De villkor under vilka distansarbete är tillåtet.
• Processer för att säkerställa att distansarbetare har tillgång till konfidentiell information.
• Att säkerställa att information skyddas när den överförs mellan olika fysiska platser innebär att man följer vissa rutiner.

Det är viktigt att fastställa en tydlig system för att rapportera incidenter, inklusive rätt kontaktinformation. Detta kan hjälpa till att förhindra säkerhetsintrång eller andra incidenter.

Policyn bör också omfatta kryptering, brandväggar, uppdateringar av antivirusprogram och anställdas instruktioner om hur man säkert använder fjärranslutningar.

Vad är inblandat och hur man uppfyller kraven

För att följa bilaga A 6.7 bör organisationer som erbjuder distansarbete utfärda en policy för distansarbete som specificerar relaterade regler och begränsningar.

Policyn bör utvärderas regelbundet, särskilt när teknik eller lagstiftning förändras.

All personal, entreprenörer och enheter som är involverade i distansarbete bör informeras om policyn.

Policyn bör dokumenteras, göras tillgänglig för intressenter, såsom tillsynsmyndigheter och revisorer, och hållas uppdaterad.

Organisationer måste se till att de har nödvändiga skyddsåtgärder för att säkra känslig eller konfidentiell information som överförs eller lagras elektroniskt under fjärroperationer.

I enlighet med bilaga A 6.7 bör följande beaktas:

• Tänk på den fysiska säkerheten för fjärrarbetsplatsen, både befintlig och föreslagen, som omfattar säkerheten på orten, det omgivande området och rättssystemen i de regioner där personalen är baserad.
• Regler för säker fysisk miljö, såsom låsbara arkivskåp, säker transport mellan platser, regler för fjärråtkomst, clear desk, utskrift och kassering av data och tillhörande tillgångar, samt rapportering om säkerhetshändelser, måste genomföras.
• De förväntade fysiska miljöerna för distansarbete.
• Säker kommunikation måste säkerställas, med hänsyn till organisationens behov av fjärråtkomst, känsligheten hos överförda data och sårbarheten hos systemen och applikationerna.
• Fjärråtkomst, såsom åtkomst till virtuellt skrivbord, möjliggör bearbetning och lagring av information på personliga enheter.
• Faran för obehörig åtkomst till data eller tillgångar från individer utanför den avlägsna arbetsytan – som släktingar och vänner – är verklig.
• Risken för obehörig åtkomst till data eller tillgångar av personer i allmänna utrymmen är ett problem.
• Det är nödvändigt att använda både hemnätverk och offentliga nätverk, liksom regler eller förbud relaterade till konfigurering av trådlösa nätverkstjänster.
• Det är viktigt att använda säkerhetsåtgärder, som brandväggar och skydd mot skadlig programvara.
• Se till att system kan distribueras och initieras på distans med säkra protokoll.
• Säkra autentiseringsmekanismer måste vara aktiverade för att ge åtkomstprivilegier, med hänsyn till känsligheten hos enfaktorsautentiseringsmekanismer när fjärråtkomst till organisationens nätverk är auktoriserad.

Riktlinjer och åtgärder som ska beaktas bör omfatta:

• Organisationen måste tillhandahålla lämplig utrustning och förvaringsmöbler för distansarbete, och förbjuda användning av privatägd utrustning som inte står under dess kontroll.
• Det här jobbet innebär följande: definiera det tillåtna arbetet, klassificera den information som kan lagras och ge fjärrarbetare åtkomst till interna system och tjänster.
• Utbildning bör ges för dem som arbetar på distans och de som erbjuder stöd. Detta bör täcka hur man säkert gör affärer utanför kontoret.
• Det är viktigt att säkerställa att lämplig kommunikationsutrustning tillhandahålls, såsom att kräva enhetsskärmlås och inaktivitetstimer för fjärråtkomst.
• Det är möjligt att aktivera enhetens platsspårning.
• Installation av fjärrtorkningsfunktioner är ett måste.
• Fysisk säkerhet.
• Riktlinjer och regler om familjens och besökarens tillgång till utrustning och data ska följas.
• Verksamheten tillhandahåller hård- och mjukvarusupport och underhåll.
• Tillhandahållande av försäkring.
• Protokollet för säkerhetskopiering av data och kontinuitet i verksamheten.
• Revision och säkerhetsövervakning.
• Vid upphörande av distansarbete måste auktoritet och åtkomsträttigheter återkallas och all utrustning återlämnas.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 Annex A 6.7 är en anpassning av Annex A 6.2.2 från ISO 27001:2013 och inte ett nytt element.

ISO 27001:2022 bilaga A 6.7 och 6.2.2 delar många likheter, även om nomenklaturen och formuleringen skiljer sig åt. I ISO 27001:2013 kallas 6.2.2 för distansarbete, medan 6.7 kallas för distansarbete. Denna förändring återspeglas i den nya versionen av standarden, som ersätter distansarbete med distansarbete.

I bilaga A 6.7 till ISO 27001:2022 beskriver standarden vad som kvalificeras som distansarbete, inklusive distansarbete – det ursprungliga kontrollnamnet i ISO 27001:2013-versionen.

Version 2022 av implementeringsriktlinjerna är i stort sett lika, även om språket och termerna skiljer sig åt. För att garantera att användarna av standarden förstår används ett användarvänligt språk.

Vissa tillägg gjordes i bilaga A 6.7, och några strykningar gjordes i 6.2.2.

Tillagd till ISO 27001:2022 bilaga A 6.7 Fjärrarbete

• Säkerställ fysisk säkerhet med låsbara arkivskåp, tillhandahåll säkra transport- och åtkomstinstruktioner, föreskriv tydliga skrivbordspolicyer, skissera utskrifts-/avfallsprotokoll för information/tillgångar och implementera ett incidentresponssystem.
• Det förväntas att människor kommer att arbeta på distans. Fysiska omständigheter förväntas.
• Risken för obehörig åtkomst till information eller resurser från främlingar i allmänna utrymmen.
• Säkra metoder för fjärrinstallation och installation av system.
• Säkra mekanismer finns på plats för att autentisera och tillåta åtkomstbehörigheter, med hänsyn till känsligheten hos enfaktorsautentiseringsmekanismer när fjärråtkomst till organisationens nätverk är aktiverad.

Borttagen från ISO 27001:2013 bilaga A 6.2.2 Distansarbete

• Implementeringen av hemnätverk och reglerna eller begränsningarna för att konfigurera trådlösa nätverkstjänster är nödvändiga.
• Policyer och förfaranden för att mildra tvister om rättigheter till immateriella rättigheter som utvecklats på privatägd utrustning bör införas.
• Att få tillgång till privatägda maskiner (för att säkerställa dess säkerhet eller för utredningsändamål) kan vara förbjudet enligt lag.
• Organisationer kan vara ansvariga för programvarulicenser på arbetsstationer som är privatägda av antingen deras personal eller externa användare.

ISO 27001:2022 ger uttalanden om syfte och attributtabeller för varje kontroll, vilket hjälper användarna att förstå och omsätta kontrollerna mer effektivt.

ISO 27001:2013-versionen saknar dessa två komponenter.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Vem är ansvarig för denna process?

Den primära uppgiften att utforma en informationssäkerhetspolicy för distansanställda ligger hos organisationens informationssäkerhetsansvarige. Ändå bör även andra intressenter involveras i processen.

IT- och HR-chefer är gemensamt ansvariga för att policyn implementeras och upprätthålls och att medarbetarna förstår och följer den.

Om du har ett leverantörshanteringsprogram är det troligt att den person som ansvarar för att hantera entreprenörer och leverantörer kommer att ansvara för att utforma en säkerhetspolicy för externa anställda på den avdelningen.

Vad betyder dessa förändringar för dig?

ISO 27001:2022 förblir i stort sett oförändrad; Därför behöver du helt enkelt se till att dina informationssäkerhetsprocesser följer den nya versionen.

Att ändra vissa kontroller och förtydliga vissa krav var den viktigaste förändringen. Bilaga A 6.7 hade den mest betydande effekten – om man lägger ut verksamhet eller anställer personer på distans måste man se till att de har lämpliga säkerhetsåtgärder.

Om din organisation redan har en ISO 27001-certifiering, kommer processen du använder för att hantera informationssäkerhet att uppfylla de nya reglerna.

Om du vill förnya din ISO 27001 certifiering behöver du inte vidta några åtgärder. Se bara till att dina rutiner fortfarande överensstämmer med den nya standarden.

Om du börjar från början är det nödvändigt att överväga hur du ska skydda ditt företags data och information mot cyberattacker och andra risker.

Det är viktigt att ta cyberrisker på allvar och hantera dem som en del av den övergripande affärsplanen, snarare än att bara betrakta dem som ett problem för IT- eller säkerhetsavdelningar.

Hur ISMS.online Hjälp

Smakämnen ISMS.online-plattform hjälper till med varje aspekt av ISO 27001:2022-implementeringen, från att utföra riskbedömningsaktiviteter till att utforma policyer, procedurer och direktiv för att uppfylla standardens specifikationer.

ISMS.online tillhandahåller en plattform för att dokumentera och dela resultat med kollegor. Dessutom gör det att du kan generera och lagra checklistor över alla nödvändiga uppgifter för implementering av ISO 27001, vilket gör att du enkelt kan övervaka din organisations säkerhetsåtgärder.

Vi förser organisationer med en uppsättning automatiserade verktyg för att göra det enkelt att demonstrera överensstämmelse med ISO 27001.

Kontakta oss nu för att boka en demonstration.