Skydda din organisation från fysiska och miljömässiga hot
Hot mot informationstillgångar är inte bara digitala: En organisations kritiska fysiska infrastruktur som är värd för informationstillgångar är också utsatta för miljömässiga och fysiska hot som kan resultera i förlust, förstörelse, stöld och äventyrande av informationstillgångar och känslig data.
Dessa hot kan omfatta naturhändelser som jordbävningar, översvämningar och skogsbränder. De kan också omfatta katastrofer orsakade av människor som civila oroligheter och kriminell verksamhet.
Kontroll 7.5 tar upp hur organisationer kan bedöma, identifiera och minska risker för kritisk fysisk infrastruktur på grund av fysiska och miljömässiga hot.
Syfte med kontroll 7.5
Kontroll 7.5 gör det möjligt för organisationer att mäta potentiella negativa effekter av miljöhot och fysiska hot och att mildra och/eller eliminera dessa effekter genom att införa lämpliga åtgärder.
Attributtabell för kontroll 7.5
Kontroll 7.5 är en förebyggande typ av kontroll som kräver att organisationer eliminerar och/eller mildrar konsekvenserna som sannolikt kommer att uppstå på grund av externa risker såsom naturkatastrofer och av människan orsakade incidenter.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Fysisk säkerhet | #Skydd |
| #Integritet | ||||
| #Tillgänglighet |
Äganderätt till kontroll 7.5
Kontroll 7.5 kräver att organisationer göra en fördjupad riskbedömning innan någon verksamhet påbörjas på en fysisk lokal och att genomföra nödvändiga åtgärder som står i proportion till den identifierade risknivån.
Säkerhetschefer bör därför vara ansvariga för att skapa, hantera, implementera och granska hela processen.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om efterlevnad
Kontroll 7.5 specificerar en process i tre steg för att identifiera och eliminera risker på grund av fysiska hot och miljöhot:
- Steg 1: Gör en riskbedömning
Organisationer borde göra en riskbedömning att identifiera potentiella fysiska och miljömässiga katastrofer som kan inträffa på varje specifik fysisk premiss och sedan mäta de effekter som sannolikt kommer att uppstå på grund av de identifierade fysiska och miljömässiga hoten.
Med tanke på att varje fysisk lokal och infrastruktur däri kommer att vara föremål för olika miljöförhållanden och fysiska riskfaktorer, kommer typen av hot och risknivån som identifieras att variera beroende på varje lokal och dess plats.
Till exempel, medan en lokal kan vara mest sårbar för skogsbränder, kan en annan lokal vara belägen i ett område där jordbävningar förekommer ofta.
Ett annat kritiskt krav som ställs av kontroll 7.5 är att denna riskbedömning ska utföras innan insatser påbörjas på en fysisk premiss.
- Steg 2: Identifiera och implementera kontroller
Baserat på typen av hot och risknivån som identifierades i det första steget, bör organisationer införa lämpliga kontroller med hänsyn till de sannolika konsekvenserna av de miljömässiga och fysiska hoten.
För att illustrera ger Control 7.5 exempel på kontroller som kan sättas på plats för följande hot:
Brand: Organisationer bör distribuera system för att utlösa larm när en brand upptäcks eller för att aktivera brandsläckningssystem som kan skydda lagringsmedia och informationssystem från skador.
Översvämning: System bör distribueras och konfigureras för att upptäcka översvämningar i områden där informationstillgångar lagras. Dessutom bör verktyg som vattenpumpar vara redo att användas vid översvämning.
Elektriska överspänningar: Servrar och kritiska informationshanteringssystem bör underhållas och skyddas mot elavbrott.
Sprängämnen och vapen: Organisationer borde utföra stickprovskontroller och inspektioner av alla individer, föremål och fordon som kommer in i lokaler som är värd för kritisk infrastruktur.
- Steg 3: Övervakning
Med tanke på att typen av hot och risknivån kan förändras över tid, bör organisationer kontinuerligt övervaka riskbedömningarna och ompröva de kontroller de implementerat om det behövs.
Kompletterande vägledning
Kontroll 7.5 listar fyra specifika överväganden som organisationer bör ta hänsyn till.
Samråd med experter
Varje specifik typ av miljömässigt och fysiskt hot, vare sig det är giftigt avfall, jordbävning eller brand, är unik när det gäller sin natur, de risker det innebär och motåtgärder som det kräver.
Därför bör organisationer söka expertråd om hur man identifierar eliminera och/eller minska risker som uppstår till följd av dessa hot.
Val av plats för lokaler
Med hänsyn till den lokala topografin, kan vattennivåer och tektoniska rörelser för den potentiella platsen för lokaler hjälpa till att identifiera och eliminera risker tidigt.
Dessutom bör organisationer överväga riskerna för katastrofer orsakade av människor i det valda stadsområdet, såsom politisk oro och kriminell verksamhet.
Extra lager av säkerhet
Utöver de specifika kontroller som genomförts, säker informationslagring metoder som kassaskåp kan lägga till ett extra lager av säkerhet mot katastrofer som brand och översvämningar.
Brottsförebyggande genom miljödesign
Kontroll 7.5 rekommenderar att organisationer överväger detta koncept när de implementerar kontroller för att förbättra säkerheten i lokaler. Denna metod kan användas för att eliminera urbana hot såsom kriminell verksamhet, civila oroligheter och terrorism.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Medan 2013-versionen behandlade hur organisationer bör vidta lämpliga förebyggande åtgärder mot fysiska och miljömässiga hot, är 2022-versionen mycket mer omfattande när det gäller specifika efterlevnadssteg som organisationer bör vidta.
Sammantaget finns det två viktiga skillnader:
- 2022-versionen ger vägledning om efterlevnad
2013 års version innehöll ingen vägledning om hur organisationer ska identifiera och eliminera risker på grund av miljö- och fysiska hot.
2022-versionen, i kontrakt, beskriver en process i tre steg som organisationer bör följa, inklusive att utföra en riskbedömning.
- 2022-versionen rekommenderar att organisationer överväger att implementera ett extra lager av åtgärder
I den kompletterande vägledningen hänvisar 2022 års version till åtgärder som användning av kassaskåp och brottsförebyggande genom miljödesignkoncept som kan användas för att förbättra skyddet mot hot.
2013 års version tog däremot inte upp sådana ytterligare åtgärder.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
Ocuco-landskapet ISMS.online-plattform tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.
Det omfattande verktygspaketet ger dig en central plats där du kan skapa en skräddarsydd uppsättning policyer och procedurer som passar dina organisationens specifika risker och behov.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
