När IT-utrustning som externa enheter, USB-enheter, bärbara datorer eller skrivare inte längre behövs förstörs de antingen fysiskt, returneras tillbaka till leasegivaren, överförs till tredje part, återvinns eller görs tillgängliga för återanvändning för att utföra andra affärer operationer.
Med tanke på att denna utrustning kan innehålla informationstillgångar och licensierad programvara, bör organisationer se till att all information och licensierad programvara oåterkalleligt rensas bort eller skrivs över innan kassering eller återanvändning sker. Detta hjälper till att upprätthålla konfidentialiteten för informationen i denna utrustning.
Till exempel, om en organisation använder en extern tjänsteleverantör för bortskaffande av IT-tillgångar och överför gamla bärbara datorer, skrivare och externa enheter till denna leverantör, kan denna tjänsteleverantör få obehörig åtkomst till information som finns på denna utrustning.
Kontroll 7.14 tar upp hur organisationer kan upprätthålla konfidentialiteten för den lagrade informationen på utrustningen som ska kasseras eller återanvändas genom att lämpliga säkerhetsåtgärder och -procedurer implementeras.
Kontroll 7.14 gör det möjligt för organisationer att förhindra obehörig åtkomst till känslig information genom att bekräfta att all information och licensierad programvara som lagras på utrustning raderas eller skrivs över innan utrustningen kasseras eller tillhandahålls till tredje part för att kunna återanvändas.
Kontroll 7.14 är en förebyggande typ av kontroll som kräver att organisationer upprätthåller konfidentiell information värd på utrustningen som kommer att kasseras eller användas för att återanvändas genom att upprätta och tillämpa lämpliga förfaranden och åtgärder för kassering och återanvändning.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess | #Skydda | #Fysisk säkerhet #Asset Management | #Skydd |
Överensstämmelse med kontroll 7.14 kräver inrättande av ett organisationsomfattande databortskaffande-återanvändningsförfarande, identifiering av all utrustning och implementering av lämpliga tekniska bortskaffandemekanismer och återanvändningsprocess.
Därför bör Chief Information Officer ansvara för upprättande, implementering och underhåll av förfaranden och mekanismer för bortskaffande av utrustning och återanvändning.
Kontroll 7.14 listar fyra viktiga överväganden som organisationer bör ta hänsyn till för efterlevnad:
Innan kassering sker eller utrustningen görs tillgänglig för återanvändning måste organisationer bekräfta om utrustningen innehåller något informationstillgångar och licensierad programvara och bör säkerställa att sådan information eller programvara raderas permanent.
Kontroll 7.14 listar två metoder genom vilka informationen i utrustningen säkert och permanent kan tas bort:
Komponenter i utrustningen och informationen i den kan ha etiketter och markeringar som identifierar organisationen eller som avslöjar namnet på tillgångsägaren, nätverket eller informationsklassificeringsnivån som tilldelats.
Alla dessa etiketter och märkningar bör oåterkalleligen förstöras.
Med hänsyn till följande villkor kan organisationer välja att avinstallera alla säkerhetskontroller såsom åtkomstbegränsningar eller övervakningssystem när de lämnar lokaler:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Utöver de allmänna råden innehåller kontroll 7.14 tre specifika rekommendationer för organisationer.
När skadad utrustning som innehåller information skickas för reparation kan den utsättas för risken för obehörig åtkomst av tredje part.
Organisationer bör utföra en riskbedömning med hänsyn till informationens känslighetsnivå och överväg om att förstöra utrustningen är ett mer lönsamt alternativ än reparation.
Medan krypteringstekniken för full disk avsevärt minimerar riskerna för informationens konfidentialitet, bör den följa följande standarder:
Organisationer bör välja en överskrivningsteknik med hänsyn till följande kriterier:
27002:2022/7.14 replaces 27002:2013/(11.2.7)
Control 7.14 liknar till stor del sin motsvarighet i 2013 års version. Kontroll 7.14 i 2022-versionen innehåller dock mer omfattande krav i den allmänna vägledningen.
Till skillnad från 2013-versionen inför 2022-versionen följande krav:
ISMS.Online är en komplett lösning för ISO 27002 genomförande.
Det är ett webbaserat system som låter dig visa att din ledningssystem för informationssäkerhet (ISMS) är kompatibel med de godkända standarderna med hjälp av väl genomtänkta processer och procedurer och checklistor.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |