Fel eller avbrott i verktyg som elektricitet, gas, vatten eller kyla som behövs för korrekt och kontinuerlig funktion av informationsbehandlingsanläggningar kan resultera i äventyra informationstillgångar eller kan avlyssna affärskontinuitet.
Till exempel kan fel på luftkonditioneringsutrustning i ett datacenter leda till en plötslig temperaturhöjning när datacentret drabbas av en värmebölja. Detta kan leda till att servrar som är värd för webbplatser och/eller kunddata stängs av och därmed leda till förlust av datatillgänglighet och avbrott i affärsverksamheten.
Kontroll 7.11 tar upp hur organisationer kan eliminera risker för informationstillgångars tillgänglighet och integritet på grund av fel på stödjande verktyg som gas, kyla, telekommunikation, vatten och elektricitet.
Kontroll 7.11 gör det möjligt för organisationer att eliminera och mildra risker för tillgängligheten och integriteten hos informationstillgångar och för kontinuitet i verksamheten genom att införa lämpliga åtgärder som skyddar stödjande verktyg mot fel och störningar såsom strömavbrott.
Kontroll 7.11 är både detektiv och förebyggande till sin natur eftersom den kräver att organisationer tar ett proaktivt tillvägagångssätt och implementerar försiktighetsåtgärder åtgärder mot riskerna till korrekt och kontinuerlig funktion av verktyg som krävs för informationsbehandlingsanläggningar såsom datacenter, nätverkssystem och datorutrustning.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande #Detektiv | #Integritet #Tillgänglighet | #Skydda #Upptäcka, detektera | #Fysisk säkerhet | #Skydd |
Kontroll 7.11 innebär identifiera risker för den löpande verksamheten att stödja verktyg och implementera lämpliga åtgärder och kontroller för att säkerställa att tillgänglighet och integritet för informationstillgångar inte påverkas av fel i dessa verktyg.
Även om anläggningsledningsgruppens roll och ansträngningar är avgörande, bör informationssäkerhetschefen bära ansvaret för efterlevnaden av kontroll 7.11.
Efter att ha betonat att stödjande verktyg som vattenförsörjning, el, kommunikation, avlopp och luftkonditionering är avgörande för de operationer som utförs i informationsbehandlingsanläggningar.
Allmänna riktlinjer listar sju viktiga rekommendationer som organisationer bör ta hänsyn till för att följa kontroll 7.11:
Bortsett från den allmänna vägledningen innehåller kontroll 7.11 rekommendationer i två specifika frågor:
Organisationer bör fastställa en nödkontaktperson och registrera hans/hennes kontaktuppgifter. Dessa uppgifter ska lämnas till all personal i händelse av ett fel eller avbrott.
Nödbrytare och ventiler för att stoppa verktyg som vatten, gas och elektricitet bör placeras nära nödutgångarna.
Nödbelysning och kommunikationer bör vara redo att användas om en nödsituation uppstår.
Organisationer kan överväga att ha ytterligare rutter från alternativa tjänsteleverantörer för att öka nätverksanslutningen så att misslyckanden eller störningar av stödjande verktyg förhindras.
27002:2022/7.11 replaces 27002:2013/(11.2.2)
Även om 2022-versionen i stor utsträckning liknar 2013-versionen, finns det en viktig skillnad.
Smakämnen ISO 27002:2022 version inför följande två krav i sin allmänna råd:
Företag kan använda ISMS.Online för att hjälpa dem med deras Överensstämmelse med ISO 27002 ansträngningar genom att förse dem med en plattform som gör det enkelt att hantera deras säkerhetspolicyer och procedurer, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.
Vårt molnbaserade plattform låter dig hantera snabbt och enkelt alla aspekter av ditt ISMS, inklusive riskhantering, policyer, planer, procedurer och mer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
