ISO 27001:2022 Bilaga A Kontroll 7.9

Säkerhet för tillgångar utanför lokaler

Boka en demo

img building 1020x680 1

När enheter som innehåller värdefulla informationstillgångar tas bort från organisationens fysiska plats är de mer mottagliga för skada, stöld, förlust, förstörelse eller intrång.

Fysiska säkerhetskontroller inom en organisations anläggningar kommer inte att vara effektiva, vilket gör att dess tillgångar utanför platsen blir utsatta för hot som fysiska risker och illvilliga individer som försöker få obehörig åtkomst.

Partners arbetar på distans kan ta företagsdatorer med konfidentiell data bort från verksamheten, arbeta på ett kafé, hotellobby, etc, ansluta till osäkrat offentligt Wi-Fi och lämna sina enheter oövervakade. Dessa åtgärder utgör en risk för säkerheten, konfidentialitet, integritet och tillgänglighet för informationen som finns på enheterna.

Organisationer bör se till att enheter som tas utanför lokalerna förblir säkra.

ISO 27001:2022 bilaga A 7.9 beskriver hur organisationer kan säkerställa säkerheten för enheter som är placerade borta från huvudplatsen och som är värd för informationstillgångar. De måste upprätta lämpliga kontroller och rutiner för att uppnå detta.

Syftet med ISO 27001:2022 bilaga A 7.9

ISO 27001: 2022 Bilaga A 7.9 tillåter organisationer att skydda säkerheten för informationstillgångar som finns i hårdvara genom att motverka två distinkta risker:

  • Minimerar risken för att datatillgångar i enheter utanför platsen går förlorade, skadas, förstörs eller exponeras.

  • Att undvika avbrott i företagets databehandling operationer från intrång i externa enheter.

Äganderätt till bilaga A 7.9

ISO 27001:2022 Annex A 7.9 kräver att organisationer upprättar och implementerar protokoll och regler som täcker alla enheter som ägs eller används för företagets räkning. Dessutom är det viktigt för ett effektivt skydd av enheter utanför anläggningen att en tillgångsinventering skapas och att den högsta ledningen godkänner användningen av personliga enheter.

Smakämnen Informationssäkerhetschef bör rådgöra med ledning och tillgångsägare och ansvara för att utveckla, genomföra och upprätthålla rutiner och åtgärder för att säkerställa säkerheten för enheter som tas bort från företagets lokaler.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 7.9 Överensstämmelse

Bilaga A 7.9 beskriver sex nödvändigheter som organisationer måste iaktta när de konstruerar och tillämpar åtgärder och protokoll för att skydda tillgångar som tas bort från lokalerna:

  1. Datorer, USB-enheter, hårddiskar och bildskärmar som tagits utanför anläggningen av företaget bör aldrig lämnas utan tillsyn i allmänna utrymmen som kaféer, och inte heller på någon osäker plats.

  2. Följ alltid enhetstillverkarens instruktioner och specifikationer angående fysiskt skydd av enheten. Följ till exempel deras instruktioner om att skydda enheten från vatten, värme, elektromagnetiska fält och damm.

  3. Anställda och andra organisationer som tar datorutrustning utanför företagets lokaler bör föra en logg som beskriver förvarskedjan. Denna logg bör åtminstone innehålla namnen på de personer som är ansvariga för enheten och deras organisation.

  4. Om en organisation finner att auktorisation är nödvändig och praktisk för att avlägsna utrustning från företagets lokaler, bör de upprätta ett förfarande. Denna procedur bör täcka tagande av viss utrustning utanför anläggningen och föra ett register över alla borttagningsåtgärder för att ge organisationen en revisionsspår.

  5. Det är viktigt att vidta nödvändiga åtgärder för att avvärja faran för otillåten visning av data på kollektivtrafikens skärmar.

  6. Organisationen bör installera platsspårningsverktyg och möjliggöra fjärråtkomst, så att enhetens plats kan övervakas och vid behov all data som lagras på enheten kan fjärrrensas.

Kompletterande vägledning om bilaga A 7.9

ISO 27001:2022 bilaga A 7.9 ställer krav på skydd av utrustning som installeras utanför företagets lokaler på permanent basis.

Denna utrustning kan bestå av antenner och bankomater.

Med tanke på den ökade risken för skada och förlust av denna utrustning, kräver bilaga A 7.9 att organisationer överväger följande när de skyddar den utanför anläggningen:

  • ISO 27001:2022 bilaga A 7.4, Fysisk säkerhetsövervakning, bör beaktas.

  • Se till att ISO 27001:2022 bilaga A 7.5 beaktas, vilket är skyddet mot miljö- och fysiska hot.

  • Åtkomstkontroller bör skapas och lämpliga åtgärder bör vidtas för att stoppa störningar.

  • Skapa och tillämpa logiska åtkomstkontroller.

Bilaga A 7.9 rekommenderar organisationer att ha bilaga A 6.7 och bilaga A 8.1 i åtanke när de formulerar och inför åtgärder för att skydda anordningar och utrustning.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 7.9 ersätter ISO 27001:2013 Bilaga A 11.2.6.

Det finns tre stora skillnader som bör noteras:

ISO 27001:2022 bilaga A Kontroll 7.9 kräver en omfattande uppsättning instruktioner.

Bilaga A 7.9 introducerar två nya krav i jämförelse med dess ISO 27001:2013-version:

  1. Lämpliga åtgärder bör vidtas för att förhindra att obehöriga ser informationen som visas i kollektivtrafiken.

  2. Platsövervakning och fjärråtkomst bör aktiveras för att möjliggöra spårning av enheten och möjligheten att radera information som lagrats på enheten på distans, om det behövs.

I bilaga A 7.9 införs nya kriterier för anordningar som är permanent placerade på avstånd från lokalerna.

I jämförelse med ISO 27001:2013-versionen ger ISO 27001:2022 Annex A 7.9 tydliga råd om skyddsutrustning som är fixerad på en annan plats.

Det kan röra sig om antenner och bankomater.

Förbudet mot distansarbete införs för att minska riskerna.

ISO 27001:2013-versionen klargjorde att organisationer kunde förbjuda anställda från distansarbete om det var förenligt med de risknivåer som hade identifierats. Däremot nämner inte ISO 27001:2022-versionen detta.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.online är det perfekta verktyget för att hantera en ISO 27001:2022-implementering. Den är skräddarsydd för att hjälpa företag att implementera en ledningssystem för informationssäkerhet (ISMS) som uppfyller standarderna i ISO 27001:2022.

Plattformen använder sig av ett riskbaserat tillvägagångssätt, tillsammans med bästa praxis och mallar i toppklass, för att hjälpa till att känna igen riskerna som din organisation står inför och nödvändiga kontroller för att hantera dem. Genom att göra det kan du effektivt minimera både din riskexponering och efterlevnadskostnader.

Kontakta oss nu för att arrangera en demonstration.

Vi kände att vi hade
det bästa av båda världar. Vi var
kunna använda vår
befintliga processer,
& Adoptera, Anpassa
innehåll gav oss nytt
djup till vårt ISMS.

Andrew Bud
Grundare, iproov

Boka din demo

Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer