Vad är Control 7.3?
Kontroll 7.3 i den nya ISO 27002:2022 täcker behovet av att designa och implementera fysisk säkerhet för kontor, rum och lokaler.
Denna kontroll var utformad för att uppmuntra organisationer att ha lämpliga åtgärder på plats för att förhindra obehörig åtkomst till rum, kontor och anläggningar, särskilt där informationssäkerhet hanteras, genom användning av lås, larm, säkerhetsvakter eller andra lämpliga medel, för att förhindra information säkerhetsproblem.
Fysisk säkerhet för kontor, rum och faciliteter förklaras
Fysisk säkerhet är en kritisk del av informationssäkerhet. De två går hand i hand och måste betraktas tillsammans. Informationssäkerhet är skydd av information och informationssystem från obehörig åtkomst, användning, avslöjande, avbrott, modifiering eller förstörelse.
Fysisk säkerhet avser skyddsåtgärder som vidtas för att skydda personal, anläggningar, utrustning och andra tillgångar mot naturliga eller konstgjorda faror genom att minska risker relaterade till inbrott, sabotage, terrorism och andra kriminella handlingar.
Det första steget i fysisk säkerhet för informationskänsliga platser är att avgöra om du har en. Informationskänsliga platser är rum, kontor och anläggningar, där det finns datorer som innehåller känsliga uppgifter eller där det finns personer som har tillgång till känsliga uppgifter.
Fysisk säkerhet kan inkludera.
Lås och nycklar
Låsning av dörrar, fönster och skåp; använda säkerhetstätningar på bärbara datorer och mobila enheter; lösenordsskydd för datorer; kryptering för känsliga uppgifter.
CCTV
TV-kameror med sluten krets är ett utmärkt sätt att övervaka aktivitet runt lokaler eller i specifika områden i en byggnad.
Inbrottslarm
Dessa kan aktiveras av rörelse, värme eller ljud och används för att uppmärksamma dig på inkräktare eller personer som inte borde vara i ett visst område (till exempel ett larm som ljuder när någon försöker bryta sig in på kontoret).
Attributtabell för kontroll 7.3
Attribut gör att du snabbt kan matcha ditt kontrollval med typiska industrispecifikationer och terminologi. Följande kontroller är tillgängliga i kontroll 7.3.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Säkerhet för leverantörsrelationer | #Styrelse och ekosystem |
| #Integritet | #Skydd | |||
| #Tillgänglighet |
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vad är syftet med kontroll 7.3?
Syftet med Kontroll 7.3 är att förhindra obehörig fysisk åtkomst, skada och störning av organisationens information och andra tillhörande tillgångar i kontor, rum och anläggningar.
Huvudsyftet med Kontroll 7.3 är att minska risknivån för obehörig fysisk åtkomst till kontor, rum och faciliteter, till en acceptabel nivå genom att:
- Förhindra obehörig fysisk åtkomst till kontor, rum och faciliteter av andra personer än behörig personal.
- Förhindra skada eller störning av organisationens information och andra tillhörande tillgångar inne på kontor, rum och anläggningar.
- Se till att alla informationssäkerhetskänsliga områden är diskreta för att göra det svårt för människor att avgöra sitt syfte.
- Minimera risken för stöld eller förlust av egendom inom kontor, rum och lokaler.
- Se till att personer som har auktoriserat fysiskt tillträde identifieras (detta kan uppnås genom att använda en kombination av uniformsbrickor, elektroniska dörrsystem och besökskort).
- Där det är möjligt bör CCTV eller andra övervakningsanordningar användas för att tillhandahålla säkerhetsövervakning över viktiga områden såsom ingångar/utgångar.
Kontroll 7.3 gäller alla byggnader som används av organisationen för kontor eller administrativa funktioner. Det gäller även rum där konfidentiell information lagras eller behandlas, inklusive mötesrum där känsliga diskussioner äger rum.
Den gäller inte mottagningsområden eller andra allmänna utrymmen i en organisations lokaler om de inte används för administrativa ändamål (t.ex. en reception som fungerar som kontor).
Vad är inblandat och hur man uppfyller kraven
Kontrollen 7.3 anger att rum och anläggningar ska säkras. Följande säkerhetsåtgärder kan vidtas, enligt kontrollriktlinjerna i ISO 27002:2022, för att säkerställa att rum och faciliteter är säkra:
- Placera kritiska anläggningar för att undvika tillgång för allmänheten.
- I tillämpliga fall, se till att byggnader är diskreta och ger en minimal indikation om deras syfte, utan uppenbara tecken, utanför eller inuti byggnaden, som identifierar förekomsten av informationsbehandlingsaktiviteter.
- Konfigurera faciliteter för att förhindra att konfidentiell information eller aktiviteter blir synliga och hörbara utifrån. Elektromagnetisk skärmning bör också övervägas som lämpligt.
- Att inte göra kataloger, interna telefonböcker och online tillgängliga kartor som identifierar platser för bearbetningsanläggningar för konfidentiell information lätt tillgängliga för alla obehöriga.
Du kan få mer information om vad som innebär att uppfylla kraven för kontrollen i standarddokumentet ISO 27002:2022.
Ändringar och skillnader från ISO 27002:2013
Ursprungligen publicerad 2013, den reviderade 2022-revideringen av ISO 27002 släpptes den 15 februari 2022.
Kontroll 7.3 är ingen ny kontroll. Det hänvisar till en modifierad version av kontroll 11.1.3 i ISO 27002. En stor skillnad mellan 2013 och 2022 versioner är förändringen i kontrollnummer. Kontrollnumret 11.1.3 ersattes med 7.3. Bortsett från det är sammanhanget och innebörden i stort sett densamma, även om frasologin är annorlunda.
En annan skillnad mellan båda kontrollerna är att 2022-versionen kommer med en attributtabell och syftesförklaring. Dessa avsnitt är inte tillgängliga i 2013 års version.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Vem är ansvarig för denna process?
Den första att tänka på när det gäller att säkra kontor, rum och lokaler är den individ som har mest kontroll över den fysiska byggnaden och dess innehåll. Denna person är vanligtvis anläggningschefen eller direktören.
Sedan är det säkerhetschefen. Säkerhetschefen ansvarar för att alla områden är säkra, inklusive kontorsutrymmen och lokaler. Säkerhetschefen är också ansvarig för att hålla reda på alla anställda som har tillgång till dessa områden och se till att de använder sin åtkomst på rätt sätt.
I vissa fall delar dock flera personer på ansvaret för säkerheten. Till exempel, när en individ har tillgång till känslig information som kan användas mot ditt företags intressen eller andra anställdas personliga liv, är det viktigt att ha flera personer inblandade i deras skydd.
En HR-avdelning kan hantera personalförsäkringar och förmåner medan IT hanterar datorsystem och nätverk; båda avdelningarna kan ha en hand i att hantera fysisk säkerhet såväl som cybersäkerhetsproblem som nätfiske och obehöriga försök till åtkomst.
Vad betyder dessa förändringar för dig?
Inga större ändringar krävs för att uppfylla den senaste versionen av ISO 27002.
Du bör dock utvärdera din nuvarande informationssäkerhetslösning för att säkerställa att den överensstämmer med den reviderade standarden. Om du har gjort några ändringar sedan den senaste utgåvan släpptes 2013, är det värt att se över dessa justeringar för att avgöra om de fortfarande är relevanta eller om de behöver uppdateras.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.Online hjälper
Vår plattform har utvecklats specifikt för dig som är ny på informationssäkerhet eller behöver ett enkelt sätt att lära sig om ISO 27002 utan att behöva lägga tid på att lära sig från grunden eller läsa igenom långa dokument.
ISMS.Online är utrustad med alla verktyg som behövs för att uppnå efterlevnad inklusive dokumentmallar, checklistor och policyer som kan anpassas efter dina behov.
Vill du se hur det fungerar?
Hör av dig idag för att boka en demo.
