Kontroll 7.2 täcker behovet för organisationer att skydda säkra områden genom att använda lämpliga ingångskontroller och åtkomstpunkter.
Entrékontroller och åtkomstpunkter är en avgörande del av alla byggnaders säkerhetssystem. Det är de som gör det möjligt för dig att ta dig in och ut ur din byggnad utan att kompromissa med säkerheten, och de kan också förhindra obehöriga eller oönskade personer från att komma in.
Entrékontroller är enheter som låter dig komma in i en byggnad genom dörrar eller portar, såsom knappsatser, kortläsare, biometriska skannrar och fobs. De kan också inkludera andra funktioner som låsmekanismer för dörrar och portar, såväl som vändkors eller svängdörrar.
En accesspunkt är en elektronisk enhet som ger säkerhet i stora kommersiella byggnader. Den använder teknik för radiofrekvensidentifiering (RFID) för att spåra all rörelse in och ut ur anläggningen. Accesspunkten överför data tillbaka till huvudkontoret så att säkerhetspersonal kan övervaka när någon går in i eller lämnar anläggningen och vilka områden de kommer åt medan de är där.
Attribut används för att klassificera kontroller. Genom att använda dessa kan du enkelt matcha ditt kontrollval med regelbundet använda branschfraser och krav. Attributen i kontroll 7.2 är följande.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Fysisk säkerhet #Identitets- och åtkomsthantering | #Skydd |
Kontroll 7.2 säkerställer att endast auktoriserad fysisk åtkomst till organisationens information och andra tillhörande tillgångar sker.
Fysisk säkerhet är av primär betydelse när man skyddar sekretessen, integriteten och tillgängligheten för informationstillgångar. Kontroll 7.2 handlar i första hand om att skydda information och andra tillhörande tillgångar från obehörig åtkomst, stöld eller förlust. För detta ändamål måste lämpliga inträdeskontroller och åtkomstpunkter finnas på plats för att säkerställa att endast behöriga personer kan komma åt säkra områden.
Dessa kontroller bör utformas så att de ger en rimlig försäkran om att fysisk åtkomst är begränsad till behöriga personer och att dessa personer faktiskt är de de utger sig för att vara.
Detta inkluderar användning av lås och nycklar (både manuella och elektroniska), säkerhetsvakter, övervakningssystem och andra barriärer runt entréer och åtkomstpunkter. Åtkomstkontrollsystem som lösenord, kortnycklar eller biometriska enheter kan också användas för att kontrollera åtkomst till känsliga områden i anläggningen bör också sättas in.
För att uppfylla kraven för kontroll 7.2-implementering krävs att organisationer kontrollerar och, om möjligt, isolerar från informationsbehandlingsanläggningar åtkomstpunkter såsom leverans- och lastutrymmen och andra punkter där obehöriga kan ta sig in i lokalerna, för att undvika obehörig åtkomst. Dessa områden bör begränsas till endast auktoriserad personal.
Det finns en hel del implementeringsvägledning i standarddokumentet ISO 27002 under kontroll 7.2 som kan fungera som underlag för att uppfylla kraven för denna kontroll. Dessa riktlinjer omfattar allmän personal, besökare och leveranspersonal. Du kan se implementeringsriktlinjerna när du kommer åt den reviderade versionen av ISO 27002:2022.
För det första är kontroll 7.2 i ISO 27002:2022 inte en ny kontroll, utan det är en kombination av kontroller 11.1.2 och 11.1.6 i ISO 27002:2013. Dessa två kontroller reviderades i ISO 27002:2022 för att göra den mer användarvänlig än den i ISO 27002:2013.
Kontrollera 11.1.2 – Fysiska tillträdeskontroller, täcker behovet av att säkra områden skyddas av lämpliga tillträdeskontroller för att säkerställa att endast behörig personal tillåts tillträde. Som du kan se täcker kontroll 11.1.2 i princip fysiska inträdeskontroller och implementeringsriktlinjerna i det avsnittet av standarden tittar på de steg som organisationer kan vidta för att säkerställa att endast personer som är auktoriserade kan tillåtas för specifika ändamål.
Den föreskriver också att lämpliga åtgärder som tvåfaktorsautentisering behövs för att behöriga personer ska få tillgång till känsliga områden för informationssäkerhet. Denna åtkomst bör också backas upp av en fysisk loggbok eller elektronisk revisionsspår.
Kontrollera 11.1.6 – Leverans- och lastområden täcker å andra sidan endast behöriga personers tillträde till leverans- och lastområden. Den rekommenderar att detta område utformas på ett sådant sätt att det är isolerat från verksamhetslokaler så att leveranspersonal inte kan komma åt andra delar av byggnaden.
Som du kan se slogs dessa två rekommendationer samman till en i kontroll 7.2 i den uppdaterade versionen av ISO 27002.
I slutändan är kontroll 7.2 och kontroller 11.1.2 och 11.1.6 något liknande i sitt sammanhang. Den primära skillnaden är att 11.1.2 och 11.1.6 slogs samman för att möjliggöra förbättrad användarvänlighet.
Dessutom lades en attributtabell och kontrolländamål till i 2022 års version av ISO 27002. Dessa två element finns inte i kontrollerna i 2013 års version.
Kontroll av fysisk åtkomst anses vara en av de viktigaste säkerhetsåtgärderna i ett företag eller en organisation.
Säkerhetsavdelningen ansvarar för alla aspekter av fysisk säkerhet, inklusive tillträdeskontroll. De kan dock delegera befogenheter till en annan avdelning om de anser att de saknar den kompetens eller resurser som behövs för att hantera denna uppgift.
IT-team spelar också en viktig roll i fysisk säkerhet. De hjälper till att säkerställa att de tekniska systemen som används av fysisk säkerhet är uppdaterade och säkra. Till exempel, om du har ett intrångsdetekteringssystem (IDS) på plats vid din organisations ytterdörr men dess programvara inte har uppdaterats på månader, kommer det inte att göra mycket nytta när en inkräktare försöker ta sig förbi det.
Eftersom ISO 27002-standarden endast ändrades något, kommer din organisation inte att behöva ändra sina rutiner för informationssäkerhet särskilt mycket.
Om du redan har en ISO 27001-certifiering kommer du att upptäcka att ditt nuvarande tillvägagångssätt för informationssäkerhet uppfyller de nya standarderna.
Om du börjar från början måste du dock bekanta dig med informationen i den nya standarden.
Se vår nya ISO 27002:2022-guide för att lära dig mer om hur dessa förändringar kan påverka din organisation.
Vår plattform ger användare tillgång till all nödvändig dokumentation och resurser såsom policyer, procedurer, standarder, riktlinjer och information relaterad till efterlevnadsprocesser.
ISMS.online-plattformen är idealisk för företag som behöver:
Vår plattform förser dig med anpassningsbara instrumentpaneler som ger dig insyn i realtid av din efterlevnadsstatus.
Du kan övervaka och hantera alla aspekter av din ISO 27002-efterlevnadsresa från ett ställe – revisionshantering, gapanalys, utbildningshantering, riskbedömning etc.
Det ger en lättanvänd, integrerad lösning som kan nås dygnet runt via vilken enhet som helst med internetanslutning. Plattformen tillåter alla anställda att arbeta tillsammans sömlöst och säkert för att hantera säkerhetsrisker och spåra organisationens efterlevnad, samt resan mot ISO 24-certifiering.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
