ISO 27001:2022 Bilaga A Kontroll 7.5

Skydd mot fysiska och miljömässiga hot

Boka en demo

interiör,av,samtida,flervånings,affärscentrum,med,stora,fönster,och

Organisationer måste ta hänsyn till de risker som fysiska hot utgör mot deras informationstillgångar.

Sådana hot kan inkludera miljöskador, stöld, förstörelse och äventyrande av data. Dessa problem kan alla leda till förlust av information och risken för att känslig information exponeras.

Naturliga händelser som jordbävningar, översvämningar och skogsbränder, såväl som av människan skapade katastrofer som civila oroligheter och kriminella handlingar, utgör hot.

ISO 27001: 2022 Bilaga A 7.5 kräver att organisationer bedömer, erkänner och minskar riskerna för vital fysisk infrastruktur från fysiska och miljömässiga faror.

Syftet med ISO 27001:2022 bilaga A 7.5

ISO 27001:2022 Annex A 7.5 gör det möjligt för organisationer att bedöma de potentiella risker som miljö- och fysiska hot utgör, och att minska eller eliminera dessa risker genom att implementera lämpliga åtgärder.

Äganderätt till bilaga A 7.5

ISO 27001: 2022 Bilaga A 7.5 kräver att organisationer genomför en omfattande riskbedömning innan de utför någon fysisk verksamhet i lokalerna och att vidta lämpliga åtgärder i proportion till den identifierade risken.

Säkerhetschefer ansvarar för att skapa, hantera, implementera och utvärdera hela processen.

Hoppa till ämne

Vägledning om ISO 27001:2022 bilaga A 7.5 Överensstämmelse

ISO 27001:2022 Annex A 7.5 beskriver en tredelad strategi för att identifiera och ta bort potentiella faror från fysiska och miljömässiga källor.

Steg 1 – Gör en riskbedömning

Organisationer bör utföra en riskbedömning att identifiera eventuella fysiska och miljömässiga faror som kan uppstå i deras lokaler och sedan bedöma de möjliga effekterna av dessa identifierade fysiska och miljömässiga risker.

Med tanke på mångfalden av miljöförhållanden och fysiska risker som varje lokal och infrastruktur kan möta, kommer typen av hot och risknivån som identifieras att variera beroende på platsen.

En fastighet kan vara särskilt sårbar för skogsbränder medan en annan kan vara belägen i ett område som är utsatt för jordbävningar.

Det är väsentligt att en riskbedömning görs innan aktiviteter påbörjas på plats, enligt bilaga A 7.5.

Steg 2 – Upprätta och använda kontroller

Med tanke på typen av hot och den tillhörande risken som identifierades initialt, bör organisationer implementera korrekta kontroller med de möjliga konsekvenserna av miljömässiga och fysiska hot i åtanke.

ISO 27001:2022 Annex A 7.5 ger exempel på kontroller som kan implementeras för att bekämpa olika hot:

  • Organisationer bör installera system som kan varna dem om bränder och aktivera brandsläckningssystem för att skydda digitala medier och informationssystem från förstörelse.

  • System bör implementeras och installeras för att identifiera översvämningar på platser där data lagras. Dessutom bör vattenpumpar vara förberedda för att kunna användas i händelse av översvämning.

  • Servrar och datahanteringssystem måste skyddas mot elektriska överspänningar. Regelbundet underhåll och skydd är avgörande för optimal prestanda.

  • Organisationer borde regelbundet revision och inspektera människor, föremål och fordon som kommer in på kritiska infrastrukturplatser.

Steg 3 – Övervakning

Håll koll på framstegen och gör justeringar vid behov. Utvärdera regelbundet resultat och gör ändringar för att säkerställa att målen uppnås. Se till att dokumentera eventuella ändringar för framtida referens.

Kompletterande vägledning om bilaga A 7.5

ISO 27001:2022 Annex A 7.5 beskriver fyra överväganden som organisationer bör ha i åtanke.

Samråd med experter

Varje miljömässigt och fysiskt hot, såsom giftigt avfall, jordbävning och brand, är distinkt i termer av dess egenskaper, faran den utgör och de åtgärder som måste vidtas.

Organisationer bör konsultera specialistråd om hur man upptäcker, minskar och/eller hanterar risker som dessa hot utgör.

Val av plats för lokaler

Med tanke på den lokala terrängen, vattennivåerna och den tektoniska aktiviteten på en potentiell plats för en byggnad kan det hjälpa att identifiera och eliminera potentiella risker tidigt.

Organisationer bör överväga riskerna för katastrofer orsakade av människor i det valda stadsområdet, till exempel politisk oro och kriminellt beteende.

Extra lager av säkerhet

Användningen av säkra lagringsmetoder, såsom kassaskåp, ger ett extra lager av skydd mot katastrofer som brand och översvämningar, utöver de befintliga säkerhetsåtgärderna.

Brottsförebyggande genom miljödesign

ISO 27001:2022 Annex A 7.5 föreslår att organisationer överväger detta koncept när de inför kontroller för att stärka lokalsäkerheten. Detta tillvägagångssätt kan användas för att bekämpa urbana hot såsom kriminell verksamhet, civila oroligheter och terrorism.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.5 ersätter ISO 27001:2013 Bilaga A 11.1.4 i den reviderade standarden.

2013-versionen fokuserade på hur organisationer bör vidta förebyggande åtgärder mot fysiska och miljömässiga hot, medan 2022-versionen är mer omfattande och beskriver de specifika steg som organisationer bör vidta för att följa.

Sammanfattningsvis sticker två huvudsakliga distinktioner ut.

2022-versionen ger råd om mötesbestämmelser

2013 års upplaga gav ingen vägledning om hur organisationer kan känna igen och minska risker orsakade av miljömässiga och fysiska faror.

2022-versionen beskriver en process i tre steg som organisationer måste implementera, som börjar med en riskbedömning.

Revisionen 2022 uppmuntrar organisationer att införa ett extra lager av åtgärder

Den kompletterande vägledningen för 2022 inkluderar användning av kassaskåp och brottsförebyggande genom miljödesign som sätt att öka säkerheten mot hot.

Under 2013 togs dock inga extra steg.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.online-plattformen erbjuder en mängd potenta verktyg för att dokumentera, implementera, bevara och förbättra din ledningssystem för informationssäkerhet (ISMS) och att bli kompatibel med ISO 27001:2022 lättare.

Denna omfattande samling verktyg tillhandahåller en enda plats där du kan anpassa en uppsättning policyer och procedurer för att matcha din organisations särskilda risker och behov.

Kontakta oss idag för att arrangera en demonstration.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer