Kontroll 7.3 i den nya ISO 27002:2022 täcker behovet av att designa och implementera fysisk säkerhet för kontor, rum och lokaler.
Denna kontroll var utformad för att uppmuntra organisationer att ha lämpliga åtgärder på plats för att förhindra obehörig åtkomst till rum, kontor och anläggningar, särskilt där informationssäkerhet hanteras, genom användning av lås, larm, säkerhetsvakter eller andra lämpliga medel, för att förhindra information säkerhetsproblem.
Fysisk säkerhet är en kritisk del av informationssäkerhet. De två går hand i hand och måste betraktas tillsammans. Informationssäkerhet är skydd av information och informationssystem från obehörig åtkomst, användning, avslöjande, avbrott, modifiering eller förstörelse.
Fysisk säkerhet avser skyddsåtgärder som vidtas för att skydda personal, anläggningar, utrustning och andra tillgångar mot naturliga eller konstgjorda faror genom att minska risker relaterade till inbrott, sabotage, terrorism och andra kriminella handlingar.
Det första steget i fysisk säkerhet för informationskänsliga platser är att avgöra om du har en. Informationskänsliga platser är rum, kontor och anläggningar, där det finns datorer som innehåller känsliga uppgifter eller där det finns personer som har tillgång till känsliga uppgifter.
Fysisk säkerhet kan inkludera.
Låsning av dörrar, fönster och skåp; använda säkerhetstätningar på bärbara datorer och mobila enheter; lösenordsskydd för datorer; kryptering för känsliga uppgifter.
TV-kameror med sluten krets är ett utmärkt sätt att övervaka aktivitet runt lokaler eller i specifika områden i en byggnad.
Dessa kan aktiveras av rörelse, värme eller ljud och används för att uppmärksamma dig på inkräktare eller personer som inte borde vara i ett visst område (till exempel ett larm som ljuder när någon försöker bryta sig in på kontoret).
Attribut gör att du snabbt kan matcha ditt kontrollval med typiska industrispecifikationer och terminologi. Följande kontroller är tillgängliga i kontroll 7.3.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Skydda | #Säkerhet för leverantörsrelationer | #Styrelse och ekosystem #Skydd |
Syftet med Kontroll 7.3 är att förhindra obehörig fysisk åtkomst, skada och störning av organisationens information och andra tillhörande tillgångar i kontor, rum och anläggningar.
Huvudsyftet med Kontroll 7.3 är att minska risknivån för obehörig fysisk åtkomst till kontor, rum och faciliteter, till en acceptabel nivå genom att:
Kontroll 7.3 gäller alla byggnader som används av organisationen för kontor eller administrativa funktioner. Det gäller även rum där konfidentiell information lagras eller behandlas, inklusive mötesrum där känsliga diskussioner äger rum.
Den gäller inte mottagningsområden eller andra allmänna utrymmen i en organisations lokaler om de inte används för administrativa ändamål (t.ex. en reception som fungerar som kontor).
Kontrollen 7.3 anger att rum och anläggningar ska säkras. Följande säkerhetsåtgärder kan vidtas, enligt kontrollriktlinjerna i ISO 27002:2022, för att säkerställa att rum och faciliteter är säkra:
Du kan få mer information om vad som innebär att uppfylla kraven för kontrollen i standarddokumentet ISO 27002:2022.
Ursprungligen publicerad 2013, den reviderade 2022-revideringen av ISO 27002 släpptes den 15 februari 2022.
Kontroll 7.3 är ingen ny kontroll. Det hänvisar till en modifierad version av kontroll 11.1.3 i ISO 27002. En stor skillnad mellan 2013 och 2022 versioner är förändringen i kontrollnummer. Kontrollnumret 11.1.3 ersattes med 7.3. Bortsett från det är sammanhanget och innebörden i stort sett densamma, även om frasologin är annorlunda.
En annan skillnad mellan båda kontrollerna är att 2022-versionen kommer med en attributtabell och syftesförklaring. Dessa avsnitt är inte tillgängliga i 2013 års version.
Den första att tänka på när det gäller att säkra kontor, rum och lokaler är den individ som har mest kontroll över den fysiska byggnaden och dess innehåll. Denna person är vanligtvis anläggningschefen eller direktören.
Sedan är det säkerhetschefen. Säkerhetschefen ansvarar för att alla områden är säkra, inklusive kontorsutrymmen och lokaler. Säkerhetschefen är också ansvarig för att hålla reda på alla anställda som har tillgång till dessa områden och se till att de använder sin åtkomst på rätt sätt.
I vissa fall delar dock flera personer på ansvaret för säkerheten. Till exempel, när en individ har tillgång till känslig information som kan användas mot ditt företags intressen eller andra anställdas personliga liv, är det viktigt att ha flera personer inblandade i deras skydd.
En HR-avdelning kan hantera personalförsäkringar och förmåner medan IT hanterar datorsystem och nätverk; båda avdelningarna kan ha en hand i att hantera fysisk säkerhet såväl som cybersäkerhetsproblem som nätfiske och obehöriga försök till åtkomst.
Inga större ändringar krävs för att uppfylla den senaste versionen av ISO 27002.
Du bör dock utvärdera din nuvarande informationssäkerhetslösning för att säkerställa att den överensstämmer med den reviderade standarden. Om du har gjort några ändringar sedan den senaste utgåvan släpptes 2013, är det värt att se över dessa justeringar för att avgöra om de fortfarande är relevanta eller om de behöver uppdateras.
Vår plattform har utvecklats specifikt för dig som är ny på informationssäkerhet eller behöver ett enkelt sätt att lära sig om ISO 27002 utan att behöva lägga tid på att lära sig från grunden eller läsa igenom långa dokument.
ISMS.Online är utrustad med alla verktyg som behövs för att uppnå efterlevnad inklusive dokumentmallar, checklistor och policyer som kan anpassas efter dina behov.
Vill du se hur det fungerar?
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
