ISO 27001:2022 bilaga A 7.2 betonar kravet på organisationer att säkra områden genom att använda lämpliga inpasseringskontroller och åtkomstpunkter.
Entrékontroller och åtkomstpunkter är avgörande för säkerhetssystemet i alla byggnader. De tillåter passagerare att gå in och ut samtidigt som säkerheten bibehålls, och kan stoppa de som inte är behöriga eller önskade från att komma in.
Entrékontrollsystem ger tillgång till en byggnad via dörrar och portar, inklusive knappsatser, kortläsare, biometriska skannrar och fobs. Dessutom tillhandahåller de låsmekanismer för dörrar och portar, förutom vändkors och svängdörrar.
En accesspunkt är en elektronisk enhet som säkerställer säkerheten i stora kommersiella byggnader. Den använder RFID-teknik för att spåra all rörelse inom och ut ur lokalerna. Accesspunkten skickar data tillbaka till huvudkontoret, vilket gör att säkerhetspersonalen kan observera när någon går in i eller lämnar anläggningen och vilka områden de kommer åt under sin vistelse.
Boka en 30 minuters chatt med oss så visar vi dig hur
ISO 27001:2022 bilaga A Kontroll 7.2 garanterar endast auktoriserad fysisk åtkomst till organisationens data och andra relaterade tillgångar.
Fysisk säkerhet är avgörande för att säkerställa sekretess, integritet och tillgänglighet för informationsresurser. Bilaga A Kontroll 7.2 av ISO 27001: 2022 handlar i första hand om att bevara data och andra relaterade tillgångar från obehörig åtkomst, stöld eller förlust. Därför bör nödvändiga ingångs- och åtkomstpunkter implementeras för att garantera att endast behörig personal kan komma åt säkra områden.
Kontroller bör implementeras för att säkerställa rimlig säkerhet att endast auktoriserade personer har fysisk åtkomst och att de är korrekt identifierade.
Användning av lås, nycklar (manuella och elektroniska), säkerhetsvakter, övervakningssystem och andra barriärer vid ingångar och åtkomstpunkter bör implementeras. Åtkomstkontrollsystem som lösenord, kortnycklar eller biometriska enheter bör användas för att säkra känsliga områden inom anläggningen.
Organisationer måste kontrollera och, om möjligt, separera åtkomstpunkter såsom leverans- och lastzoner och andra infartspunkter till lokalerna från sina IT-anläggningar för att förhindra obehörig åtkomst, för att uppfylla kraven i bilaga A 7.2 implementering. Dessa områden bör begränsas till endast auktoriserad personal.
ISO 27001:2022-dokumentet ger implementeringsvägledning för bilaga A 7.2, som hjälper till att uppfylla kraven på personal, besökare och leveranspersonal. För att se dessa riktlinjer, gå till den reviderade versionen av standarden.
Bilaga A 7.2 i ISO 27001:2022 är inte en ny åtgärd, utan snarare en kombination av bilaga A kontroller 11.1.2 och 11.1.6 från ISO 27001:2013. Dessa två bilaga A-kontroller har reviderats i ISO 27001:2022 för att göra det mer intuitivt än ISO 27001:2013.
Bilaga A Kontroll 11.1.2 – Fysiska tillträdeskontroller kräver att säkra områden skyddas av lämpliga inpasseringskontroller, så att endast behörig personal kan komma åt. Denna del av standarden beskriver de åtgärder som organisationer kan vidta för att säkerställa att endast de som är tillåtna får komma in för särskilda ändamål.
Förordningen kräver att tvåfaktorsautentisering ska implementeras för att auktoriserad personal ska få tillgång till informationssäkerhetskänsliga områden, med en fysisk loggbok eller elektronisk revisionsspår som stöd.
Bilaga A Kontroll 11.1.6 – Leverans- och lastområden föreskriver att åtkomst till dessa områden bör begränsas till endast auktoriserad personal. Det rekommenderas att de utformas så att de är åtskilda från verksamhetsområden, vilket förhindrar leveranspersonal från att komma åt andra delar av byggnaden.
I slutändan är bilaga A kontroll 7.2 och bilaga A kontroller 11.1.2 och 11.1.6 jämförbara i huvudsak. Den största skillnaden är att bilaga A 11.1.2 och bilaga A 11.1.6 slogs samman för ökad användarvänlighet.
I 2022 års version av ISO 27001 inkluderades en attributtabell och kontrollsyfte, som saknades i kontrollerna i 2013 års version.
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
| Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
| Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Att kontrollera fysisk åtkomst är avgörande för säkerheten för alla organisationer eller företag. Det är viktigt att säkerställa att ingen obehörig personal kommer in i lokalerna. Följaktligen är det nödvändigt att genomföra stränga åtgärder.
Säkerhetsavdelningen övervakar alla fysiska säkerhetsaspekter, såsom tillträdeskontroll. Om de saknar nödvändig expertis eller resurser för att hantera detta kan de tilldela befogenheter till en annan avdelning.
IT-team är också avgörande för fysisk säkerhet. De garanterar att de tekniksystem som används för fysisk säkerhet är aktuella och säkra. Till exempel, om din organisation har ett intrångsdetektionssystem (IDS) vid ingången men programvaran inte har förnyats på månader, kanske det inte är effektivt mot inkräktare.
Din organisation behöver inte ändra sina rutiner för informationssäkerhet avsevärt, eftersom den reviderade ISO 27001:2022-standarden endast justerades minimalt.
Om du har en ISO 27001:2013-certifiering kommer du att upptäcka att ditt nuvarande tillvägagångssätt för informationssäkerhetshantering är i överensstämmelse med de nya standarderna.
Om du börjar från början bör du bekanta dig med efterlevnadsvägledningen i den nya standarden.
Vår plattform ger användarna tillgång till all relevant dokumentation och resurser, såsom policyer, procedurer, standarder, riktlinjer och information om efterlevnadsprocesser.
ISMS.online är perfekt för företag som vill:
Vår plattform erbjuder anpassade instrumentpaneler som ger dig realtidsinsikt i din efterlevnadsstatus.
Övervaka och hantera din ISO 27001:2022-efterlevnadsresa på ett och samma ställe: revisioner, gapanalys, utbildningshantering, riskbedömning och mer.
Kontakta oss nu för att schemalägga en demonstration.
Jag har gjort ISO 27001 den hårda vägen så jag värdesätter verkligen hur mycket tid det sparade oss på att uppnå ISO 27001-certifiering.
