Obehörig åtkomst till begränsade fysiska områden som serverrum och IT-utrustningsrum kan resultera i förlust av konfidentialitet, tillgänglighet, integritet och säkerhet för informationstillgångar.
Kontroll 7.4 handlar om implementering av lämpliga övervakningssystem för att förhindra obehörig åtkomst av inkräktare till känsliga fysiska lokaler.
Kontroll 7.4 är en ny typ av kontroll som kräver att organisationer upptäcker och förebygger externa och interna inkräktare som tar sig in i begränsade fysiska områden utan tillstånd genom att införa lämpliga övervakningsverktyg.
Dessa övervakningsverktyg övervakar och registrerar ständigt åtkomstbegränsade områden och skyddar organisationen mot risker som kan uppstå till följd av obehörig åtkomst, inklusive men inte begränsat till:
Kontroll 7.4 är detektiv och förebyggande till sin natur. Det gör det möjligt för organisationer att upprätthålla integritet, konfidentialitet, tillgänglighet och säkerhet för känsliga data och kritiska informationstillgångar genom att kontinuerligt övervaka tillgången till begränsade lokaler.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande #Detektiv | #Sekretess #Integritet #Tillgänglighet | #Skydda #Upptäcka, detektera | #Fysisk säkerhet | #Skydd #Försvar |
Överensstämmelse med kontroll 7.4 kräver identifiering av alla restriktiva områden och fastställande av övervakningsverktyg som är lämpliga för det relevanta fysiska området.
Därför bör säkerhetschefer vara ansvariga för korrekt implementering, underhåll, förvaltning och översyn av övervakningssystem.
Kontroll 7.4 kräver att organisationer implementerar dessa tre steg för att upptäcka och förhindra obehörig åtkomst till anläggningar som är värd för viktiga informationstillgångar:
Organisationer bör ha ett videoövervakningssystem, ett exempel är en CCTV-kamera, för att kontinuerligt övervaka åtkomst till begränsade områden som är värd för viktiga informationstillgångar. Dessutom bör detta övervakningssystem föra ett register över alla inträden i de fysiska lokalerna.
Att utlösa ett larm när en inkräktare kommer åt fysiska lokaler gör det möjligt för säkerhetsteamet att reagera snabbt på säkerhetsöverträdelser. Dessutom kan det också vara effektivt för att avskräcka inkräktaren.
Organisationer bör använda rörelse-, ljud- och kontaktdetektorer som utlöser ett larm när en ovanlig aktivitet i de fysiska lokalerna upptäcks.
I synnerhet:
Det tredje efterlevnadssteget kräver konfigurering av larmsystemet för att säkerställa att alla känsliga områden, inklusive alla ytterdörrar, fönster, obemannade områden och datorrum ligger inom larmsystemets räckvidd så att det inte finns någon sårbarhet som kan utnyttjas.
Till exempel, om lokaler som rökområden eller till och med gymentréer inte övervakas, kan dessa användas som attackvektorer av inkräktare.
Vår senaste framgång med att uppnå ISO 27001, 27017 & 27018 certifiering berodde till stor del på ISMS.online.
Medan Control 7.4 inte anger att organisationer måste välja och implementera ett specifikt övervakningssystem framför andra alternativ, listar den en rad övervakningsverktyg som kan användas separat eller i kombination med andra:
Kontroll 7.4 understryker att organisationer bör ta hänsyn till följande när de implementerar system för fysisk säkerhetsövervakning:
Kontroll 7.4 är a ny kontroll som inte togs upp i ISO 27002:2013 i vilken egenskap som helst.
Smakämnen ISMS.online-plattform tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.
Det omfattande verktygspaketet ger dig en central plats där du kan skapa en skräddarsydd uppsättning policyer och procedurer som är anpassade till din organisations specifika risker och behov. Det möjliggör också samarbete mellan såväl kollegor som externa partners som leverantörer eller tredjepartsrevisorer.
Hör av dig idag för att boka en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
