Kontroll 6.7, Remote Working är en kontroll i den reviderade ISO 27002:2022. Den rekommenderar att organisationer bör ha en policy för distansarbete samt ett hanteringssystem för informationssäkerhet som inkluderar procedurer för att säkra fjärråtkomst till informationssystem och nätverk.
Distansarbete har blivit vanligare i takt med att tekniken har utvecklats och det är nu möjligt för anställda att arbeta hemifrån utan att skada produktiviteten eller effektiviteten. Det kan dock också ge upphov till vissa farhågor om datasäkerhet.
Om du är företagare vill du veta hur du skyddar din immateriella egendom mot cyberbrottslingar och säkerställer att din data är säker från hackare.
Här är några informationssäkerhetskonsekvenser av distansarbete:
Att arbeta på distans kan vara fördelaktigt eftersom det möjliggör enklare tillgång till känslig information och system. Men distansarbete har flera säkerhetskonsekvenser.
Fjärrarbete, om det inte hanteras på rätt sätt, kan vara känsligt för säkerhetsrisker som hackning, skadlig programvara, obehörig åtkomst och andra. Detta gäller särskilt när anställda inte fysiskt befinner sig i en säker miljö.
Fjärrarbete kan också påverka den fysiska säkerheten för ett företag. Detta beror på att det kan innebära att anställda inte längre fysiskt befinner sig i ett kontor eller en byggnad och därför kanske inte är lika benägna att se eller höra misstänkt aktivitet.
Distansarbete kan också innebära vissa risker när det gäller sekretess. Till exempel kan anställda komma åt konfidentiell information på distans och komma åt den utan företagets medgivande.
Dessutom kan anställda enkelt komma åt känslig företagsinformation på det offentliga internet. Det finns faktiskt till och med webbplatser där anställda kan ladda upp känslig information så att alla kan se dem.
Fjärrarbete kan också påverka en organisations integritet. Till exempel, om anställda arbetar hemifrån, kan de vara mer benägna att lämna sina personliga tillhörigheter liggande.
Dessa tillhörigheter kan innehålla känslig information som kan äventyra ett företags integritet.
Distansarbete kan också utgöra en risk för ett företags data. Till exempel kan anställda komma åt företagsdata på distans, som kan lagras på en mängd olika platser.
Detta kan inkludera data på datorer, servrar och mobila enheter. Om medarbetaren lämnar kontoret och tar enheten kan det vara svårare att återställa data.
Dessutom kan den anställde göra ett misstag eller göra något skadligt med enheten, vilket kan äventyra data.
Attribut används för att kategorisera kontroller. Du kan omedelbart matcha ditt kontrollalternativ med allmänt använda branschfraser och specifikationer genom att använda attribut.
Attribut för kontroll 6.7 visas nedan.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Asset Management #Informationsskydd #Fysisk säkerhet #System- och nätverkssäkerhet | #Skydd |
Syftet med Kontroll 6.7 är att säkerställa att personal som arbetar på distans har adekvata åtkomstkontroller på plats för att skydda konfidentialitet, integritet och tillgänglighet av känslig eller proprietär information, processer och system från obehörig åtkomst eller avslöjande av obehöriga personer.
För att säkerställa informationssäkerheten när personal arbetar på distans bör organisationer utfärda en ämnesspecifik policy för distansarbete som definierar relevanta villkor och begränsningar för informationssäkerhet. Policyn bör distribueras till all personal och innehålla vägledning om hur de kan använda fjärråtkomsttekniker på ett säkert och säkert sätt.
En ämnesspecifik policy som denna kommer sannolikt att täcka:
Utöver dessa grundläggande krav är det också viktigt att ha en tydligt definierad procedur för att rapportera incidenter, inklusive lämpliga kontaktuppgifter. Detta kan bidra till att minska risken för att intrång eller andra typer av säkerhetsincidenter inträffar i första hand.
Policyn kan också behöva ta itu med problem som kryptering, brandväggar och antivirusprogramuppdateringar samt utbildning av anställda om hur man använder fjärranslutning på ett säkert sätt.
För att uppfylla kraven för kontroll 6.7 bör organisationer som tillåter distansarbete utfärda en ämnesspecifik policy för distansarbete som definierar relevanta villkor och restriktioner.
Policyn bör ses över regelbundet, särskilt när det sker någon förändring i teknik eller lagstiftning.
Policyn bör kommuniceras till alla anställda, entreprenörer och andra parter som är involverade i distansarbete.
Policyn bör dokumenteras och göras tillgänglig för alla relevanta tredje parter, inklusive tillsynsmyndigheter och revisorer.
Organisationer måste också se till att de har lämpliga åtgärder på plats för att skydda känslig eller konfidentiell information som överförs eller lagras elektroniskt under distansarbete.
I linje med bestämmelserna i kontroll 6.7 bör följande frågor beaktas:
De riktlinjer och åtgärder som ska övervägas bör omfatta:
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Kontroll 6.7 i ISO 27002:2022 är en modifierad version av kontroll 6.2.2 i ISO 27002:2013 och är inte en ny kontroll.
Även om dessa två kontroller har många egenskaper, skiljer de sig något åt i nomenklatur och formuleringar. Kontrollnamnet är till exempel inte detsamma. Kontroll 6.2.2 i ISO 27002:2013 kallas distansarbete. Kontroll 6.7 hänvisar till det som fjärrarbete. Samtidigt ersattes distansarbete med distansarbete i den nya versionen av standarden.
I kontroll 6.7, ISO 27002:2022, definierar standarden vad distansarbete är och vilka typer av arbete som kan kvalificeras som distansarbete. Detta inkluderar distansarbete, som är det ursprungliga kontrollnamnet i 2013 års version av standarden.
Implementeringsriktlinjerna är något liknande även om språket och termerna är olika. Version 2022 använde mycket användarvänligt språk för att säkerställa att användarna av standarden kan förstå vad de gör.
Som sagt, några punkter lades till i kontroll 6.7 och några togs bort från kontroll 6.2.2.
Dessutom tillhandahåller ISO 27002 version 2022 uttalanden av syfte och attributtabeller för varje kontroll, vilket hjälper användare att bättre förstå och implementera kontrollerna.
2013-versionen har inte dessa två delar.
Det primära ansvaret för att skapa en informationssäkerhetspolicy för distansarbetare ligger hos organisationens informationssäkerhetsansvarige. Men även andra intressenter bör involveras i processen.
Detta inkluderar IT-chefer, som ansvarar för att implementera och underhålla policyn, samt HR-chefer, som ansvarar för att medarbetarna förstår den och följer den.
Om du har ett leverantörshanteringsprogram beror svaret på vem som är ansvarig för att hantera entreprenörer och leverantörer i allmänhet. I de flesta fall skulle denna person också vara ansvarig för att skapa en informationssäkerhetspolicy för distansarbetare på den avdelningen.
ISO 27002 ändrades inte nämnvärt så du behöver inte göra mycket förutom att kontrollera att dina informationssäkerhetsprocesser är i linje med uppgraderingen.
Den huvudsakliga förändringen var att modifiera några av kontrollerna och att förtydliga några av kraven. Den huvudsakliga effekten när det gäller kontroll 6.7 är att om du lägger ut någon av dina verksamheter till en tredje part eller har personer som arbetar på distans, måste du se till att de har en lämplig nivå av säkerhetskontroller på plats.
Om du har en befintlig ISO 27001-certifiering kommer din nuvarande process för att hantera informationssäkerhet att uppfylla de nya kraven.
Det betyder att om du funderar på att förnya din nuvarande ISO 27001-certifiering behöver du inte göra någonting alls. Du måste bara se till att dina processer fortfarande överensstämmer med den nya standarden.
Om du däremot börjar om från början, måste du fundera lite över hur ditt företag kan förberedas för cyberattacker och andra hot mot dess informationstillgångar.
Huvudsaken är att det är viktigt att behandla cyberrisker tillräckligt seriöst så att de hanteras som en del av din övergripande affärsstrategi snarare än att behandlas som en separat fråga enbart av IT- eller säkerhetsavdelningar.
ISMS.Online-plattformen hjälper till med alla aspekter av implementering av ISO 27002, från att hantera riskbedömningsaktiviteter till att utveckla policyer, procedurer och riktlinjer för att uppfylla standardens krav.
Det ger ett sätt att dokumentera dina resultat och kommunicera dem med dina teammedlemmar online. ISMS.Online låter dig också skapa och spara checklistor för alla uppgifter som är involverade i implementeringen av ISO 27002, så att du enkelt kan spåra framstegen i din organisations säkerhetsprogram.
Med sin automatiserade verktygsuppsättning gör ISMS.Online det enkelt för organisationer att visa överensstämmelse med ISO 27002-standarden.
Kontakta oss idag för att schema en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |