ISO 27002, Kontroll 7.13, Utrustningsunderhåll

Säkerställa säkert och överensstämmande utrustningsunderhåll enligt ISO 27002-kontroll 7.13

IT-utrustning som servrar, bärbara datorer, nätverksenheter och skrivare är avgörande för många informationsbehandlingsoperationer som lagring, användning och överföring av informationstillgångar.

Men om denna utrustning inte underhålls med hänsyn till produktspecifikationer och miljörisker, kan den försämras i kvalitet och prestanda. Denna brist på underhåll kan leda till att tillgänglighet, integritet och sekretess för informationstillgångar lagras på denna utrustning.

Till exempel, om en organisation misslyckas med att utföra regelbundet underhåll på serverhårdvara, kanske den inte känner igen att diskutrymmet är fullt. Detta kan resultera i förlust av data som överförs till eller från servern.

Vidare kan anställda eller externa tjänsteleverantörer få tillgång till IT-utrustning som en del av underhållsproceduren och detta kan också innebära risker för sekretessen för känslig information.

Till exempel kan en extern leverantör av underhållstjänster få tillgång till känslig information lagrad på bärbara datorer eller installera skadlig programvara i enheter.

Kontroll 7.13 handlar om hur organisationer kan upprätta och implementera lämpliga rutiner och åtgärder för korrekt underhåll av utrustning så att informationstillgångar lagras på denna utrustning inte äventyras.

Syfte med kontroll 7.13

Kontroll 7.13 gör det möjligt för organisationer att införa nödvändiga tekniska åtgärder och procedurer för att utföra korrekt underhåll av utrustning som används för att lagra informationstillgångar.

Dessa åtgärder och procedurer garanterar att informationstillgångar inte går förlorade eller skadas, och att de inte utsätts för risker för kompromisser såsom obehörig åtkomst.

Attributtabell för kontroll 7.13

Kontroll 7.13 är en förebyggande typ av kontroll som kräver att organisationer tar ett proaktivt förhållningssätt till underhåll av utrustning.

Det innebär att upptäcka risker som kan uppstå på grund av bristande underhåll, fastställa rutiner för utrustningsunderhåll med hänsyn till varje utrustnings specifikationer och tillämpa lämpliga kontroller som skyddar informationstillgångar värd på denna utrustning mot kompromisser.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Fysisk säkerhet	#Skydd
	#Integritet		#Asset Management	#Elasticitet
	#Tillgänglighet

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo

Äganderätt till kontroll 7.13

Överensstämmelse med kontroll 7.13 innebär att skapa en lista över utrustning, göra en riskbedömning baserat på miljöfaktorer och produktspecifikationer och att upprätta och implementera lämpliga rutiner och åtgärder för korrekt underhåll.

Även om rollen för individer som hanterar denna utrustning dagligen är avgörande, bör informationssäkerhetschefen bära ansvaret för efterlevnaden av kontroll 7.13.

Allmän vägledning om efterlevnad

Kontroll 7.13 listar 11 specifika rekommendationer för organisationer att överväga:

Underhållsprocedurer bör överensstämma med utrustningstillverkarens specifikationer, såsom rekommenderad servicefrekvens.
Organisationer bör upprätta och tillämpa ett underhållsprogram för all utrustning.
Endast auktoriserad personal eller tredje part ska tillåtas utföra underhållsaktiviteter eller reparationer på utrustning.
Organisationer bör skapa och upprätthålla ett register över all utrustning som inte fungerar och fel. Dessutom bör detta register även omfatta alla underhållsaktiviteter som utförs på utrustning.
Organisationer bör vidta lämpliga åtgärder under utförandet av underhållet, med hänsyn till om underhållet utförs av en anställd eller en tredjepartstjänsteleverantör. Vidare bör berörd personal underteckna ett sekretessavtal.
Personal som utför underhållsarbetet bör alltid övervakas.
Fjärrunderhållsarbete bör vara föremål för strikta åtkomst- och auktoriseringsprocedurer.
Om utrustning tas ut från lokaler för underhållsarbete bör organisationer vidta lämpliga säkerhetsåtgärder i enlighet med kontroll 7.9.
Organisationer bör följa alla krav som ställs av försäkringsleverantörer på hur man utför underhåll.
Organisationer bör inspektera utrustning som genomgått underhållsarbete för att säkerställa att den inte manipuleras och fungerar korrekt.
Om utrustningen kommer att kasseras eller återanvändas, bör organisationer upprätta och implementera lämpliga åtgärder och förfaranden med beaktande av kraven i kontroll 7.14.

Kompletterande vägledning om kontroll 7.14

Kontroll 7.13 anger att följande anses vara utrustning och faller under kontroll 7.13:s omfattning:

Tekniska komponenter i informationsbehandlingsanläggningar
Batterier
Brandsläckare
Hissar
Effektomvandlare
Luftkonditioneringar
Liknande tillgångar

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Ändringar och skillnader från ISO 27002:2013

27002: 2022/7.13 ersätter 27002:2013/(11.2.4)

2022-versionen innehåller mer omfattande krav

Jämfört med 2013-versionen ställer Control 7.13 i 2022-versionen mer omfattande krav. Medan 2013 års version bara listade sex specifika krav, innehåller Control 7.13 11 krav.

Kontroll 7.13 introducerar följande fem krav, som inte behandlades i 2013 års version:

Organisationer bör upprätta och tillämpa ett underhållsprogram för all utrustning.
Personal som utför underhållsarbetet bör alltid övervakas.
Fjärrunderhållsarbete bör vara föremål för strikta åtkomst- och auktoriseringsprocedurer.
Om utrustningen kommer att kasseras eller återanvändas, bör organisationer upprätta och implementera lämpliga åtgärder och procedurer i linje med kontroll 7.14.
Om utrustning tas ut från lokaler för underhållsarbete bör organisationer vidta lämpliga säkerhetsåtgärder i enlighet med kontroll 7.9.

2022 års version definierar "utrustning"

I den kompletterande vägledningen definierar kontroll 7.13 vad som faller under "Utrustning". Däremot hänvisade 2013 års version inte till betydelsen av "utrustning".

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISMS.Online låter dig:

Dokumentera dina processer. Detta intuitiva gränssnitt låter dig dokumentera dina processer utan att installera någon programvara på din dator eller nätverk.
Automatisera din riskbedömningsprocessen.
Demonstrera efterlevnad enkelt med onlinerapporter och checklistor.
Håll ett register över framstegen medan du arbetar mot certifiering.
ISMS.Online erbjuder ett komplett utbud av funktioner för att hjälpa organisationer och företag att uppnå överensstämmelse med branschstandard ISO 27001 och/eller ISO 27002 ISMS.

Hör av dig idag för att boka en demo.

Vi är ledande inom vårt område