ISO 27002:2022, Kontroll 7.14 – Säker kassering eller återanvändning av utrustning

ISO 27002:2022 Reviderade kontroller

Boka en demo

företag, team, upptagen, arbetar, pratar, koncept

När IT-utrustning som externa enheter, USB-enheter, bärbara datorer eller skrivare inte längre behövs förstörs de antingen fysiskt, returneras tillbaka till leasegivaren, överförs till tredje part, återvinns eller görs tillgängliga för återanvändning för att utföra andra affärer operationer.

Med tanke på att denna utrustning kan innehålla informationstillgångar och licensierad programvara, bör organisationer se till att all information och licensierad programvara oåterkalleligt rensas bort eller skrivs över innan kassering eller återanvändning sker. Detta hjälper till att upprätthålla konfidentialiteten för informationen i denna utrustning.

Till exempel, om en organisation använder en extern tjänsteleverantör för bortskaffande av IT-tillgångar och överför gamla bärbara datorer, skrivare och externa enheter till denna leverantör, kan denna tjänsteleverantör få obehörig åtkomst till information som finns på denna utrustning.

Kontroll 7.14 tar upp hur organisationer kan upprätthålla konfidentialiteten för den lagrade informationen på utrustningen som ska kasseras eller återanvändas genom att lämpliga säkerhetsåtgärder och -procedurer implementeras.

Syfte med kontroll 7.14

Kontroll 7.14 gör det möjligt för organisationer att förhindra obehörig åtkomst till känslig information genom att bekräfta att all information och licensierad programvara som lagras på utrustning raderas eller skrivs över innan utrustningen kasseras eller tillhandahålls till tredje part för att kunna återanvändas.

Attributtabell

Kontroll 7.14 är en förebyggande typ av kontroll som kräver att organisationer upprätthåller konfidentiell information värd på utrustningen som kommer att kasseras eller användas för att återanvändas genom att upprätta och tillämpa lämpliga förfaranden och åtgärder för kassering och återanvändning.

Kontroll typ InformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande #Sekretess #Skydda #Fysisk säkerhet
#Asset Management 		#Skydd
Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Äganderätt till kontroll 7.14

Överensstämmelse med kontroll 7.14 kräver inrättande av ett organisationsomfattande databortskaffande-återanvändningsförfarande, identifiering av all utrustning och implementering av lämpliga tekniska bortskaffandemekanismer och återanvändningsprocess.

Därför bör Chief Information Officer ansvara för upprättande, implementering och underhåll av förfaranden och mekanismer för bortskaffande av utrustning och återanvändning.

Allmän vägledning om efterlevnad

Kontroll 7.14 listar fyra viktiga överväganden som organisationer bör ta hänsyn till för efterlevnad:

  • Ett proaktivt tillvägagångssätt bör antas

Innan kassering sker eller utrustningen görs tillgänglig för återanvändning måste organisationer bekräfta om utrustningen innehåller något informationstillgångar och licensierad programvara och bör säkerställa att sådan information eller programvara raderas permanent.

  • Fysisk förstörelse eller oåterkallelig radering av information

Kontroll 7.14 listar två metoder genom vilka informationen i utrustningen säkert och permanent kan tas bort:

  1. Utrustning som är värd för lagringsmedieenheter som innehåller information ska förstöras fysiskt.

  2. Information som lagras på utrustningen bör raderas, skrivas över eller förstöras på ett icke-återställbart sätt så att skadliga parter inte kan komma åt information. Organisationer rekommenderas att undersöka kontroll 7.10 på lagringsmedia och kontroll 8.10 om radering av information.
  • Borttagning av alla etiketter och markeringar

Komponenter i utrustningen och informationen i den kan ha etiketter och markeringar som identifierar organisationen eller som avslöjar namnet på tillgångsägaren, nätverket eller informationsklassificeringsnivån som tilldelats.

Alla dessa etiketter och märkningar bör oåterkalleligen förstöras.

  • Borttagning av kontroller

Med hänsyn till följande villkor kan organisationer välja att avinstallera alla säkerhetskontroller såsom åtkomstbegränsningar eller övervakningssystem när de lämnar lokaler:

  1. Villkoren i hyresavtalet gällde villkor på vilka det måste återlämnas.

  2. Eliminera och minska risken för obehörig åtkomst till känslig information av nästa hyresgäst.

  3. Om de befintliga kontrollerna kan återanvändas vid nästa anläggning.

Se vår plattform
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Kompletterande vägledning om kontroll 7.14

Utöver de allmänna råden innehåller kontroll 7.14 tre specifika rekommendationer för organisationer.

Skadad utrustning

När skadad utrustning som innehåller information skickas för reparation kan den utsättas för risken för obehörig åtkomst av tredje part.

Organisationer bör utföra en riskbedömning med hänsyn till informationens känslighetsnivå och överväg om att förstöra utrustningen är ett mer lönsamt alternativ än reparation.

Full-Disk Kryptering

Medan krypteringstekniken för full disk avsevärt minimerar riskerna för informationens konfidentialitet, bör den följa följande standarder:

  • Kryptering är robust och den täcker alla delar av disken, inklusive slappt utrymme.

  • Kryptografiska nycklar bör vara tillräckligt långa för att förhindra brute force-attacker.

  • Organisationer bör upprätthålla konfidentialitet för kryptografiska nycklar. Till exempel bör krypteringsnyckeln inte lagras på samma disk.

Överskrivningsverktyg

Organisationer bör välja en överskrivningsteknik med hänsyn till följande kriterier:

  • Nivå av informationsklassificering som tilldelats informationstillgången.

  • Typ av lagringsmedia som informationen lagras på.

Ändringar och skillnader från ISO 27002:2013

27002:2022/7.14 replaces 27002:2013/(11.2.7)

Control 7.14 liknar till stor del sin motsvarighet i 2013 års version. Kontroll 7.14 i 2022-versionen innehåller dock mer omfattande krav i den allmänna vägledningen.

Till skillnad från 2013-versionen inför 2022-versionen följande krav:

  • Organisationer bör ta bort alla märkningar och etiketter som identifierar organisationen, nätverket och klassificeringsnivån.

  • Organisationer bör överväga att ta bort kontroller som implementerats på en anläggning när de lämnar den anläggningen.

Hur ISMS.online hjälper

ISMS.Online är en komplett lösning för ISO 27002 genomförande.

Det är ett webbaserat system som låter dig visa att din ledningssystem för informationssäkerhet (ISMS) är kompatibel med de godkända standarderna med hjälp av väl genomtänkta processer och procedurer och checklistor.

Hör av dig idag för att boka en demo.

Är du redo för
den nya ISO 27002

Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer