ISO 27001:2022 Bilaga A Kontroll 7.10

Vägledning om ISO 27001:2022 bilaga A 7.10 Överensstämmelse

Flyttbart lagringsmedia

Avtagbara medier är oumbärliga för många affärsverksamheter och används i stor utsträckning av personal. De utgör dock den största risken för känsliga uppgifter.

ISO 27001:2022 bilaga A 7.10 anger tio villkor som organisationer måste följa för hanteringen av flyttbara lagringsmedier under dess livscykel:

1. Organisationer bör skapa en policy inriktad på anskaffning, auktorisering, användning och kassering av flyttbara lagringsmedier, och informera all personal och tillämpliga parter om dess existens.
2. Organisationer bör, där det är praktiskt och nödvändigt, implementera tillståndsförfaranden för att ta bort flyttbara lagringsmedier från företagets lokaler. Dessutom bör en logg över borttagningar föras för revisionsspårning.
3. Förvara alla flyttbara lagringsmedia på en säker plats som ett kassaskåp, med tanke på informationsklassificering nivå som tilldelas informationen och eventuella miljö- och fysiska hot mot media.
4. Om det är ytterst viktigt att upprätthålla konfidentialitet och tillförlitlighet för informationen på flyttbara medier, bör kryptografiska metoder användas för att skydda media från obehörig åtkomst.
5. För att förhindra försämring av flyttbara lagringsmedier och dataförlust bör informationen flyttas till en ny lagringsenhet innan risken uppstår.
6. Det är avgörande att kopiera och lagra känslig data på flera lagringsmedier för att minska risken för att kritisk information går förlorad.
7. För att minska risken för fullständig dataförlust kan registrering av flyttbara lagringsmedieenheter vara en gångbar lösning.
8. USB-portar och SD-kortplatser bör inte användas, såvida det inte är nödvändigt.
9. Det är nödvändigt att övervaka överföringen av information till alla flyttbara lagringsmedieenheter.
10. Vid överföring av information som finns i fysiska dokument via post eller bud finns det en stor risk för obehörig åtkomst. För att motverka detta bör lämpliga åtgärder vidtas.

Vägledning om säker återanvändning och kassering av lagringsmedia

ISO 27001: 2022 Bilaga A 7.10 ger anvisningar om säker återanvändning och kassering av lagringsmedia för att hjälpa organisationer att minska och bli av med risken för att informationens konfidentialitet kränks.

Bilaga A 7.10 anger att organisationer bör skapa och genomföra planer för återvinning och kassering av lagringsmedier, med hänsyn till känsligheten hos de uppgifter som lagras i lagringsmediet.

Organisationer bör överväga följande när de upprättar dessa åtgärder:

• Om en organisations interna part ska återanvända ett lagringsmedium, bör känslig information som finns på det oåterkalleligt raderas eller formateras om innan auktorisation.
• Säker förstörelse av lagringsmedia som innehåller känslig information är nödvändig när den inte längre behövs. Pappersdokument kan strimlas och digital utrustning kan förstöras fysiskt.
• Ett system bör utvecklas för att identifiera lagringsmedia som behöver kasseras.
• Organisationer bör utföra due diligence när de väljer en extern part för att samla in och kassera lagringsmedia, och se till att den valda leverantören är kompetent och har lämpliga kontroller på plats.
• Dokumentera alla kasserade föremål för ett revisionsspår.
• Vid kassering av flera lagringsmedier tillsammans bör hänsyn tas till den kumulativa effekten: Kombination av olika data från varje lagringsmedium kan resultera i omvandling av icke-känslig information till känsligt material.

Slutligen ger ISO 27001:2022 bilaga A 7.10 organisationer i uppdrag att utvärdera risken för konfidentiell data som lagras på skadad utrustning, för att avgöra om utrustningen ska förstöras eller repareras.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.10 ersätter ISO 27001:2013 Bilaga A 08.3.1, 08.3.2, 08.3.3 och 11.2.5.

Det finns fyra anmärkningsvärda skillnader.

Förändringar i struktur

Till skillnad från 2013-versionen, som hade tre separata kontroller för mediehantering, medieavfall och fysisk medieöverföring, kombinerar 2022-versionen dem under bilaga A 7.10.

Krav för återanvändning av lagringsmedia har lagts till i 2022-versionen

I motsats till 2013-versionen, som endast omfattade säker avyttring av media, innehåller 2022-versionen även krav på säker mediaåteranvändning.

Fysiska överföringskrav är mer omfattande i 2013 års version

2013 års version hade mer omfattande krav för fysisk överföring av lagringsmedia, inklusive ID-verifiering för kurirer och förpackningsstandarder. Däremot föreslår bilaga A 7 7.10 i 2022-versionen endast organisationer att agera med försiktighet när de väljer kurirer.

Ämnesspecifik policy för flyttbara lagringsmedier krävs i 2022 års version

Medan 2022- och 2013-versionerna liknar varandra när det gäller krav på flyttbara lagringsmedier, kräver 2022-versionen en ämnesspecifik policy för flyttbara lagringsmedier. 2013 års version täckte inte detta krav.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Hur ISMS.online Hjälp

ISMS.online tar ett riskbaserat tillvägagångssätt, med hjälp av branschledande bästa praxis och mallar, för att hjälpa dig att upptäcka de risker som din organisation utsätts för och de kontroller som behövs för att hantera dem. Detta hjälper till att minska både risker och efterlevnadskostnader.

Kontakta oss nu för att arrangera en demonstration.