Säkerställa säkert och överensstämmande utrustningsunderhåll enligt ISO 27002-kontroll 7.13
IT-utrustning som servrar, bärbara datorer, nätverksenheter och skrivare är avgörande för många informationsbehandlingsoperationer som lagring, användning och överföring av informationstillgångar.
Men om denna utrustning inte underhålls med hänsyn till produktspecifikationer och miljörisker, kan den försämras i kvalitet och prestanda. Denna brist på underhåll kan leda till att tillgänglighet, integritet och sekretess för informationstillgångar lagras på denna utrustning.
Till exempel, om en organisation misslyckas med att utföra regelbundet underhåll på serverhårdvara, kanske den inte känner igen att diskutrymmet är fullt. Detta kan resultera i förlust av data som överförs till eller från servern.
Vidare kan anställda eller externa tjänsteleverantörer få tillgång till IT-utrustning som en del av underhållsproceduren och detta kan också innebära risker för sekretessen för känslig information.
Till exempel kan en extern leverantör av underhållstjänster få tillgång till känslig information lagrad på bärbara datorer eller installera skadlig programvara i enheter.
Kontroll 7.13 handlar om hur organisationer kan upprätta och implementera lämpliga rutiner och åtgärder för korrekt underhåll av utrustning så att informationstillgångar lagras på denna utrustning inte äventyras.
Syfte med kontroll 7.13
Kontroll 7.13 gör det möjligt för organisationer att införa nödvändiga tekniska åtgärder och procedurer för att utföra korrekt underhåll av utrustning som används för att lagra informationstillgångar.
Dessa åtgärder och procedurer garanterar att informationstillgångar inte går förlorade eller skadas, och att de inte utsätts för risker för kompromisser såsom obehörig åtkomst.
Attributtabell för kontroll 7.13
Kontroll 7.13 är en förebyggande typ av kontroll som kräver att organisationer tar ett proaktivt förhållningssätt till underhåll av utrustning.
Det innebär att upptäcka risker som kan uppstå på grund av bristande underhåll, fastställa rutiner för utrustningsunderhåll med hänsyn till varje utrustnings specifikationer och tillämpa lämpliga kontroller som skyddar informationstillgångar värd på denna utrustning mot kompromisser.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Fysisk säkerhet | #Skydd |
| #Integritet | #Asset Management | #Elasticitet | ||
| #Tillgänglighet |
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 7.13
Överensstämmelse med kontroll 7.13 innebär att skapa en lista över utrustning, göra en riskbedömning baserat på miljöfaktorer och produktspecifikationer och att upprätta och implementera lämpliga rutiner och åtgärder för korrekt underhåll.
Även om rollen för individer som hanterar denna utrustning dagligen är avgörande, bör informationssäkerhetschefen bära ansvaret för efterlevnaden av kontroll 7.13.
Allmän vägledning om efterlevnad
Kontroll 7.13 listar 11 specifika rekommendationer för organisationer att överväga:
- Underhållsprocedurer bör överensstämma med utrustningstillverkarens specifikationer, såsom rekommenderad servicefrekvens.
- Organisationer bör upprätta och tillämpa ett underhållsprogram för all utrustning.
- Endast auktoriserad personal eller tredje part ska tillåtas utföra underhållsaktiviteter eller reparationer på utrustning.
- Organisationer bör skapa och upprätthålla ett register över all utrustning som inte fungerar och fel. Dessutom bör detta register även omfatta alla underhållsaktiviteter som utförs på utrustning.
- Organisationer bör vidta lämpliga åtgärder under utförandet av underhållet, med hänsyn till om underhållet utförs av en anställd eller en tredjepartstjänsteleverantör. Vidare bör berörd personal underteckna ett sekretessavtal.
- Personal som utför underhållsarbetet bör alltid övervakas.
- Fjärrunderhållsarbete bör vara föremål för strikta åtkomst- och auktoriseringsprocedurer.
- Om utrustning tas ut från lokaler för underhållsarbete bör organisationer vidta lämpliga säkerhetsåtgärder i enlighet med kontroll 7.9.
- Organisationer bör följa alla krav som ställs av försäkringsleverantörer på hur man utför underhåll.
- Organisationer bör inspektera utrustning som genomgått underhållsarbete för att säkerställa att den inte manipuleras och fungerar korrekt.
- Om utrustningen kommer att kasseras eller återanvändas, bör organisationer upprätta och implementera lämpliga åtgärder och förfaranden med beaktande av kraven i kontroll 7.14.
Kompletterande vägledning om kontroll 7.14
Kontroll 7.13 anger att följande anses vara utrustning och faller under kontroll 7.13:s omfattning:
- Tekniska komponenter i informationsbehandlingsanläggningar
- Batterier
- Brandsläckare
- Hissar
- Effektomvandlare
- Luftkonditioneringar
- Liknande tillgångar
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002: 2022/7.13 ersätter 27002:2013/(11.2.4)
2022-versionen innehåller mer omfattande krav
Jämfört med 2013-versionen ställer Control 7.13 i 2022-versionen mer omfattande krav. Medan 2013 års version bara listade sex specifika krav, innehåller Control 7.13 11 krav.
Kontroll 7.13 introducerar följande fem krav, som inte behandlades i 2013 års version:
- Organisationer bör upprätta och tillämpa ett underhållsprogram för all utrustning.
- Personal som utför underhållsarbetet bör alltid övervakas.
- Fjärrunderhållsarbete bör vara föremål för strikta åtkomst- och auktoriseringsprocedurer.
- Om utrustningen kommer att kasseras eller återanvändas, bör organisationer upprätta och implementera lämpliga åtgärder och procedurer i linje med kontroll 7.14.
- Om utrustning tas ut från lokaler för underhållsarbete bör organisationer vidta lämpliga säkerhetsåtgärder i enlighet med kontroll 7.9.
2022 års version definierar "utrustning"
I den kompletterande vägledningen definierar kontroll 7.13 vad som faller under "Utrustning". Däremot hänvisade 2013 års version inte till betydelsen av "utrustning".
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISMS.Online låter dig:
- Dokumentera dina processer. Detta intuitiva gränssnitt låter dig dokumentera dina processer utan att installera någon programvara på din dator eller nätverk.
- Automatisera din riskbedömningsprocessen.
- Demonstrera efterlevnad enkelt med onlinerapporter och checklistor.
- Håll ett register över framstegen medan du arbetar mot certifiering.
- ISMS.Online erbjuder ett komplett utbud av funktioner för att hjälpa organisationer och företag att uppnå överensstämmelse med branschstandard ISO 27001 och/eller ISO 27002 ISMS.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
