ISO 27001:2022 Annex A 7.10 – Lagringsmedia

• Se ISO 27002:2022 Kontroll 7.10 för mer information.
• Se ISO 27001:2013 bilaga A 8.3.1 för mer information.
• Se ISO 27001:2013 bilaga A 8.3.2 för mer information.
• Se ISO 27001:2013 bilaga A 8.3.3 för mer information.
• Se ISO 27001:2013 bilaga A 11.2.5 för mer information.

ISO 27001 Annex A 7.10: Skydda känsliga data på lagringsmedia

Användningen av lagringsmedieenheter, såsom SSD, USB, externa enheter och mobiler, är avgörande för många viktiga informationshanteringsoperationer, inklusive säkerhetskopiering, lagring och överföring av data.

Lagringen av känsliga och viktiga data på dessa enheter innebär risker för informationsresursernas korrekthet, sekretess och tillgänglighet. Dessa risker kan involvera försvinnande eller stöld av lagringsmedia med konfidentiell information, överföring av skadlig programvara över alla företags datanätverk via lagringsmediet, och nedbrytning eller minskning av kvaliteten på lagringsmedia som används för säkerhetskopiering.

ISO 27001:2022 bilaga A 7.10 beskriver de steg som organisationer måste vidta för att säkerställa säkerheten för lagringsmedier genom hela dess livscykel, från förvärv till avyttring. Policyer och kontroller måste införas för att garantera dess säkerhet.

Syftet med ISO 27001:2022 bilaga A 7.10

ISO 27001:2022 Annex A 7.10 underlättar för organisationer att minska och utrota risker förknippade med obehörig åtkomst, användning, radering, ändring och överföring av konfidentiell data som finns på lagringsmedieenheter. Den fastställer rutiner för att hantera lagringsmedia under hela dess livscykel.

Vad omfattar bilaga A 7.10?

ISO 27001:2022 Annex A 7.10 avser både digitala och fysiska lagringsmedier. Till exempel, lagring av data på fysiska dokument omfattas också av denna kontroll.

Tillsammans med flyttbara lagringsmedia omfattas även hårddiskar som en form av fast lagring av ISO 27001:2022 Annex A 7.10.

Äganderätt till bilaga A 7.10

ISO 27001:2022 Annex A 7.10 ger organisationer mandat att skapa och utföra lämpliga procedurer, tekniska kontroller och organisationsövergripande policyer avseende användning av lagringsmedia enligt organisationens eget klassificeringssystem och eventuell datahantering krav såsom juridiska och avtalsenliga förhållanden.

Informationssäkerhetschefer bör ta hand om hela efterlevnadscykeln.

Vägledning om ISO 27001:2022 bilaga A 7.10 Överensstämmelse

Flyttbart lagringsmedia

Avtagbara medier är oumbärliga för många affärsverksamheter och används i stor utsträckning av personal. De utgör dock den största risken för känsliga uppgifter.

ISO 27001:2022 bilaga A 7.10 anger tio villkor som organisationer måste följa för hanteringen av flyttbara lagringsmedier under dess livscykel:

1. Organisationer bör skapa en policy inriktad på anskaffning, auktorisering, användning och kassering av flyttbara lagringsmedier, och informera all personal och tillämpliga parter om dess existens.
2. Organisationer bör, där det är praktiskt och nödvändigt, implementera tillståndsförfaranden för att ta bort flyttbara lagringsmedier från företagets lokaler. Dessutom bör en logg över borttagningar föras för revisionsspårning.
3. Förvara alla flyttbara lagringsmedia på en säker plats som ett kassaskåp, med tanke på informationsklassificering nivå som tilldelas informationen och eventuella miljö- och fysiska hot mot media.
4. Om det är ytterst viktigt att upprätthålla konfidentialitet och tillförlitlighet för informationen på flyttbara medier, bör kryptografiska metoder användas för att skydda media från obehörig åtkomst.
5. För att förhindra försämring av flyttbara lagringsmedier och dataförlust bör informationen flyttas till en ny lagringsenhet innan risken uppstår.
6. Det är avgörande att kopiera och lagra känslig data på flera lagringsmedier för att minska risken för att kritisk information går förlorad.
7. För att minska risken för fullständig dataförlust kan registrering av flyttbara lagringsmedieenheter vara en gångbar lösning.
8. USB-portar och SD-kortplatser bör inte användas, såvida det inte är nödvändigt.
9. Det är nödvändigt att övervaka överföringen av information till alla flyttbara lagringsmedieenheter.
10. Vid överföring av information som finns i fysiska dokument via post eller bud finns det en stor risk för obehörig åtkomst. För att motverka detta bör lämpliga åtgärder vidtas.

Vägledning om säker återanvändning och kassering av lagringsmedia

ISO 27001: 2022 Bilaga A 7.10 ger anvisningar om säker återanvändning och kassering av lagringsmedia för att hjälpa organisationer att minska och bli av med risken för att informationens konfidentialitet kränks.

Bilaga A 7.10 anger att organisationer bör skapa och genomföra planer för återvinning och kassering av lagringsmedier, med hänsyn till känsligheten hos de uppgifter som lagras i lagringsmediet.

Organisationer bör överväga följande när de upprättar dessa åtgärder:

• Om en organisations interna part ska återanvända ett lagringsmedium, bör känslig information som finns på det oåterkalleligt raderas eller formateras om innan auktorisation.
• Säker förstörelse av lagringsmedia som innehåller känslig information är nödvändig när den inte längre behövs. Pappersdokument kan strimlas och digital utrustning kan förstöras fysiskt.
• Ett system bör utvecklas för att identifiera lagringsmedia som behöver kasseras.
• Organisationer bör utföra due diligence när de väljer en extern part för att samla in och kassera lagringsmedia, och se till att den valda leverantören är kompetent och har lämpliga kontroller på plats.
• Dokumentera alla kasserade föremål för ett revisionsspår.
• Vid kassering av flera lagringsmedier tillsammans bör hänsyn tas till den kumulativa effekten: Kombination av olika data från varje lagringsmedium kan resultera i omvandling av icke-känslig information till känsligt material.

Slutligen ger ISO 27001:2022 bilaga A 7.10 organisationer i uppdrag att utvärdera risken för konfidentiell data som lagras på skadad utrustning, för att avgöra om utrustningen ska förstöras eller repareras.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.10 ersätter ISO 27001:2013 Bilaga A 08.3.1, 08.3.2, 08.3.3 och 11.2.5.

Det finns fyra anmärkningsvärda skillnader.

Förändringar i struktur

Till skillnad från 2013-versionen, som hade tre separata kontroller för mediehantering, medieavfall och fysisk medieöverföring, kombinerar 2022-versionen dem under bilaga A 7.10.

Krav för återanvändning av lagringsmedia har lagts till i 2022-versionen

I motsats till 2013-versionen, som endast omfattade säker avyttring av media, innehåller 2022-versionen även krav på säker mediaåteranvändning.

Fysiska överföringskrav är mer omfattande i 2013 års version

2013 års version hade mer omfattande krav för fysisk överföring av lagringsmedia, inklusive ID-verifiering för kurirer och förpackningsstandarder. Däremot föreslår bilaga A 7 7.10 i 2022-versionen endast organisationer att agera med försiktighet när de väljer kurirer.

Ämnesspecifik policy för flyttbara lagringsmedier krävs i 2022 års version

Medan 2022- och 2013-versionerna liknar varandra när det gäller krav på flyttbara lagringsmedier, kräver 2022-versionen en ämnesspecifik policy för flyttbara lagringsmedier. 2013 års version täckte inte detta krav.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Hur ISMS.online Hjälp

ISMS.online tar ett riskbaserat tillvägagångssätt, med hjälp av branschledande bästa praxis och mallar, för att hjälpa dig att upptäcka de risker som din organisation utsätts för och de kontroller som behövs för att hantera dem. Detta hjälper till att minska både risker och efterlevnadskostnader.

Kontakta oss nu för att arrangera en demonstration.