ISO 27002:2022, Kontroll 6.7 – Fjärrarbete

Attributtabell

Attribut används för att kategorisera kontroller. Du kan omedelbart matcha ditt kontrollalternativ med allmänt använda branschfraser och specifikationer genom att använda attribut.

Attribut för kontroll 6.7 visas nedan.

Vad är syftet med kontroll 6.7?

Syftet med Kontroll 6.7 är att säkerställa att personal som arbetar på distans har adekvata åtkomstkontroller på plats för att skydda konfidentialitet, integritet och tillgänglighet av känslig eller proprietär information, processer och system från obehörig åtkomst eller avslöjande av obehöriga personer.

För att säkerställa informationssäkerheten när personal arbetar på distans bör organisationer utfärda en ämnesspecifik policy för distansarbete som definierar relevanta villkor och begränsningar för informationssäkerhet. Policyn bör distribueras till all personal och innehålla vägledning om hur de kan använda fjärråtkomsttekniker på ett säkert och säkert sätt.

En ämnesspecifik policy som denna kommer sannolikt att täcka:

• De omständigheter under vilka distansarbete är tillåtet.
• De processer som används för att säkerställa att distansarbetare har behörighet att få tillgång till konfidentiell information.
• Rutinerna för att säkerställa att information är skyddad när den sänds mellan olika fysiska platser.

Utöver dessa grundläggande krav är det också viktigt att ha en tydligt definierad procedur för att rapportera incidenter, inklusive lämpliga kontaktuppgifter. Detta kan bidra till att minska risken för att intrång eller andra typer av säkerhetsincidenter inträffar i första hand.

Policyn kan också behöva ta itu med problem som kryptering, brandväggar och antivirusprogramuppdateringar samt utbildning av anställda om hur man använder fjärranslutning på ett säkert sätt.

Vad är inblandat och hur man uppfyller kraven

För att uppfylla kraven för kontroll 6.7 bör organisationer som tillåter distansarbete utfärda en ämnesspecifik policy för distansarbete som definierar relevanta villkor och restriktioner.

Policyn bör ses över regelbundet, särskilt när det sker någon förändring i teknik eller lagstiftning.

Policyn bör kommuniceras till alla anställda, entreprenörer och andra parter som är involverade i distansarbete.

Policyn bör dokumenteras och göras tillgänglig för alla relevanta tredje parter, inklusive tillsynsmyndigheter och revisorer.

Organisationer måste också se till att de har lämpliga åtgärder på plats för att skydda känslig eller konfidentiell information som överförs eller lagras elektroniskt under distansarbete.

I linje med bestämmelserna i kontroll 6.7 bör följande frågor beaktas:

• Den befintliga eller föreslagna fysiska säkerheten för fjärrarbetsplatsen, med hänsyn till den fysiska säkerheten på platsen och den lokala miljön, inklusive de olika jurisdiktionerna där personal finns.
• Regler och säkerhetsmekanismer för den avlägsna fysiska miljön såsom låsbara arkivskåp, säker transport mellan platser och regler för fjärråtkomst, clear desk, utskrift och kassering av information och andra tillhörande tillgångar, och informationssäkerhetshändelserapportering.
• De förväntade fysiska distansarbetsmiljöerna.
• Kommunikationssäkerhetskraven, med hänsyn till behovet av fjärråtkomst till organisationens system, känsligheten hos den information som ska nås och skickas över kommunikationslänken och känsligheten hos systemen och applikationerna.
• Användning av fjärråtkomst såsom virtuell skrivbordsåtkomst som stöder bearbetning och lagring av information på privatägd utrustning.
• Hotet om obehörig åtkomst till information eller resurser från andra personer på fjärrarbetsplatsen (t.ex. familj och vänner).
• Hotet om obehörig åtkomst till information eller resurser från andra personer på offentliga platser.
• Användningen av hemnätverk och offentliga nätverk samt krav eller begränsningar för konfigurationen av trådlösa nätverkstjänster.
• Användning av säkerhetsåtgärder, såsom brandväggar och skydd mot skadlig programvara.
• Säkra mekanismer för att distribuera och initiera system på distans.
• Säkra mekanismer för autentisering och aktivering av åtkomstprivilegier med hänsyn till sårbarheten hos enfaktorsautentiseringsmekanismer där fjärråtkomst till organisationens nätverk är tillåten.

De riktlinjer och åtgärder som ska övervägas bör omfatta:

1. Tillhandahållande av lämplig utrustning och förvaringsmöbler för distansarbete, där användning av privatägd utrustning som inte står under organisationens kontroll inte är tillåten.
2. En definition av det tillåtna arbetet, klassificeringen av information som kan lagras och de interna system och tjänster som distansarbetaren har behörighet att komma åt.
3. Tillhandahållande av utbildning för dem som arbetar på distans och de som ger stöd. Detta bör inkludera hur man gör affärer på ett säkert sätt samtidigt som man arbetar på distans.
4. Tillhandahållande av lämplig kommunikationsutrustning, inklusive metoder för att säkra fjärråtkomst, såsom krav på enhetsskärmlås och inaktivitetstimer.
5. Aktivering av enhetsplatsspårning.
6. Installation av fjärrtorkningsfunktioner.
7. Fysisk säkerhet.
8. Regler och vägledning om familjens och besökarens tillgång till utrustning och information.
9. Tillhandahållande av hård- och mjukvarustöd och underhåll.
10. Tillhandahållande av försäkring.
11. Rutinerna för backup och affärskontinuitet.
12. Revision och säkerhetsövervakning.
13. Återkallelse av behörighet och åtkomsträtt och återlämnande av utrustning när distansarbetet upphör.

Ändringar och skillnader från ISO 27002:2013

Kontroll 6.7 i ISO 27002:2022 är en modifierad version av kontroll 6.2.2 i ISO 27002:2013 och är inte en ny kontroll.

Även om dessa två kontroller har många egenskaper, skiljer de sig något åt ​​i nomenklatur och formuleringar. Kontrollnamnet är till exempel inte detsamma. Kontroll 6.2.2 i ISO 27002:2013 kallas distansarbete. Kontroll 6.7 hänvisar till det som fjärrarbete. Samtidigt ersattes distansarbete med distansarbete i den nya versionen av standarden.

I kontroll 6.7, ISO 27002:2022, definierar standarden vad distansarbete är och vilka typer av arbete som kan kvalificeras som distansarbete. Detta inkluderar distansarbete, som är det ursprungliga kontrollnamnet i 2013 års version av standarden.

Implementeringsriktlinjerna är något liknande även om språket och termerna är olika. Version 2022 använde mycket användarvänligt språk för att säkerställa att användarna av standarden kan förstå vad de gör.

Som sagt, några punkter lades till i kontroll 6.7 och några togs bort från kontroll 6.2.2.

Tillagd till Control 6.7 Remote Working

• regler och säkerhetsmekanismer för den avlägsna fysiska miljön såsom låsbara arkivskåp, säker transport mellan platser och regler för fjärråtkomst, clear desk, utskrift och kassering av information och andra tillhörande tillgångar och informationssäkerhetshändelserapportering.
• förväntade fysiska distansarbetsmiljöer.
• hotet om obehörig åtkomst till information eller resurser från andra personer på offentliga platser.
• säkra mekanismer för att distribuera och initiera system på distans.
• säkra mekanismer för autentisering och aktivering av åtkomstprivilegier med hänsyn till sårbarheten hos enfaktorsautentiseringsmekanismer där fjärråtkomst till organisationens nätverk tillåts.

Borttagen från kontroll 6.2.2 Distansarbete

• Användningen av hemnätverk och krav eller begränsningar för konfigurationen av trådlösa nätverkstjänster.
• Policyer och rutiner för att förhindra tvister om rättigheter till immateriella rättigheter utvecklade på privatägd utrustning.
• Tillgång till privatägd utrustning (för att verifiera maskinens säkerhet eller under en utredning), vilket kan förhindras av lagstiftning.
• Programvarulicensavtal som är sådana att organisationer kan bli ansvariga för licensiering av klientprogramvara på arbetsstationer som ägs privat av anställda eller externa användare.

Dessutom tillhandahåller ISO 27002 version 2022 uttalanden av syfte och attributtabeller för varje kontroll, vilket hjälper användare att bättre förstå och implementera kontrollerna.

2013-versionen har inte dessa två delar.

Vem är ansvarig för denna process?

Det primära ansvaret för att skapa en informationssäkerhetspolicy för distansarbetare ligger hos organisationens informationssäkerhetsansvarige. Men även andra intressenter bör involveras i processen.

Detta inkluderar IT-chefer, som ansvarar för att implementera och underhålla policyn, samt HR-chefer, som ansvarar för att medarbetarna förstår den och följer den.

Om du har ett leverantörshanteringsprogram beror svaret på vem som är ansvarig för att hantera entreprenörer och leverantörer i allmänhet. I de flesta fall skulle denna person också vara ansvarig för att skapa en informationssäkerhetspolicy för distansarbetare på den avdelningen.

Vad betyder dessa förändringar för dig?

ISO 27002 ändrades inte nämnvärt så du behöver inte göra mycket förutom att kontrollera att dina informationssäkerhetsprocesser är i linje med uppgraderingen.

Den huvudsakliga förändringen var att modifiera några av kontrollerna och att förtydliga några av kraven. Den huvudsakliga effekten när det gäller kontroll 6.7 är att om du lägger ut någon av dina verksamheter till en tredje part eller har personer som arbetar på distans, måste du se till att de har en lämplig nivå av säkerhetskontroller på plats.

Om du har en befintlig ISO 27001-certifiering kommer din nuvarande process för att hantera informationssäkerhet att uppfylla de nya kraven.

Det betyder att om du funderar på att förnya din nuvarande ISO 27001-certifiering behöver du inte göra någonting alls. Du måste bara se till att dina processer fortfarande överensstämmer med den nya standarden.

Om du däremot börjar om från början, måste du fundera lite över hur ditt företag kan förberedas för cyberattacker och andra hot mot dess informationstillgångar.

Huvudsaken är att det är viktigt att behandla cyberrisker tillräckligt seriöst så att de hanteras som en del av din övergripande affärsstrategi snarare än att behandlas som en separat fråga enbart av IT- eller säkerhetsavdelningar.

Hur ISMS.Online hjälper

ISMS.Online-plattformen hjälper till med alla aspekter av implementering av ISO 27002, från att hantera riskbedömningsaktiviteter till att utveckla policyer, procedurer och riktlinjer för att uppfylla standardens krav.

Det ger ett sätt att dokumentera dina resultat och kommunicera dem med dina teammedlemmar online. ISMS.Online låter dig också skapa och spara checklistor för alla uppgifter som är involverade i implementeringen av ISO 27002, så att du enkelt kan spåra framstegen i din organisations säkerhetsprogram.

Med sin automatiserade verktygsuppsättning gör ISMS.Online det enkelt för organisationer att visa överensstämmelse med ISO 27002-standarden.

Kontakta oss idag för att schema en demo.