Kontroll 7.1 i den nya ISO 27002:2022 täcker behovet för organisationer att definiera och ställa in säkerhetsperimetrar och använda dessa parametrar för att skydda områden som innehåller information och andra tillhörande tillgångar.
Information kan definieras som all data, information eller kunskap som har värde för din organisation eller verksamhet. Detta inkluderar all data som samlas in om individer, kunder, partners, anställda och andra intressenter.
Informationssäkerhetstillgångar kan grovt delas in i:
Data förväxlas ofta med information men det finns en skillnad mellan data och information. Data är rå, obearbetad och ofta oanvändbar i sitt nuvarande tillstånd medan information är data som har bearbetats till användbara delar av information som en e-postadress eller ett telefonnummer.
Infrastruktur avser alla komponenter som utgör ett nätverk inklusive servrar och andra enheter som skrivare och routrar etc.
Infrastrukturen kan också inkludera mjukvara som operativsystem och applikationer som bör skyddas mot cyberattacker lika mycket som hårdvara eftersom båda måste hållas uppdaterade med patchar och fixar för sårbarheter som upptäckts av hackare så att de inte kan utnyttjas av illvilliga hackare som vill få tillgång till känslig data.
Fysisk säkerhet avser alla fysiska åtgärder som skyddar en organisations anläggningar och tillgångar. Fysisk säkerhet är den mest grundläggande och viktigaste delen av informationssäkerhet. Det handlar inte bara om att låsa dörren utan också att veta vem som har tillgång till vad, när, var och hur.
Fysiska säkerhetsomkretsar används för att identifiera de fysiska gränserna för en byggnad eller ett område och kontrollera åtkomsten till den. Fysiska säkerhetsområden kan omfatta staket, murar, grindar och andra barriärer som förhindrar obehörig åtkomst av människor eller fordon. Förutom fysiska barriärer kan elektronisk övervakningsutrustning som TV-kameror med slutna kretsar användas för att övervaka aktivitet utanför anläggningen.
Fysiska säkerhetsperimetrar ger en första försvarslinje mot inkräktare som kan försöka ta sig in i ditt datorsystem via nätverkskabeln eller trådlös anslutning i en organisation. De används ofta i kombination med andra typer av informationssäkerhetskontroller såsom identitetshantering, åtkomstkontroll och intrångsdetekteringssystem.
Attribut är ett sätt att klassificera kontroller. Attribut gör att du snabbt kan matcha ditt kontrollval med typiska industrispecifikationer och terminologi. Följande kontroller är tillgängliga i kontroll 7.1.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Fysisk säkerhet | #Skydd |
Kontroll 7.1 säkerställer att en organisation kan visa att den har tillräckliga fysiska säkerhetsperimetrar på plats för att förhindra obehörig fysisk åtkomst till information och andra tillhörande tillgångar.
Detta inkluderar att förhindra:
Fysiska säkerhetsperimetrar kan implementeras genom följande två kategorier:
Fysisk tillträdeskontroll: Ger kontroller över tillträde till anläggningar och byggnader, såväl som rörelsen inom dem. Dessa kontroller inkluderar låsning av dörrar, användning av larm på dörrar, användning av staket eller barriärer runt anläggningar, etc.
Hårdvarusäkerhet: Ger kontroller över fysisk utrustning (t.ex. datorer) som används av en organisation för att behandla data som skrivare och skannrar som kan innehålla känslig information.
Implementering av denna kontroll kan också omfatta obehörig användning av anläggningsutrymme, utrustning och förnödenheter för att skydda information och andra tillhörande tillgångar, såsom konfidentiella dokument, register och utrustning.
Följande riktlinjer bör övervägas och implementeras när det är lämpligt för fysiska säkerhetsområden:
Du kan få mer information om vad som innebär att uppfylla kraven för kontrollen i standarddokumentet ISO 27002:2022.
Den nya 2022-revideringen av ISO 27002 publicerades den 15 februari 2022 och är en uppgradering av ISO 27002:2013.
11 nya kontroller lades till denna version av ISO 27002. Kontroll 7.1 är dock inte en ny kontroll, utan det är en modifierad version av kontroll 11.1.1 i 2013 års version av ISO 27002. Den stora skillnaden mellan 2013 och 2022 version är byte av kontrollnummer.
Kontrollnumret 11.1.1 ersattes med 7.1. Bortsett från det är sammanhanget och innebörden i stort sett lika, även om den frasologin är annorlunda.
En annan skillnad mellan båda kontrollerna är att implementeringskraven reducerades i 2022 års version.
Följande krav som finns tillgängliga i kontroll 11.1.1 i ISO 27002:2013 saknas i kontroll 7.1:
Dessa utelämnanden gör inte på något sätt den nya standarden mindre effektiv, istället togs de bort för att göra den nya kontrollen mer användarvänlig.
Informatören är den som ansvarar för informationssäkerheten. Denna person är ansvarig för att implementera policyer och procedurer för att skydda företagets data och system. CIO:n arbetar vanligtvis med andra chefer, såsom finanschefen och verkställande direktören, för att säkerställa att säkerhetsåtgärder beaktas vid affärsbeslut.
Ekonomichefen är också involverad i att fatta beslut om fysiska säkerhetsperimetrar. Han eller hon samarbetar med andra medlemmar i C-sviten – inklusive CIO – för att avgöra hur mycket pengar som ska tilldelas fysiska säkerhetsåtgärder som övervakningskameror, åtkomstkontroller och larm.
Den nya ISO 27002:2022 är ingen större revidering. Därför behöver du inte implementera några allvarliga ändringar för att vara kompatibel med den senaste versionen av ISO 27002.
Du bör dock överväga att se över din nuvarande implementering och se till att den överensstämmer med de nya kraven. I synnerhet om du har gjort några ändringar sedan den tidigare versionen publicerades 2013. Det är värt att ta en titt på dessa ändringar igen för att se om de fortfarande är giltiga eller om de behöver ändras.
Som sagt, du kan få mer information om hur den nya ISO 27002 kommer att påverka dina informationssäkerhetsprocesser och ISO 27001-certifiering genom att läsa vår ISO 27002:2022-guide.
ISMS.online kan också hjälpa till med att visa efterlevnad av ISO 27002 genom att förse dig med ett onlinesystem som låter dig lagra alla dina dokument på ett ställe och göra dem tillgängliga för alla som behöver dem. Systemet låter dig också skapa checklistor för varje dokument så att det är enkelt för alla som är inblandade i att göra ändringar eller granska dokument för att se vad som behöver göras härnäst och när det ska göras.
Vill du se hur det fungerar?
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
