Kontroll 7.14, Säker kassering eller återanvändning av utrustning

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Säkerställa säker kassering och återanvändning av utrustning: ISO 27002 kontroll 7.14 förklaras

När IT-utrustning som externa enheter, USB-enheter, bärbara datorer eller skrivare inte längre behövs förstörs de antingen fysiskt, returneras tillbaka till leasegivaren, överförs till tredje part, återvinns eller görs tillgängliga för återanvändning för att utföra andra affärer operationer.

Med tanke på att denna utrustning kan innehålla informationstillgångar och licensierad programvara, bör organisationer se till att all information och licensierad programvara oåterkalleligt rensas bort eller skrivs över innan kassering eller återanvändning sker. Detta hjälper till att upprätthålla konfidentialiteten för informationen i denna utrustning.

Till exempel, om en organisation använder en extern tjänsteleverantör för bortskaffande av IT-tillgångar och överför gamla bärbara datorer, skrivare och externa enheter till denna leverantör, kan denna tjänsteleverantör få obehörig åtkomst till information som finns på denna utrustning.

Kontroll 7.14 tar upp hur organisationer kan upprätthålla konfidentialiteten för den lagrade informationen på utrustningen som ska kasseras eller återanvändas genom att lämpliga säkerhetsåtgärder och -procedurer implementeras.

Syfte med kontroll 7.14

Kontroll 7.14 gör det möjligt för organisationer att förhindra obehörig åtkomst till känslig information genom att bekräfta att all information och licensierad programvara som lagras på utrustning raderas eller skrivs över innan utrustningen kasseras eller tillhandahålls till tredje part för att kunna återanvändas.

Attributtabell för kontroll 7.14

Kontroll 7.14 är en förebyggande typ av kontroll som kräver att organisationer upprätthåller konfidentiell information värd på utrustningen som kommer att kasseras eller användas för att återanvändas genom att upprätta och tillämpa lämpliga förfaranden och åtgärder för kassering och återanvändning.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Fysisk säkerhet	#Skydd
			#Asset Management

Efterlevnad behöver inte vara komplicerat.

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo

Äganderätt till kontroll 7.14

Överensstämmelse med kontroll 7.14 kräver inrättande av ett organisationsomfattande databortskaffande-återanvändningsförfarande, identifiering av all utrustning och implementering av lämpliga tekniska bortskaffandemekanismer och återanvändningsprocess.

Därför bör Chief Information Officer ansvara för upprättande, implementering och underhåll av förfaranden och mekanismer för bortskaffande av utrustning och återanvändning.

Allmän vägledning om efterlevnad

Kontroll 7.14 listar fyra viktiga överväganden som organisationer bör ta hänsyn till för efterlevnad:

Ett proaktivt tillvägagångssätt bör antas

Innan kassering sker eller utrustningen görs tillgänglig för återanvändning måste organisationer bekräfta om utrustningen innehåller något informationstillgångar och licensierad programvara och bör säkerställa att sådan information eller programvara raderas permanent.

Fysisk förstörelse eller oåterkallelig radering av information

Kontroll 7.14 listar två metoder genom vilka informationen i utrustningen säkert och permanent kan tas bort:

Utrustning som är värd för lagringsmedieenheter som innehåller information ska förstöras fysiskt.
Information som lagras på utrustningen bör raderas, skrivas över eller förstöras på ett icke-återställbart sätt så att skadliga parter inte kan komma åt information. Organisationer rekommenderas att undersöka kontroll 7.10 på lagringsmedia och kontroll 8.10 om radering av information.

Borttagning av alla etiketter och markeringar

Komponenter i utrustningen och informationen i den kan ha etiketter och markeringar som identifierar organisationen eller som avslöjar namnet på tillgångsägaren, nätverket eller informationsklassificeringsnivån som tilldelats.

Alla dessa etiketter och märkningar bör oåterkalleligen förstöras.

Borttagning av kontroller

Med hänsyn till följande villkor kan organisationer välja att avinstallera alla säkerhetskontroller såsom åtkomstbegränsningar eller övervakningssystem när de lämnar lokaler:

Villkoren i hyresavtalet gällde villkor på vilka det måste återlämnas.
Eliminera och minska risken för obehörig åtkomst till känslig information av nästa hyresgäst.
Om de befintliga kontrollerna kan återanvändas vid nästa anläggning.

Kompletterande vägledning om kontroll 7.14

Utöver de allmänna råden innehåller kontroll 7.14 tre specifika rekommendationer för organisationer.

Skadad utrustning

När skadad utrustning som innehåller information skickas för reparation kan den utsättas för risken för obehörig åtkomst av tredje part.

Organisationer bör utföra en riskbedömning med hänsyn till informationens känslighetsnivå och överväg om att förstöra utrustningen är ett mer lönsamt alternativ än reparation.

Full-Disk Kryptering

Medan krypteringstekniken för full disk avsevärt minimerar riskerna för informationens konfidentialitet, bör den följa följande standarder:

Kryptering är robust och den täcker alla delar av disken, inklusive slappt utrymme.
Kryptografiska nycklar bör vara tillräckligt långa för att förhindra brute force-attacker.
Organisationer bör upprätthålla konfidentialitet för kryptografiska nycklar. Till exempel bör krypteringsnyckeln inte lagras på samma disk.

Överskrivningsverktyg

Organisationer bör välja en överskrivningsteknik med hänsyn till följande kriterier:

Nivå av informationsklassificering som tilldelats informationstillgången.
Typ av lagringsmedia som informationen lagras på.

Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo

Ändringar och skillnader från ISO 27002:2013

27002:2022/7.14 replaces 27002:2013/(11.2.7)

Control 7.14 liknar till stor del sin motsvarighet i 2013 års version. Kontroll 7.14 i 2022-versionen innehåller dock mer omfattande krav i den allmänna vägledningen.

Till skillnad från 2013-versionen inför 2022-versionen följande krav:

Organisationer bör ta bort alla märkningar och etiketter som identifierar organisationen, nätverket och klassificeringsnivån.
Organisationer bör överväga att ta bort kontroller som implementerats på en anläggning när de lämnar den anläggningen.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	Nytt	Hot intelligens
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
7.4	Nytt	Fysisk säkerhetsövervakning
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.16	Nytt	Övervakningsaktiviteter
8.23	Nytt	Webbfiltrering
8.28	Nytt	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	Nytt	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	Nytt	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	Nytt	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	Nytt	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	Nytt	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISMS.Online är en komplett lösning för ISO 27002 genomförande.

Det är ett webbaserat system som låter dig visa att din ledningssystem för informationssäkerhet (ISMS) är kompatibel med de godkända standarderna med hjälp av väl genomtänkta processer och procedurer och checklistor.

Hör av dig idag för att boka en demo.

ISO 27002:2022 – Kontroll 7.14 – Säker kassering eller återanvändning av utrustning