ISO 27002 Kontroll 7.11: Säkerställa tillförlitliga och säkra stödverktyg
Fel eller avbrott i verktyg som elektricitet, gas, vatten eller kyla som behövs för korrekt och kontinuerlig funktion av informationsbehandlingsanläggningar kan resultera i äventyra informationstillgångar eller kan avlyssna affärskontinuitet.
Till exempel kan fel på luftkonditioneringsutrustning i ett datacenter leda till en plötslig temperaturhöjning när datacentret drabbas av en värmebölja. Detta kan leda till att servrar som är värd för webbplatser och/eller kunddata stängs av och därmed leda till förlust av datatillgänglighet och avbrott i affärsverksamheten.
Kontroll 7.11 tar upp hur organisationer kan eliminera risker för informationstillgångars tillgänglighet och integritet på grund av fel på stödjande verktyg som gas, kyla, telekommunikation, vatten och elektricitet.
Syfte med kontroll 7.11
Kontroll 7.11 gör det möjligt för organisationer att eliminera och mildra risker för tillgängligheten och integriteten hos informationstillgångar och för kontinuitet i verksamheten genom att införa lämpliga åtgärder som skyddar stödjande verktyg mot fel och störningar såsom strömavbrott.
Attributtabell för kontroll 7.11
Kontroll 7.11 är både detektiv och förebyggande till sin natur eftersom den kräver att organisationer tar ett proaktivt tillvägagångssätt och implementerar försiktighetsåtgärder åtgärder mot riskerna till korrekt och kontinuerlig funktion av verktyg som krävs för informationsbehandlingsanläggningar såsom datacenter, nätverkssystem och datorutrustning.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Integritet | #Skydda | #Fysisk säkerhet | #Skydd |
| #Detektiv | #Tillgänglighet | #Upptäcka, detektera |
Äganderätt till kontroll 7.11
Kontroll 7.11 innebär identifiera risker för den löpande verksamheten att stödja verktyg och implementera lämpliga åtgärder och kontroller för att säkerställa att tillgänglighet och integritet för informationstillgångar inte påverkas av fel i dessa verktyg.
Även om anläggningsledningsgruppens roll och ansträngningar är avgörande, bör informationssäkerhetschefen bära ansvaret för efterlevnaden av kontroll 7.11.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Allmän vägledning om efterlevnad
Efter att ha betonat att stödjande verktyg som vattenförsörjning, el, kommunikation, avlopp och luftkonditionering är avgörande för de operationer som utförs i informationsbehandlingsanläggningar.
Allmänna riktlinjer listar sju viktiga rekommendationer som organisationer bör ta hänsyn till för att följa kontroll 7.11:
- Organisationer bör följa tillverkarens instruktioner när de konfigurerar, använder och underhåller de enheter som används för att styra verktygen.
- Verktyg bör granskas för att säkerställa att de är lämpade att uppfylla affärstillväxtmål och att de samarbetar med andra verktyg utan problem.
- All utrustning som stödjer verktygen bör genomgå regelbundna inspektioner och tester så att det inte uppstår några störningar eller fel på deras korrekta funktion.
- Beroende på risknivån för informationstillgångar och affärskontinuitet, kan ett larmsystem upprättas för felaktig utrustning som stödjer verktygen.
- För att minimera risken bör verktyg ha flera flöden med separat fysisk routing.
- Nätverket som är anslutet till utrustningen som stöder verktyg bör separeras från nätverket som är anslutet till IT-faciliteter.
- Utrustning som stödjer verktygen bör tillåtas att ansluta till internet endast om det är absolut nödvändigt och denna anslutning bör upprättas på ett säkert sätt.
Kompletterande vägledning
Bortsett från den allmänna vägledningen innehåller kontroll 7.11 rekommendationer i två specifika frågor:
- Nödprocedurer
Organisationer bör fastställa en nödkontaktperson och registrera hans/hennes kontaktuppgifter. Dessa uppgifter ska lämnas till all personal i händelse av ett fel eller avbrott.
Nödbrytare och ventiler för att stoppa verktyg som vatten, gas och elektricitet bör placeras nära nödutgångarna.
Nödbelysning och kommunikationer bör vara redo att användas om en nödsituation uppstår.
- Nätverksanslutning
Organisationer kan överväga att ha ytterligare rutter från alternativa tjänsteleverantörer för att öka nätverksanslutningen så att misslyckanden eller störningar av stödjande verktyg förhindras.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/7.11 replaces 27002:2013/(11.2.2)
Även om 2022-versionen i stor utsträckning liknar 2013-versionen, finns det en viktig skillnad.
Ocuco-landskapet ISO 27002:2022 version inför följande två krav i sin allmänna råd:
- Nätverket som är anslutet till utrustningen som stöder verktyg bör separeras från nätverket som är anslutet till IT-faciliteter.
- Utrustning som stödjer verktygen bör tillåtas att ansluta till internet endast om det är absolut nödvändigt och denna anslutning bör upprättas på ett säkert sätt.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
Företag kan använda ISMS.Online för att hjälpa dem med deras Överensstämmelse med ISO 27002 ansträngningar genom att förse dem med en plattform som gör det enkelt att hantera deras säkerhetspolicyer och procedurer, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.
Vårt molnbaserade plattform låter dig hantera snabbt och enkelt alla aspekter av ditt ISMS, inklusive riskhantering, policyer, planer, procedurer och mer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.
Hör av dig idag för att boka en demo.
