ISO 27001:2022 Annex A 8.1 – User Endpoint Devices

• Se ISO 27002:2022 Kontroll 8.1 för mer information.
• Se ISO 27001:2013 bilaga A 6.2.1 för mer information.
• Se ISO 27001:2013 bilaga A 11.2.8 för mer information.

Protecting Endpoint Devices: En guide till ISO 27001 Annex A 8.1

Övergången till fjärrarbete och det ökade beroendet av mobila enheter har varit fördelaktigt för de anställdas produktivitet och kostnadsbesparingar för organisationer. Tyvärr är användarslutpunkter som bärbara datorer, mobiltelefoner och surfplattor mottagliga för cyberhot. Cyberkriminella utnyttjar ofta dessa enheter för att få olaglig tillgång till företagsnätverk och äventyra konfidentiell information.

Cyberbrottslingar kan försöka rikta in sig på anställda med nätfiske och övertala dem att ladda ner en bifogad fil som är infekterad med skadlig programvara, som kan användas för att sprida skadlig programvara i företagets nätverk. Detta kan leda till förlust av tillgänglighet, integritet eller konfidentialitet för informationstillgångar.

A undersökning av 700 IT-proffs avslöjade att 70 % av organisationerna upplevde ett intrång i sina informationstillgångar och IT-infrastruktur på grund av en attack på användarenheter 2020.

ISO 27001: 2022 Bilaga A Kontroll 8.1 beskriver steg som organisationer kan vidta för att säkerställa att deras informationstillgångar som lagras eller bearbetas på användarens slutpunktsenheter är skyddade från kompromiss, förlust eller stöld. Detta inkluderar att upprätta, underhålla och implementera relevanta policyer, procedurer och tekniska åtgärder.

Syftet med ISO 27001:2022 bilaga A 8.1

ISO 27001: 2022 Bilaga A 8.1 tillåter företag att skydda och upprätthålla säkerhet, konfidentialitet, integritet och tillgänglighet för informationstillgångar som lagras på eller är tillgängliga från slutpunktsanvändarenheter. Detta uppnås genom att upprätta lämpliga policyer, rutiner och kontroller.

Äganderätt till bilaga A 8.1

Smakämnen Chef för informationssäkerhet bör ta ansvar för att säkerställa överensstämmelse med kraven i ISO 27001:2022 bilaga A Kontroll 8.1, vilket kräver skapandet och underhållet av organisationsomfattande policy, procedurer och tekniska åtgärder.

Allmän vägledning om ISO 27001:2022 bilaga A 8.1 Överensstämmelse

Organisationer måste, enligt ISO 27001:2022 Annex Al 8.1, skapa en policy som täcker säker konfiguration och användning av användarens slutpunktsenheter.

Personalen måste göras medveten om denna policy, som omfattar:

• Vilken typ av data, särskilt när det gäller säkerhetsnivå, kan bearbetas, sparas eller användas i användarens slutpunkter?
• Enheter måste registreras.
• Fysiskt skydd av enheter är obligatoriskt.
• Det är förbjudet att installera program på enheter.
• Regler för installation av programvara på enheter och uppdatering av programvara måste följas.
• Reglerna som styr anslutningen av användarens slutpunktsenheter till det offentliga nätverket eller till nätverk som är belägna utanför platsen.
• Åtkomstkontroller.
• De lagringsmedier som innehåller informationstillgångar måste vara krypterade.
• Enheter ska skyddas mot intrång av skadlig programvara.
• Enheter kan inaktiveras eller blockeras från användning, och data som lagras i dem kan raderas på distans.
• Back-up planer och protokoll bör finnas på plats.
• Regler för användning av webbapplikationer och tjänster.
• Analysera slutanvändarnas beteende för att få insikter i hur de interagerar med systemet.
• Flyttbara lagringsmedia, såsom USB-enheter, kan användas med stor effekt. Dessutom kan fysiska portar, t.ex. USB-portar, inaktiveras.
• Segregationsfunktioner kan användas för att hålla organisationens informationstillgångar åtskilda från andra tillgångar som sparats på användarenheten.

Organisationer bör tänka på att förbjuda lagring av känsliga data på användarens slutpunktsenheter via tekniska kontroller, enligt den allmänna råden.

Inaktivering av lokala lagringsfunktioner som SD-kort kan vara en av de tekniska kontrollerna som används.

Organisationer bör implementera Configuration Management som beskrivs i ISO 27001:2022 Annex A Control 8.9 och använda automatiserade verktyg.

Kompletterande vägledning om användaransvar

Personalen bör informeras om säkerheten åtgärder för användarens slutpunktsenheter och deras skyldigheter att följa dem. Dessutom bör de förstå sin roll i genomförandet av dessa åtgärder och procedurer.

Organisationer bör instruera personalen att följa följande regler och processer:

• När en tjänst inte längre behövs eller en session har avslutats ska användare logga ut och avsluta tjänsten.
• Personal bör inte lämna sina enheter utan tillsyn. När den inte används ska personalen säkerställa säkerheten av sina enheter genom att använda fysiska åtgärder som nyckellås och tekniska åtgärder som starka lösenord.
• Personal bör iaktta extra försiktighet när de använder slutpunktsenheter som innehåller konfidentiell data på offentliga platser som saknar säkerhet.
• Användarens slutpunktsenheter måste skyddas mot stöld, särskilt på farliga platser som hotellrum, mötesrum eller kollektivtrafik.

Organisationer bör utforma ett speciellt system för att hantera förlust eller stöld av användarens slutpunktsenheter. Detta system måste konstrueras med hänsyn till juridiska, avtalsmässiga och säkerhetsmässiga behov.

Kompletterande vägledning om användning av personliga enheter (BYOD)

Att tillåta personal att använda sina egna enheter för arbetsrelaterade aktiviteter kan spara pengar för organisationer, men det utsätter konfidentiell data för potentiella risker.

ISO 27001:2022 bilaga A 8.1 föreslår fem saker för organisationer att ta hänsyn till när de tillåter personal att använda sina personliga enheter för arbetsrelaterade aktiviteter:

1. Tekniska åtgärder såsom mjukvaruverktyg bör införas för att separera personlig och affärsmässig användning av enheter, för att skydda organisationens information.
2. Personal kan ha tillgång till sin egen enhet under förutsättning att de samtycker till följande:
• Personalen erkänner sin plikt att fysiskt skydda enheter och uppfylla viktiga programuppdateringar.
• Personalen samtycker till att inte hävda några äganderätter över företagets data.
• Personalen håller med om att data i enheten kan raderas på distans om den försvinner eller blir stulen, i enlighet med juridiska riktlinjer för personlig information.
3. Sätt upp riktlinjer för rättigheter till immateriella rättigheter som genereras med hjälp av användarens slutpunktsprylar.
4. När det gäller de lagstadgade begränsningarna för sådan åtkomst, hur personalens privata enheter kommer att nås.
5. Att tillåta personal att använda sina individuella prylar kan medföra juridiskt ansvar som orsakas av tillämpningen av programvara från tredje part på dessa prylar. Företag bör reflektera över de programvarulicensavtal de har med sina leverantörer.

Kompletterande vägledning om trådlösa anslutningar

Organisationer bör skapa och upprätthålla metoder för:

• Konfigurering av de trådlösa anslutningarna på enheterna bör göras med försiktighet. Se till att varje anslutning är säker och pålitlig.
• Trådlösa eller trådbundna anslutningar, med bandbredd för att följa ämnesspecifika policyer, måste användas.

Ytterligare vägledning om bilaga A 8.1

När anställda tar ut sina slutpunktsenheter ur organisationen kan data som lagras på dem löpa större risk att äventyras. Följaktligen måste organisationer implementera olika skyddsåtgärder för enheter som används utanför deras lokaler.

ISO 27001:2022 bilaga A 8.1 varnar organisationer för två risker förknippade med trådlösa anslutningar som kan leda till förlust av data:

1. Trådlösa anslutningar med begränsad kapacitet kan leda till att säkerhetskopieringen av data går sönder.
2. Användarslutpunkter kan ibland tappa anslutningen till det trådlösa nätverket och schemalagda säkerhetskopieringar kan vackla. För att säkerställa datasäkerhet och tillförlitlighet bör regelbundna säkerhetskopieringar göras och anslutningen till det trådlösa nätverket bör övervakas regelbundet.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.1 ersätter ISO 27001:2013 bilaga A 6.2.1 och bilaga A 12.2.8 i den reviderade 2022 års standard.

Strukturella skillnader

Till skillnad från ISO 27001:2022 som har en enda kontroll som täcker användarens slutpunktsenheter (8.1), innehöll ISO 27001:2013 två separata kontroller: policy för mobila enheter (bilaga A, kontroll 6.2.1) och obevakad användarutrustning (kontroll 11.2.8) ).

Medan ISO 27001:2022 bilaga A Kontroll 8.1 täcker alla användarens slutpunktsenheter som bärbara datorer, surfplattor och mobiltelefoner, riktade 2013-versionen endast till mobila enheter.

ISO 27001:2022 föreskriver ytterligare krav på användaransvar

Båda versionerna av avtalet kräver en viss nivå av personligt ansvar från användarna; 2022-versionen har dock ett extra krav:

• Personal bör iaktta extra försiktighet när de använder endpoint-enheter som innehåller känsliga uppgifter i offentliga utrymmen som kan vara osäkra.

ISO 27001:2022 är mer omfattande när det gäller BYOD

Jämfört med 2013 introducerar bilaga A 8.1 2022 tre nya krav för BYOD (Bring Your Own Device)-användning av personal:

1. Det är nödvändigt att upprätta policyer rörande immateriella rättigheter för skapelser gjorda med användarens slutpunktsenheter. Sådan policy måste vara korrekt och tydlig och säkerställa att alla relevanta parter erkänner sina rättigheter och skyldigheter.
2. Med tanke på de juridiska begränsningarna för åtkomst till personalens privata enheter, hur kommer detta att hanteras?
3. Att tillåta personal att använda sina egna enheter kan resultera i juridiskt ansvar på grund av användningen av programvara från tredje part på dessa enheter. Organisationer bör tänka på de programvarulicensavtal som de har med sina leverantörer.

ISO 27001:2022 kräver en mer detaljerad ämnesspecifik policy

I jämförelse med ISO 27001:2013 måste organisationer nu implementera en policy som är specifik för varje ämne på användarenheter.

ISO 27001:2022 bilaga A 8.1 är mer omfattande och innehåller tre nya element som ska inkluderas:

1. Analys av slutanvändarnas beteende gjordes.
2. USB-enheter är ett utmärkt sätt att överföra data, och fysiska USB-portar kan inaktiveras för att förhindra sådana överföringar.
3. Segregering av organisationens informationstillgångar kan uppnås genom att dra nytta av tekniska möjligheter. Detta gör att tillgångarna kan separeras från andra tillgångar som lagras på användarenheten.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Hur ISMS.online Hjälp

ISMS.online är mjukvaran för ISO 27001:2022 för ledningssystem. Det underlättar efterlevnaden av standarden och hjälper organisationer att anpassa sina säkerhetspolicyer och rutiner.

Denna molnbaserad plattform erbjuder ett komplett utbud av verktyg för att hjälpa företag att skapa ett ISMS (Information Security Management System) som följer ISO 27001.

Kontakta oss nu för att arrangera en demonstration.