ISO 27001:2022 Bilaga A Kontroll 7.3

Säkra kontor, rum och faciliteter

Boka en demo

grupp,av,unga,företag,människor,arbetar,tillsammans,i,moderna

Vad är ISO 27001:2022 bilaga A 7.3?

ISO 27001: 2022 Bilaga A 7.3 beskriver kravet på att konstruera och utföra fysisk säkerhet för kontor, kammare och lokaler.

Denna kontroll uppmuntrar organisationer att vidta lämpliga åtgärder för att skydda mot obehörig åtkomst till rum, kontor och faciliteter, särskilt när som sysslar med informationssäkerhet. Sådana åtgärder kan innefatta lås, larm, säkerhetsvakter eller andra lämpliga medel för att skydda mot informationssäkerhetsproblem.

Fysisk säkerhet för kontor, rum och faciliteter förklaras

Fysisk säkerhet är en viktig komponent i informationssäkerhet. De två måste beaktas tillsammans. Informationssäkerhet är att skydda data och system från obehörig åtkomst, användning, avslöjande, avbrott, ändring eller förstörelse.

Fysisk säkerhet innebär att man vidtar åtgärder för att skydda personal, anläggningar, utrustning och andra tillgångar från potentiella faror, såsom inbrott, sabotage, terrorism och annan kriminell verksamhet, genom att minska de tillhörande riskerna.

Att avgöra om du har en informationskänslig plats är det första steget fysisk säkerhet. Dessa kan vara kontor, rum eller anläggningar med datorer som innehåller känsliga data, eller sådana med personal som har tillgång till känslig information.

Lås och nycklar

Säkra alla dörrar, fönster och skåp; fäst säkerhetstätningar på bärbara datorer och mobila enheter; installera lösenordsskydd för datorer; kryptera känsliga uppgifter.

CCTV

Kameror med slutna kretsar ger ett effektivt sätt att övervaka aktivitet på marken eller i särskilda områden av en struktur.

Inbrottslarm

Rörelse, värme eller ljud kan utlösa dessa larm, som varnar dig för eventuella inkräktare eller obehöriga personer i ett område (t.ex. ett säkerhetslarm som går om någon försöker bryta sig in på kontoret).

Hoppa till ämne
Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Vad är syftet med ISO 27001:2022 bilaga A 7.3?

Målet med ISO 27001:2022 bilaga A Kontroll 7.3 är att skydda organisationens information och andra tillhörande tillgångar i kontor, rum och anläggningar från obehörig fysisk åtkomst, skada och störningar.

Det primära målet med ISO 27001:2022 bilaga A 7.3 är att minska risken för obehörig fysisk åtkomst till kontor, rum och faciliteter till en acceptabel nivå genom att:

  • Det är viktigt att förhindra obehöriga från att komma in på kontor, rum och lokaler. All personal måste vara auktoriserad innan de kan få tillträde.

  • Förhindra skada eller störning av organisationens data och andra relaterade tillgångar inom arbetsplatsområden, rum och anläggningar.

  • Se till att informationssäkerhetskänsliga områden är diskreta så att det är svårt att urskilja deras syfte.

  • Minimera risken för stöld eller förlust av egendom i kontor, rum och lokaler.

  • Säkerställ identifiering av personal som är auktoriserad för fysisk åtkomst via en kombination av uniformer, elektroniska dörrsystem och besökskort.

  • Där det är möjligt bör CCTV eller andra övervakningssystem implementeras för att säkerställa säkerhet i viktiga områden som dörrar/utgångar.

Bilaga A 7.3 avser alla strukturer som används av organisationen för kontor eller administrativ verksamhet. Det omfattar också rum där konfidentiella uppgifter lagras eller behandlas, inklusive områden där känsliga konversationer förekommer.

Hit räknas inte mottagningsutrymmen eller andra allmänna delar av en organisations lokaler, såvida de inte utnyttjas för administrativa ändamål, till exempel när en mottagningsplats fungerar som kontor.

Vad är inblandat och hur man uppfyller kraven

I bilaga A 7.3 till ISO 27001:2022 föreskrivs att rum och anläggningar ska skyddas. För att uppfylla dessa krav bör följande säkerhetsåtgärder vidtas:

  • Lokalisera kritiska anläggningar för att förhindra allmänhetens tillträde.

  • Se till att byggnader inte är påträngande och uppvisar minimal indikation om deras syfte, utan tydliga skyltar varken inuti eller utanför byggnaden som visar att informationsbehandling pågår.

  • Sätt upp system för att skydda konfidentiell data och aktiviteter från att höras eller ses utifrån. Elektromagnetisk skärmning kan vara nödvändig.

  • Se till att kataloger, interna telefonböcker och onlinekartor som visar var anläggningar för behandling av konfidentiell information finns tillgängliga för alla obehöriga.

För ytterligare information om hur du når den kontroll som anges i ISO 27001:2022-standarden, se dokumentet.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.3 ersätter ISO 27001:2013 Bilaga A 11.1.3 i den reviderade 2022 års standard.

Bilaga A 7.3 är inte en ny kontroll. Det är en modifierad version av bilaga A 11.1.3 i ISO 27001:2013. Den viktigaste skillnaden mellan 2013 och 2022 års versioner är att bilaga A kontrollnummer har ändrats. Bortsett från denna justering förblir sammanhanget och den allmänna innebörden oförändrade, trots omformuleringen.

2022 års bilaga A-kontroll innehåller en attributtabell och syftesförklaring, som saknas i 2013 års version.

Vem är ansvarig för denna process?

Den första personen att rådfråga när man ordnar kontor, rum och faciliteter är vanligtvis chefen eller direktören som ansvarar för byggnaden och dess innehåll.

Säkerhetschefen övervakar säkerheten inom alla områden, inklusive kontor och anläggningar. Han/hon håller koll på all personal som har tillgång till dessa områden och ser till att deras användning är lämplig.

I vissa fall kan flera personer vara ansvariga för säkerheten. Till exempel, där en individ har tillgång till känslig information som kan vara till men för verksamheten eller för andra anställdas privatliv, är det väsentligt att ha flera personer inblandade i deras säkerhet.

HR-avdelningen ansvarar för personalförsäkringar och förmåner, medan IT hanterar datorsystem och nätverk. Båda avdelningarna är inblandade i att hantera fysisk säkerhet, såväl som cybersäkerhetsfrågor som nätfiske och obehöriga åtkomstförsök.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Vad betyder dessa förändringar för dig?

Inga väsentliga ändringar är nödvändiga för att överensstämma med den senaste versionen av ISO 27001:2022.

Utvärdera din befintliga informationssäkerhetslösning för att se till att den uppfyller den förnyade standarden. Om du har ändrat något sedan 2013 när den senaste utgåvan gavs ut, överväg att granska dessa ändringar för att avgöra om de fortfarande är tillämpliga eller behöver revideras.

Hur ISMS.Online Hjälp

Vår plattformen är perfekt för nybörjare inom informationssäkerhet eller dig som snabbt vill få en förståelse för ISO 27001:2022 utan att behöva investera tid i att studera från början eller granska långa dokument.

ISMS.online är utrustat med alla verktyg som behövs för att uppfylla efterlevnad, inklusive personliga dokumentmallar, checklistor och policyer.

Kontakta oss nu för att schemalägga en demonstration.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Metod med säkrade resultat
100 % ISO 27001 framgång

Din enkla, praktiska, tidsbesparande väg till första gången ISO 27001 efterlevnad eller certifiering

Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer