IT-utrustning som servrar, bärbara datorer, nätverksenheter och skrivare är avgörande för många informationsbehandlingsoperationer som lagring, användning och överföring av informationstillgångar.
Men om denna utrustning inte underhålls med hänsyn till produktspecifikationer och miljörisker, kan den försämras i kvalitet och prestanda. Denna brist på underhåll kan leda till att tillgänglighet, integritet och sekretess för informationstillgångar lagras på denna utrustning.
Till exempel, om en organisation misslyckas med att utföra regelbundet underhåll på serverhårdvara, kanske den inte känner igen att diskutrymmet är fullt. Detta kan resultera i förlust av data som överförs till eller från servern.
Vidare kan anställda eller externa tjänsteleverantörer få tillgång till IT-utrustning som en del av underhållsproceduren och detta kan också innebära risker för sekretessen för känslig information.
Till exempel kan en extern leverantör av underhållstjänster få tillgång till känslig information lagrad på bärbara datorer eller installera skadlig programvara i enheter.
Kontroll 7.13 handlar om hur organisationer kan upprätta och implementera lämpliga rutiner och åtgärder för korrekt underhåll av utrustning så att informationstillgångar lagras på denna utrustning inte äventyras.
Kontroll 7.13 gör det möjligt för organisationer att införa nödvändiga tekniska åtgärder och procedurer för att utföra korrekt underhåll av utrustning som används för att lagra informationstillgångar.
Dessa åtgärder och procedurer garanterar att informationstillgångar inte går förlorade eller skadas, och att de inte utsätts för risker för kompromisser såsom obehörig åtkomst.
Kontroll 7.13 är en förebyggande typ av kontroll som kräver att organisationer tar ett proaktivt förhållningssätt till underhåll av utrustning.
Det innebär att upptäcka risker som kan uppstå på grund av bristande underhåll, fastställa rutiner för utrustningsunderhåll med hänsyn till varje utrustnings specifikationer och tillämpa lämpliga kontroller som skyddar informationstillgångar värd på denna utrustning mot kompromisser.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Fysisk säkerhet #Asset Management | #Skydd #Elasticitet |
Överensstämmelse med kontroll 7.13 innebär att skapa en lista över utrustning, göra en riskbedömning baserat på miljöfaktorer och produktspecifikationer och att upprätta och implementera lämpliga rutiner och åtgärder för korrekt underhåll.
Även om rollen för individer som hanterar denna utrustning dagligen är avgörande, bör informationssäkerhetschefen bära ansvaret för efterlevnaden av kontroll 7.13.
Kontroll 7.13 listar 11 specifika rekommendationer för organisationer att överväga:
Kontroll 7.13 anger att följande anses vara utrustning och faller under kontroll 7.13:s omfattning:
27002: 2022/7.13 ersätter 27002:2013/(11.2.4)
Jämfört med 2013-versionen ställer Control 7.13 i 2022-versionen mer omfattande krav. Medan 2013 års version bara listade sex specifika krav, innehåller Control 7.13 11 krav.
Kontroll 7.13 introducerar följande fem krav, som inte behandlades i 2013 års version:
I den kompletterande vägledningen definierar kontroll 7.13 vad som faller under "Utrustning". Däremot hänvisade 2013 års version inte till betydelsen av "utrustning".
ISMS.Online låter dig:
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
