ISO 27001:2022 Bilaga A Kontroll 7.4

Fysisk säkerhetsövervakning

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

I händelse av att obehörig åtkomst ges till begränsade fysiska områden som serverrum och IT-utrustningsrum, informationstillgångar kan äventyras när det gäller konfidentialitet, tillgänglighet, integritet och säkerhet.

I ISO 27001:2022 bilaga A 7.4 hindras inkräktare från att ta sig in i känsliga fysiska lokaler utan tillstånd.

Syftet med ISO 27001:2022 bilaga A 7.4?

Bilaga A Kontroll 7.4 kräver att organisationer implementerar lämpliga övervakningsverktyg. Detta för att upptäcka och förhindra externa och interna inkräktare från att ta sig in på begränsade fysiska områden utan tillstånd.

Övervakningsverktyg som kan övervaka och registrera åtkomstbegränsade områden skyddar mot risker till följd av obehörig åtkomst till begränsade områden, inklusive men inte begränsat till:

  • Datastöld.

  • Förlusten av informationstillgångar.

  • Ekonomisk skada.

  • Borttagning av flyttbara mediatillgångar för skadliga syften.

  • Skadlig programvara infektion av IT-tillgångar.

  • Attacker utförs av en inkräktare som använder ransomware.

Vem har äganderätten till bilaga A 7.4?

Enligt ISO 27001 Bilaga A Kontroll 7.4, efterlevnad av denna kontroll kräver identifiering av alla restriktiva områden. Det kräver också identifiering av övervakningsverktyg som är lämpliga för det specifika fysiska området som ska övervakas.

Därför måste säkerhetschefen vara ansvarig för implementering, underhåll, förvaltning och översyn av övervakningssystem på ett effektivt sätt.

Hoppa till ämne

Vägledning om hur man följer ISO 27001:2022 bilaga A 7.4

Enligt ISO 27001 Annex A Kontroll 7.4 måste organisationer implementera följande tre steg för att upptäcka och förhindra obehörig åtkomst till anläggningar som innehåller kritiska informationstillgångar och förhindra att de äventyras.

Sätt in ett videoövervakningssystem för att hålla ett öga på situationen

För att kontinuerligt övervaka åtkomst till begränsade områden som är värd för kritiska informationstillgångar, bör en organisation ha ett videoövervakningssystem, såsom CCTV-kameror. Detta är ett exempel på ett sådant system. Dessutom är det också viktigt att detta övervakningssystem håller ett register över alla in- och utgångar i lokalerna.

Installera detektorer för att utlösa ett larm

Möjligheten att utlösa ett larm när en inkräktare kommer in i den fysiska lokalen gör att säkerhetsteamet kan reagera snabbt på eventuella säkerhetsöverträdelser. Det kan också vara ett effektivt sätt att avskräcka inkräktare från att ta sig in i ditt hem.

Det rekommenderas att organisationer köper rörelse-, ljud- och kontaktdetektorer som varnar dem när onormal aktivitet upptäcks inom organisationens fysiska lokaler.

Detta inkluderar, men är inte begränsat till:

  • En kontaktdetektor bör installeras i miljön. När ett okänt föremål eller individ kommer i kontakt med ett specifikt föremål eller bryter kontakten med ett visst föremål, bör ett larm aktiveras. En kontaktdetektor kan till exempel konfigureras för att utlösa ett larm när kontaktdetektorn kommer i kontakt med valfritt fönster eller dörr.

  • Rörelsedetektorerna kan konfigureras så att de varnar dig om de upptäcker rörelse inom sitt synfält av ett föremål som rör sig i deras synområde.

  • En ljuddetektor, till exempel en krossglasdetektor, kan aktiveras när den upptäcker ett ljud, vilket kan hjälpa till att förhindra bilolyckor.

Konfiguration av larm för alla interna lokaler

Det är absolut nödvändigt att säkerställa att larmsystemet har konfigurerats på lämpligt sätt. Detta kommer att säkerställa att alla känsliga områden, inklusive alla ytterdörrar, fönster, obemannade områden och datorrum, är inom larmsystemets räckvidd. Detta kommer att förhindra att eventuella sårbarheter utnyttjas.

Till exempel kan inkräktare använda rökområden eller gymentréer som attackvektorer om de inte övervakas.

Tillgängliga typer av övervakningssystem

Även ISO 27001 Bilaga A Kontroll 7.4 kräver inte att organisationer väljer ett övervakningssystem framför ett annat, den listar flera övervakningsverktyg som kan användas separat eller i kombination med andra, inklusive:

  • CCTV kameror.

  • Säkerhetsvakter.

  • Inbrottslarmsystem.

  • Programvara för fysisk säkerhet.

ISO 27001:2022 bilaga A 7.4 Kompletterande vägledning

Följande överväganden bör beaktas vid implementering av fysiska säkerhetsövervakningssystem enligt bilaga A Kontroll 7.4:

  • Att upprätthålla konfidentialitet om övervakningssystemens utformning och inre funktion är viktigt.

  • För att eliminera risken för avaktivering av övervakningssystem på distans av illvilliga parter bör lämpliga åtgärder vidtas. Dessa åtgärder bör vidtas för att förhindra avslöjande av övervakningsverksamhet, och videoflöden till obehöriga parter.

  • Det är viktigt att larmcentralen är placerad i ett larmutrustat område. Dessutom är det väsentligt att den som utlöser larmet har säker och enkel tillgång att lämna området.

  • En manipuleringssäker detektor och en larmcentral bör användas.

  • Individer bör övervakas och registreras med hjälp av övervakningssystem endast för legitima ändamål. Denna övervakning och inspelning bör följa alla tillämpliga lagar och förordningar, inklusive dataskyddslagar. Till exempel EU och Storbritannien GDPR kan kräva att organisationer gör en konsekvensbedömning innan de sätter in CCTV-kameror. Dessutom bör inspelningen av videoflöden följa de datalagringsperioder som fastställts av tillämpliga lokala lagar.

Vilka är ändringarna från ISO 27001:2013?

Det är relevant att notera att kontroll 7.4 är en helt ny bilaga A-kontroll som inte behandlas i ISO 27001:2013.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Fördelarna med ISMS.online

ISMS.online erbjuder ett brett utbud av kraftfulla verktyg som förenklar implementering, underhåll och förbättring av ditt ledningssystem för informationssäkerhet (ISMS) för att uppfylla kraven för efterlevnad av ISO 27001.

Förutom att tillhandahålla omfattande verktyg, ISMS.online låter dig skapa skräddarsydda policyer och procedurer skräddarsydda för din organisations risker och krav. Det möjliggör också samarbete mellan kollegor och externa partners såsom leverantörer eller tredjepartsrevisorer.

Hör av dig idag för att boka en demo.

Se vår plattform
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer