ISO 27001:2022 Bilaga A Kontroll 7.1

Fysiska säkerhetsområden

Boka en demo

företag, kommunikation, anslutning, arbetar, koncept

Vad är ISO 27001:2022 Annex A 7.1?

ISO 27001: 2022 Bilaga A 7.1 kräver att organisationer upprättar säkerhetsperimetrar och använder dem för att skydda information och tillhörande tillgångar.

Informations- och informationssäkerhetstillgångar förklaras

Information kan beskrivas som all data, kunskap eller insikt som är värd för en organisation eller ett företag. Detta inkluderar all information som erhållits om individer, kunder, partners, anställda och andra intressenter.

Informationssäkerhetstillgångar kan grovt klassificeras i:

Data

Data och information misstas ofta för varandra men det finns en tydlig skillnad. Data är rå, obearbetad och i allmänhet till ingen nytta i sin nuvarande form. Å andra sidan är information data som har ordnats i ett användbart format, till exempel en e-post eller ett telefonnummer.

Infrastruktur

Infrastruktur omfattar alla komponenter i ett nätverk – servrar, skrivare, routrar och mer – för att skapa ett sammanhållet system.

Mjukvaruinfrastruktur, som t.ex operativsystem och applikationer, måste skyddas från cyberhot, precis som hårdvaran gör. För att undvika exploatering av illvilliga hackare som söker tillgång till känslig data, måste båda uppdateras regelbundet med patchar och korrigeringar för eventuella sårbarheter som exponeras av hackare.

Fysiska säkerhetsperimetrar förklaras

Med fysisk säkerhet avses de fysiska åtgärder som värnar en organisations resurser och lokaler. Det är en grundläggande och oumbärlig del av informationssäkerheten. Det handlar om mer än att bara låsa dörren; det innebär också att vara medveten om vem som har tillgång till vad, när, var och hur.

Fysiska säkerhetsomkretsar identifierar de fysiska gränserna för en byggnad eller ett område och styr åtkomsten till den. Staket, murar, grindar och andra barriärer kan användas för att förhindra obehörigt tillträde av människor eller fordon. Dessutom kan elektronisk övervakningsutrustning som CCTV-kameror användas för att övervaka aktivitet utanför anläggningen.

Fysiska säkerhetsperimetrar erbjuder det första lagret av skydd mot utomstående som försöker komma åt ditt datorsystem via en trådbunden eller trådlös anslutning i ett företag. De kombineras ofta med ytterligare informationssäkerhetskontroller, såsom identitetshantering, åtkomstkontroll och system för intrångsdetektering.

Hoppa till ämne

Vägledning om ISO 27001:2022 bilaga A 7.1

ISO 27001:2022 bilaga A 7.1 garanterar att en organisation kan visa att den har lämpliga fysiska säkerhetsgränser på plats för att förhindra obehörig fysisk åtkomst till information och andra relaterade tillgångar.

Detta innebär att man vidtar åtgärder för att förhindra:

  • Obehörigt tillträde till byggnader, rum eller områden som innehåller informationstillgångar är förbjudet.

  • Att ta bort tillgångar utan tillstånd från lokalerna är oacceptabelt.

  • Otillåtet utnyttjande av lokaltillgångar, såsom datorer och relaterade enheter, är inte tillåtet.

  • Obehörig manipulering av elektronisk kommunikationsutrustning, såsom telefoner, faxar och datorterminaler, är inte tillåtet.

Det är möjligt att implementera fysiska säkerhetsperimetrar på två olika sätt:

Fysisk åtkomstkontroll – skyddar tillträde till anläggningar och byggnader och förflyttning inom dem. Detta inkluderar låsning av dörrar, larm, staket och bommar.

Hårdvarusäkerhet – ger kontroll över fysisk utrustning, såsom datorer, skrivare och skannrar, som behandlar data som innehåller känslig information.

Denna kontroll hjälper skydda information och andra relaterade tillgångar, såsom konfidentiella dokument, register och utrustning, genom att förhindra obehörig användning av lokaler, utrustning och förnödenheter.

Vad är inblandat och hur man uppfyller kraven

Riktlinjer som ska beaktas för fysiska säkerhetsperimetrar bör antas när det är möjligt:

  • Etablera säkerhetsbarriärer och fastställa den exakta platsen och styrkan för var och en i linje med informationssäkerhetsbestämmelser om resurserna inom gränsen.

  • Att säkerställa den fysiska säkerheten för en byggnad eller plats som innehåller informationsbehandlingssystem är avgörande, utan luckor eller svaga punkter i omkretsen där ett inbrott kan underlättas.

  • De yttre ytorna på platsen, inklusive tak, väggar, tak och golv, måste vara av robust konstruktion och alla ytterdörrar bör vara utrustade med kontrollmekanismer som bommar, larm och lås för att förhindra obehörigt tillträde.

  • Se till att fönster och dörrar är låsta när de är obemannade och överväg extern säkerhet för fönster, särskilt på bottenvåningen; ventilation måste också beaktas.

För ytterligare insikt om vad som förväntas för överensstämmelse med ISO 27001:2022-standarden, se den tillhörande dokumentationen.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.1 ersätter ISO 27001:2013 Bilaga A 11.1.1; sammanhanget och innebörden förblir i stort sett lika, om än annorlunda formulerat.

2022-versionen såg en minskning av implementeringskraven jämfört med den tidigare kontrollen.

Bilaga A 7.1 saknar de krav som beskrivs i bilaga A 11.1.1, vilka är följande:

  • Det bör finnas en bemannad reception eller annat sätt att sköta fysiskt inträde till platsen eller byggnaden.

  • Endast behörig personal bör tillåtas tillträde till platser och byggnader.

  • Konstruera fysiska barriärer, när så är tillämpligt, för att förhindra obehörig fysisk åtkomst och förhindra miljöförorening.

  • Det är nödvändigt att installera intrångsdetekteringssystem som uppfyller nationella, regionala eller internationella standarder och testa dem regelbundet för att säkra alla ytterdörrar och tillgängliga fönster.

  • Alla obebodda utrymmen bör alltid vara försedda med larmsystem.

  • Vi bör säkerställa täckning av andra områden, såsom dator- och kommunikationsrum.

  • Organisationen bör hålla sina informationsbehandlingsanläggningar fysiskt åtskilda från de som hanteras av externa källor.

Inget utelämnande minskar effektiviteten hos den nya ISO 27001:2022-standarden; istället togs de bort för att göra kontrollen lättare att använda och förstå.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Vem är ansvarig för denna process?

Smakämnen Chief Information Officer (CIO) är den ledare som ansvarar för att skydda företagets data och system. De samarbetar med andra chefer för att överväga säkerheten när de fattar affärsbeslut, såsom finanschefen och verkställande direktören. Implementering av policyer och rutiner för att skydda företagets information är en viktig del av CIO:s roll.

Ekonomichefen har en roll i att besluta om fysiska säkerhetsperimetrar. I samarbete med andra C-suite-chefer, inklusive CIO:n, bestämmer de hur mycket de ska investera i fysiska säkerhetsåtgärder som övervakningskameror, åtkomstkontroller och larm.

Vad betyder dessa förändringar för dig?

ISO 27001:2022 är ingen större översyn, så inga betydande ändringar är nödvändiga för att uppfylla kraven.

Det är värt att undersöka din nuvarande implementering för att garantera att den är i linje med de nya kraven. Särskilt om några ändringar har gjorts sedan versionen av 2013. Det är värt att omvärdera dessa ändringar för att avgöra om de förblir giltiga eller behöver ändras.

Hur ISMS.Online Hjälp

ISMS.online kan hjälpa till att bevisa ISO 27001-efterlevnad genom att tillhandahålla ett onlinesystem som möjliggör lagring av dokument på en enda tillgänglig plats. Det underlättar också utvecklingen av checklistor för varje dokument, vilket underlättar granskning och ändring av dokument.

Vill du uppleva hur det fungerar?

Kontakta oss idag för att reservera en demonstration.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer