- Se ISO 27002:2022 Kontroll 7.3 för mer information.
- Se ISO 27001:2013 bilaga A 11.1.3 för mer information.
Vad är ISO 27001:2022 bilaga A 7.3?
ISO 27001: 2022 Bilaga A 7.3 beskriver kravet på att konstruera och utföra fysisk säkerhet för kontor, kammare och lokaler.
Denna kontroll uppmuntrar organisationer att vidta lämpliga åtgärder för att skydda mot obehörig åtkomst till rum, kontor och faciliteter, särskilt när som sysslar med informationssäkerhet. Sådana åtgärder kan innefatta lås, larm, säkerhetsvakter eller andra lämpliga medel för att skydda mot informationssäkerhetsproblem.
Fysisk säkerhet för kontor, rum och faciliteter förklaras
Fysisk säkerhet är en viktig komponent i informationssäkerhet. De två måste beaktas tillsammans. Informationssäkerhet är att skydda data och system från obehörig åtkomst, användning, avslöjande, avbrott, ändring eller förstörelse.
Fysisk säkerhet innebär att man vidtar åtgärder för att skydda personal, anläggningar, utrustning och andra tillgångar från potentiella faror, såsom inbrott, sabotage, terrorism och annan kriminell verksamhet, genom att minska de tillhörande riskerna.
Att avgöra om du har en informationskänslig plats är det första steget fysisk säkerhet. Dessa kan vara kontor, rum eller anläggningar med datorer som innehåller känsliga data, eller sådana med personal som har tillgång till känslig information.
Lås och nycklar
Säkra alla dörrar, fönster och skåp; fäst säkerhetstätningar på bärbara datorer och mobila enheter; installera lösenordsskydd för datorer; kryptera känsliga uppgifter.
CCTV
Kameror med slutna kretsar ger ett effektivt sätt att övervaka aktivitet på marken eller i särskilda områden av en struktur.
Inbrottslarm
Rörelse, värme eller ljud kan utlösa dessa larm, som varnar dig för eventuella inkräktare eller obehöriga personer i ett område (t.ex. ett säkerhetslarm som går om någon försöker bryta sig in på kontoret).
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vad är syftet med ISO 27001:2022 bilaga A 7.3?
Målet med ISO 27001:2022 bilaga A Kontroll 7.3 är att skydda organisationens information och andra tillhörande tillgångar i kontor, rum och anläggningar från obehörig fysisk åtkomst, skada och störningar.
Det primära målet med ISO 27001:2022 bilaga A 7.3 är att minska risken för obehörig fysisk åtkomst till kontor, rum och faciliteter till en acceptabel nivå genom att:
- Det är viktigt att förhindra obehöriga från att komma in på kontor, rum och lokaler. All personal måste vara auktoriserad innan de kan få tillträde.
- Förhindra skada eller störning av organisationens data och andra relaterade tillgångar inom arbetsplatsområden, rum och anläggningar.
- Se till att informationssäkerhetskänsliga områden är diskreta så att det är svårt att urskilja deras syfte.
- Minimera risken för stöld eller förlust av egendom i kontor, rum och lokaler.
- Säkerställ identifiering av personal som är auktoriserad för fysisk åtkomst via en kombination av uniformer, elektroniska dörrsystem och besökskort.
- Där det är möjligt bör CCTV eller andra övervakningssystem implementeras för att säkerställa säkerhet i viktiga områden som dörrar/utgångar.
Bilaga A 7.3 avser alla strukturer som används av organisationen för kontor eller administrativ verksamhet. Det omfattar också rum där konfidentiella uppgifter lagras eller behandlas, inklusive områden där känsliga konversationer förekommer.
Hit räknas inte mottagningsutrymmen eller andra allmänna delar av en organisations lokaler, såvida de inte utnyttjas för administrativa ändamål, till exempel när en mottagningsplats fungerar som kontor.
Vad är inblandat och hur man uppfyller kraven
I bilaga A 7.3 till ISO 27001:2022 föreskrivs att rum och anläggningar ska skyddas. För att uppfylla dessa krav bör följande säkerhetsåtgärder vidtas:
- Lokalisera kritiska anläggningar för att förhindra allmänhetens tillträde.
- Se till att byggnader inte är påträngande och uppvisar minimal indikation om deras syfte, utan tydliga skyltar varken inuti eller utanför byggnaden som visar att informationsbehandling pågår.
- Sätt upp system för att skydda konfidentiell data och aktiviteter från att höras eller ses utifrån. Elektromagnetisk skärmning kan vara nödvändig.
- Se till att kataloger, interna telefonböcker och onlinekartor som visar var anläggningar för behandling av konfidentiell information finns tillgängliga för alla obehöriga.
För ytterligare information om hur du når den kontroll som anges i ISO 27001:2022-standarden, se dokumentet.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 7.3 ersätter ISO 27001:2013 Bilaga A 11.1.3 i den reviderade 2022 års standard.
Bilaga A 7.3 är inte en ny kontroll. Det är en modifierad version av bilaga A 11.1.3 i ISO 27001:2013. Den viktigaste skillnaden mellan 2013 och 2022 års versioner är att bilaga A kontrollnummer har ändrats. Bortsett från denna justering förblir sammanhanget och den allmänna innebörden oförändrade, trots omformuleringen.
2022 års bilaga A-kontroll innehåller en attributtabell och syftesförklaring, som saknas i 2013 års version.
Vem är ansvarig för denna process?
Den första personen att rådfråga när man ordnar kontor, rum och faciliteter är vanligtvis chefen eller direktören som ansvarar för byggnaden och dess innehåll.
Säkerhetschefen övervakar säkerheten inom alla områden, inklusive kontor och anläggningar. Han/hon håller koll på all personal som har tillgång till dessa områden och ser till att deras användning är lämplig.
I vissa fall kan flera personer vara ansvariga för säkerheten. Till exempel, där en individ har tillgång till känslig information som kan vara till men för verksamheten eller för andra anställdas privatliv, är det väsentligt att ha flera personer inblandade i deras säkerhet.
HR-avdelningen ansvarar för personalförsäkringar och förmåner, medan IT hanterar datorsystem och nätverk. Båda avdelningarna är inblandade i att hantera fysisk säkerhet, såväl som cybersäkerhetsfrågor som nätfiske och obehöriga åtkomstförsök.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
ISO 27001:2022 Organisationskontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
ISO 27001:2022 Personkontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
ISO 27001:2022 Fysiska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
ISO 27001:2022 Tekniska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
| Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vad betyder dessa förändringar för dig?
Inga väsentliga ändringar är nödvändiga för att överensstämma med den senaste versionen av ISO 27001:2022.
Utvärdera din befintliga informationssäkerhetslösning för att se till att den uppfyller den förnyade standarden. Om du har ändrat något sedan 2013 när den senaste utgåvan gavs ut, överväg att granska dessa ändringar för att avgöra om de fortfarande är tillämpliga eller behöver revideras.
Fallstudier
MIRACL förvandlar förtroende till en konkurrensfördel med ISO 27001-certifiering
Läs fallstudie
Fallstudier
Xergys verktyg Proteus genererar tillväxt genom ISO 27001-efterlevnad med hjälp av ISMS.online
Läs fallstudieHur ISMS.Online Hjälp
Vår plattformen är perfekt för nybörjare inom informationssäkerhet eller dig som snabbt vill få en förståelse för ISO 27001:2022 utan att behöva investera tid i att studera från början eller granska långa dokument.
ISMS.online är utrustat med alla verktyg som behövs för att uppfylla efterlevnad, inklusive personliga dokumentmallar, checklistor och policyer.
Kontakta oss nu för att schemalägga en demonstration.
Hoppa till ämnet
