ISO 27001:2022 Annex A 7.1 – Fysiska säkerhetsgränser

• Se ISO 27002:2022 Kontroll 7.1 för mer information.
• Se ISO 27001:2013 bilaga A 11.1.1 för mer information.

Vad är ISO 27001:2022 Annex A 7.1?

ISO 27001: 2022 Bilaga A 7.1 kräver att organisationer upprättar säkerhetsperimetrar och använder dem för att skydda information och tillhörande tillgångar.

Informations- och informationssäkerhetstillgångar förklaras

Information kan beskrivas som all data, kunskap eller insikt som är värd för en organisation eller ett företag. Detta inkluderar all information som erhållits om individer, kunder, partners, anställda och andra intressenter.

Informationssäkerhetstillgångar kan grovt klassificeras i:

Data

Data och information misstas ofta för varandra men det finns en tydlig skillnad. Data är rå, obearbetad och i allmänhet till ingen nytta i sin nuvarande form. Å andra sidan är information data som har ordnats i ett användbart format, till exempel en e-post eller ett telefonnummer.

Infrastruktur

Infrastruktur omfattar alla komponenter i ett nätverk – servrar, skrivare, routrar och mer – för att skapa ett sammanhållet system.

Mjukvaruinfrastruktur, som t.ex operativsystem och applikationer, måste skyddas från cyberhot, precis som hårdvaran gör. För att undvika exploatering av illvilliga hackare som söker tillgång till känslig data, måste båda uppdateras regelbundet med patchar och korrigeringar för eventuella sårbarheter som exponeras av hackare.

Fysiska säkerhetsperimetrar förklaras

Med fysisk säkerhet avses de fysiska åtgärder som värnar en organisations resurser och lokaler. Det är en grundläggande och oumbärlig del av informationssäkerheten. Det handlar om mer än att bara låsa dörren; det innebär också att vara medveten om vem som har tillgång till vad, när, var och hur.

Fysiska säkerhetsomkretsar identifierar de fysiska gränserna för en byggnad eller ett område och styr åtkomsten till den. Staket, murar, grindar och andra barriärer kan användas för att förhindra obehörigt tillträde av människor eller fordon. Dessutom kan elektronisk övervakningsutrustning som CCTV-kameror användas för att övervaka aktivitet utanför anläggningen.

Fysiska säkerhetsperimetrar erbjuder det första lagret av skydd mot utomstående som försöker komma åt ditt datorsystem via en trådbunden eller trådlös anslutning i ett företag. De kombineras ofta med ytterligare informationssäkerhetskontroller, såsom identitetshantering, åtkomstkontroll och system för intrångsdetektering.

Vägledning om ISO 27001:2022 bilaga A 7.1

ISO 27001:2022 bilaga A 7.1 garanterar att en organisation kan visa att den har lämpliga fysiska säkerhetsgränser på plats för att förhindra obehörig fysisk åtkomst till information och andra relaterade tillgångar.

Detta innebär att man vidtar åtgärder för att förhindra:

• Obehörigt tillträde till byggnader, rum eller områden som innehåller informationstillgångar är förbjudet.
• Att ta bort tillgångar utan tillstånd från lokalerna är oacceptabelt.
• Otillåtet utnyttjande av lokaltillgångar, såsom datorer och relaterade enheter, är inte tillåtet.
• Obehörig manipulering av elektronisk kommunikationsutrustning, såsom telefoner, faxar och datorterminaler, är inte tillåtet.

Det är möjligt att implementera fysiska säkerhetsperimetrar på två olika sätt:

Fysisk åtkomstkontroll – skyddar tillträde till anläggningar och byggnader och förflyttning inom dem. Detta inkluderar låsning av dörrar, larm, staket och bommar.

Hårdvarusäkerhet – ger kontroll över fysisk utrustning, såsom datorer, skrivare och skannrar, som behandlar data som innehåller känslig information.

Denna kontroll hjälper skydda information och andra relaterade tillgångar, såsom konfidentiella dokument, register och utrustning, genom att förhindra obehörig användning av lokaler, utrustning och förnödenheter.

Vad är inblandat och hur man uppfyller kraven

Riktlinjer som ska beaktas för fysiska säkerhetsperimetrar bör antas när det är möjligt:

• Etablera säkerhetsbarriärer och fastställa den exakta platsen och styrkan för var och en i linje med informationssäkerhetsbestämmelser om resurserna inom gränsen.
• Att säkerställa den fysiska säkerheten för en byggnad eller plats som innehåller informationsbehandlingssystem är avgörande, utan luckor eller svaga punkter i omkretsen där ett inbrott kan underlättas.
• De yttre ytorna på platsen, inklusive tak, väggar, tak och golv, måste vara av robust konstruktion och alla ytterdörrar bör vara utrustade med kontrollmekanismer som bommar, larm och lås för att förhindra obehörigt tillträde.
• Se till att fönster och dörrar är låsta när de är obemannade och överväg extern säkerhet för fönster, särskilt på bottenvåningen; ventilation måste också beaktas.

För ytterligare insikt om vad som förväntas för överensstämmelse med ISO 27001:2022-standarden, se den tillhörande dokumentationen.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.1 ersätter ISO 27001:2013 Bilaga A 11.1.1; sammanhanget och innebörden förblir i stort sett lika, om än annorlunda formulerat.

2022-versionen såg en minskning av implementeringskraven jämfört med den tidigare kontrollen.

Bilaga A 7.1 saknar de krav som beskrivs i bilaga A 11.1.1, vilka är följande:

• Det bör finnas en bemannad reception eller annat sätt att sköta fysiskt inträde till platsen eller byggnaden.
• Endast behörig personal bör tillåtas tillträde till platser och byggnader.
• Konstruera fysiska barriärer, när så är tillämpligt, för att förhindra obehörig fysisk åtkomst och förhindra miljöförorening.
• Det är nödvändigt att installera intrångsdetekteringssystem som uppfyller nationella, regionala eller internationella standarder och testa dem regelbundet för att säkra alla ytterdörrar och tillgängliga fönster.
• Alla obebodda utrymmen bör alltid vara försedda med larmsystem.
• Vi bör säkerställa täckning av andra områden, såsom dator- och kommunikationsrum.
• Organisationen bör hålla sina informationsbehandlingsanläggningar fysiskt åtskilda från de som hanteras av externa källor.

Inget utelämnande minskar effektiviteten hos den nya ISO 27001:2022-standarden; istället togs de bort för att göra kontrollen lättare att använda och förstå.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Vem är ansvarig för denna process?

Smakämnen Chief Information Officer (CIO) är den ledare som ansvarar för att skydda företagets data och system. De samarbetar med andra chefer för att överväga säkerheten när de fattar affärsbeslut, såsom finanschefen och verkställande direktören. Implementering av policyer och rutiner för att skydda företagets information är en viktig del av CIO:s roll.

Ekonomichefen har en roll i att besluta om fysiska säkerhetsperimetrar. I samarbete med andra C-suite-chefer, inklusive CIO:n, bestämmer de hur mycket de ska investera i fysiska säkerhetsåtgärder som övervakningskameror, åtkomstkontroller och larm.

Vad betyder dessa förändringar för dig?

ISO 27001:2022 är ingen större översyn, så inga betydande ändringar är nödvändiga för att uppfylla kraven.

Det är värt att undersöka din nuvarande implementering för att garantera att den är i linje med de nya kraven. Särskilt om några ändringar har gjorts sedan versionen av 2013. Det är värt att omvärdera dessa ändringar för att avgöra om de förblir giltiga eller behöver ändras.

Hur ISMS.Online Hjälp

ISMS.online kan hjälpa till att bevisa ISO 27001-efterlevnad genom att tillhandahålla ett onlinesystem som möjliggör lagring av dokument på en enda tillgänglig plats. Det underlättar också utvecklingen av checklistor för varje dokument, vilket underlättar granskning och ändring av dokument.

Vill du uppleva hur det fungerar?

Kontakta oss idag för att reservera en demonstration.