ISO 27001:2022 Bilaga A Kontroll 7.7

Clear Desk och Clear Screen

Boka en demo

närbild,på,händer,på,en,svart,afrikansk,amerikansk,man

ISO 27001: 2022 Bilaga A 7.7 diskuterar hur organisationer kan skydda och upprätthålla sekretessen för känslig information på digitala skärmar och papper genom att implementera tydliga skrivbordsregler och tydliga skärmregler.

En anställd som lämnar sin arbetsstation obevakad riskerar obehörig åtkomst, förlust av konfidentialitet och skada på den känsliga information som finns i digitalt och fysiskt material.

Till exempel kan skadliga parter utnyttja möjligheten att stjäla och missbruka känslig hälsodata om en anställd lämnar sin dator obevakad under en lunchrast medan han använder ett verktyg för hantering av kundrelationer.

Vad är syftet med ISO 27001:2022 bilaga A 7.7?

ISO 27001:2022 Annex A 7.7 ger organisationer en metod för att eliminera och/eller minska riskerna för obehörig åtkomst, användning, skada eller förlust av känslig information på anställdas arbetsstationsskärmar och dokument när de inte finns.

Ägande av ISO 27001:2022 bilaga A 7.7

Som ett erkännande av bilaga 7.7 måste organisationer anta och implementera en organisationsövergripande policy för tydliga skrivbord och skärmar. Informationssäkerhetsansvariga bör ansvara för att ta fram, underhålla och upprätthålla policyer för tydliga skrivbord och tydliga skärmar i hela organisationen.

Hoppa till ämne
Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Allmän vägledning om ISO 27001:2022 bilaga A 7.7

Bilaga A 7.7 rekommenderar att man skapar och tillämpar en ämnesspecifik policy som beskriver regler för tydliga skrivbord och tydliga skärmar.

Dessutom specificerar bilaga A 7.7 sju specifika krav som organisationer bör beakta när de upprättar och tillämpar policyer för tydliga skrivbord och tydliga skärmar:

  • Digitala och fysiska tillgångar som innehåller känslig eller kritisk information bör låsas säkert när de inte används eller när arbetsstationen som är värd för dem är tom. Till exempel bör pappersskivor, bärbara datorer och skrivare förvaras i säkra möbler som lådor eller skåp med lås.

  • Enheter som används av anställda, såsom bärbara datorer, skannrar, skrivare och bärbara datorer, bör skyddas med nyckellås när de inte används eller lämnas utan uppsikt.

  • Anställda bör lämna sina enheter utloggade när de lämnar sin arbetsyta och lämna dem utan uppsikt. Återaktivering av enheten bör endast vara möjlig med användarautentisering. Alla endpoint-anställda enheter, såsom datorer, bör ha automatiska timeout- och utloggningsfunktioner.

  • Skrivaren bör utformas så att utskrifter kan hämtas omedelbart av den som skrivit ut dem (upphovsmannen). Dessutom bör endast upphovsmannen tillåtas att samla in utskrifterna genom en robust autentiseringsmekanism.

  • Material som innehåller känslig information, inklusive flyttbara media, ska alltid förvaras säkert. När de inte längre behövs ska de kasseras på ett säkert sätt.

  • Det är viktigt för organisationer att skapa regler för att visa popup-fönster på skärmar och att kommunicera dessa regler till alla relevanta anställda. Till exempel kan popup-fönster (som e-postmeddelanden) som innehåller känslig information äventyra sekretessen för känslig information om de visas under en presentation eller i ett offentligt utrymme.

  • Whiteboardtavlor bör raderas när känslig eller kritisk information inte längre behövs.

Kompletterande vägledning om bilaga A 7.7

ISO 27001 bilaga A 7.7 varnar organisationer för risker som uppstår till följd av lediga lokaler. Fysiskt och digitalt material som tidigare lagrats i en anläggning bör tas bort på ett säkert sätt när en organisation lämnar för att förhindra förlust av känslig information.

Därför föreskrivs i bilaga A 7.7 att organisationer bör upprätta förfaranden för semester vid anläggningar för att säkerställa att tillgångar med känslig information omhändertas på ett säkert sätt. Ett sista svep kan utföras för att säkerställa att ingen känslig information lämnas oskyddad.

Vilka är ändringarna och skillnaderna från ISO 27001:2013?

ISO 27001:2022 bilaga A 7.7 ersätter ISO 27001:2013 Bilaga A 11.2.9 ('Rensa skrivbords- och skärmpolicy').

Det finns två anmärkningsvärda skillnader mellan ISO 27001:2022 och ISO 27001:2013 versionerna:

  • ISO 27001:2022-versionen innehåller inte kriterier att ta hänsyn till när man upprättar och implementerar policyer för tydliga skrivbord och tydliga skärmar.

Medan 2013 års version specificerar att organisationer bör överväga organisationsövergripande informationsklassificering nivåer, juridiska och avtalsmässiga krav och de typer av risker de möter när de skapar en tydlig skrivbordspolicy och en tydlig skärmpolicy.

ISO 27001:2022-versionen nämner dock inte dessa element. ISO 27001:2022-standarden introducerar nya och mer omfattande krav på tydliga skrivbord och tydliga skärmar.

ISO 27001:2022-versionen specificerar följande krav som organisationer bör ta hänsyn till när de upprättar policyer för tydliga skrivbord och tydliga skärmar:

  • Organisationer bör upprätthålla konfidentialitet för känslig information genom att skapa specifika riktlinjer på popup-skärmar.

  • Ta bort den känsliga informationen skriven på en whiteboardtavla om du inte längre behöver den.

  • Datorer och andra slutpunktsenheter som används av anställda bör skyddas med nyckellås när de inte används eller utan tillsyn.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISO 27001:2022 implementering och efterlevnad är enkel med vår steg-för-steg checklista som guidar dig genom hela processen.

Din komplett efterlevnadslösning för ISO/IEC 27001:2022:

  • Upp till 81 % framsteg från det ögonblick du loggar in.

  • Enkel och total överensstämmelselösning för ISO 27001:2022.

Till schema en demo, hör av dig idag.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Uppnå din första ISO 27001

Ladda ner vår gratis guide till snabb och hållbar certifiering

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer