ISO 27001:2022 Bilaga A Kontroll 7.14

Säker kassering eller återanvändning av utrustning

Boka en demo

botten,vy,av,moderna,skyskrapor,i,affärer,distrikt,mot,blått

IT-utrustning som inte längre behövs måste antingen förstöras, återlämnas till leasegivaren, lämnas till tredje part, återvinnas eller återanvändas för annan affärsverksamhet.

Organisationer bör skydda information och licensierad programvara genom att se till att den raderas eller skrivs över innan utrustningen kasseras eller återanvänds. Detta kommer att hjälpa till att skydda sekretessen för data som lagras på enheten.

Om en organisation anlitar en extern tjänsteleverantör för bortskaffande av IT-tillgångar för att överföra föråldrade bärbara datorer, skrivare och externa enheter, kan denna leverantör få obehörig åtkomst till data som finns på utrustningen.

ISO 27001:2022 Annex A 7.14 handlar om hur organisationer kan bevara konfidentialitet för data som lagras på utrustning som är avsedd för bortskaffande eller återanvändning, genom att implementera effektiva säkerhetsåtgärder och procedurer.

Syftet med ISO 27001:2022 bilaga A 7.14

ISO 27001: 2022 Bilaga A 7.14 gör det möjligt för organisationer att förhindra obehörig åtkomst till känsliga data genom att verifiera att all information och programvara som är licensierad på utrustningen oåterkalleligt raderas eller skrivs över innan utrustningen kasseras eller överlämnas till en tredje part för återanvändning.

Äganderätt till bilaga A 7.14

I enlighet med ISO 27001:2022 bilaga A 7.14 måste ett organisationsomfattande databortskaffande-återanvändningsförfarande upprättas, inklusive identifiering av all utrustning och implementering av lämpliga tekniska bortskaffandemekanismer och återanvändningsprocesser.

Smakämnen Chief Information Officer bör vara ansvarig för att upprätta, införa och upprätthålla system och processer för att kassera och återanvända utrustning.

Hoppa till ämne

Vägledning om ISO 27001:2022 bilaga A 7.14 Överensstämmelse

ISO 27001:2022 bilaga A 7.14 specificerar fyra viktiga överväganden för efterlevnad som organisationer bör ha i åtanke:

Det är tillrådligt att inta en proaktiv hållning

Innan de kasseras eller återanvänds måste organisationer kontrollera om utrustningen innehåller någon informationstillgångar och licensierad programvara och se till att dessa raderas permanent.

Fysisk förstörelse eller oåterkallelig radering av data

ISO 27001:2022 bilaga A 7.14 anger att två tillvägagångssätt kan användas för att säkerställa säker och permanent radering av information om utrustning:

  1. Utrustning som innehåller lagringsmedieenheter som innehåller information ska förstöras fysiskt.

  2. Organisationer bör hänvisa till bilaga A 7.10 och bilaga A 8.10 angående Förvarings media respektive Informationsradering för att säkerställa att all data som lagras på utrustningen raderas, skrivs över eller förstörs på ett sätt som förhindrar återhämtning av illvilliga parter.

Alla etiketter och markeringar bör tas av

Utrustningskomponenter och data de innehåller kan märkas eller märkas för att identifiera organisationen eller avslöja tillgångsägaren, nätverket eller klassificeringsnivån för informationen. Alla dessa etiketter och märkningar ska förstöras permanent.

Borttagning av kontroller

Organisationer kan överväga att avinstallera säkerhetskontroller, till exempel åtkomstbegränsningar eller övervakningssystem, när de lämnar anläggningar, med tanke på följande villkor:

  • Hyresavtalet ställer kraven för återlämnande av fastigheten.

  • Det är viktigt att minska risken för eventuell obehörig åtkomst till känslig information av den framtida hyresgästen.

  • Kan nuvarande kontroller utnyttjas på kommande anläggning.

Kompletterande vägledning om bilaga A 7.14

Utöver den allmänna vägledningen tillhandahåller ISO 27001:2022 Annex A 7.14 tre specifika rekommendationer för organisationer.

Skadad utrustning

När utrustning som innehåller data skickas för reparation kan den vara sårbar för obehörig åtkomst från tredje part.

Organisationer bör utföra en riskbedömning, med hänsyn till informationens känslighetsnivå, och överväga om att förstöra utrustningen skulle vara ett mer hållbart val än reparation.

Full-Disk Kryptering

Att säkerställa att heldiskkryptering uppfyller de högsta standarderna är avgörande för att skydda datakonfidentialitet. Det bör noteras att följande bör följas:

  • Kryptering är tillförlitlig och skyddar alla aspekter av disken, inklusive överblivet utrymme.

  • Kryptografiska nycklar bör vara tillräckligt långa för att förhindra brute force-attacker.

  • Organisationer bör skydda sekretessen för sina kryptografiska nycklar. Till exempel bör krypteringsnyckeln inte lagras på samma hårddisk.

Överskrivningsverktyg

Organisationer bör välja en överskrivningsmetod samtidigt som de överväger följande kriterier:

  • Informationstillgången har tilldelats en viss klassificering.

  • Vilken typ av lagringsmedia där informationen förvaras är känd.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.14 ersätter ISO 27001:2013 bilaga A 11.2.7 i den reviderade standarden. ISO 27001:2022-versionen ersätter ISO 27001:2013-versionen av standarden, med den senaste versionen inklusive uppdateringar av bilaga A 7.14.

ISO 27001:2022 Annex A 7.14 är ungefär som dess motsvarighet från 2013. 2022-versionen har dock mer omfattande krav i den allmänna vägledningen.

I jämförelse med ISO 27001:2013 ställer 2022-versionen dessa krav:

  • Organisationer bör radera alla skyltar och taggar som anger deras organisation, nätverk och klassificeringsnivå.

  • Organisationer bör överväga att eliminera alla kontroller som de har etablerat vid en anläggning när de reser.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.Online tillhandahåller en heltäckande metod för implementering av ISO 27001:2022. Den erbjuder en strömlinjeformad process som gör det möjligt för användare att snabbt och effektivt uppfylla standarderna för den internationella säkerhetsstandarden. Med sitt användarvänliga gränssnitt gör det det enkelt för organisationer att etablera och underhålla ett robust Informationssäkerhetshanteringssystem.

Detta webbaserade system gör det möjligt för dig att visa att ditt ISMS uppfyller de angivna kriterierna, genom effektiva processer, procedurer och checklistor.

Kontakta oss nu för att arrangera en demonstration.

Vår senaste framgång med att uppnå ISO 27001, 27017 & 27018 certifiering berodde till stor del på ISMS.online.

Karen Burton
Säkerhetsanalytiker, Trivs hälsa

Boka din demo

Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer