ISO 27002:2022, Kontroll 7.9 – Säkerhet för tillgångar utanför lokaler

ISO 27002:2022 Reviderade kontroller

Boka en demo

interiör,av,samtida,flervånings,affärscentrum,med,stora,fönster,och

När enheter som innehåller informationstillgångar tas ut från en organisations lokaler kommer de att utsättas för högre risker för skada, förlust, förstörelse, stöld eller kompromiss.

Det här är för att fysiska säkerhetskontroller implementerade inom en organisations anläggningar kommer inte att vara effektiva, vilket gör att tillgångarna som tas utanför platsen blir sårbara för hot som fysiska risker och otillåten åtkomst av illvilliga parter.

Till exempel kan anställda som arbetar utanför arbetsplatsen ta företagsdatorer som innehåller känslig information från affärslokaler, arbeta på ett kafé eller en hotellobby, ansluta till ett osäkert allmänt Wi-Fi och lämna sina enheter utan uppsikt. Alla dessa är närvarande risker för säkerheten, konfidentialitet, integritet och tillgänglighet för information som finns på dessa enheter.

Därför bör organisationer se till att enheter som tas utanför platsen hålls säkra.

Kontrollera 7.9-adresser hur organisationer kan upprätthålla säkerheten för enheter utanför anläggningen som är värd för informationstillgångar genom att upprätta och implementera lämpliga kontroller och förfaranden.

Syfte med kontroll 7.9

Kontroll 7.9 gör det möjligt för organisationer att upprätthålla säkerheten för utrustning som innehåller informationstillgångar genom att förhindra två specifika risker:

  • Eliminera och/eller minimera riskerna för förlust, skada, förstörelse eller kompromittering av enheter som innehåller informationstillgångar när de tas bort från lokaler.

  • Förhindrar risk för avbrott i organisationens informationsbehandling aktiviteter på grund av kompromiss med enheter utanför anläggningen.

Attributtabell

Kontroll 7.9 är förebyggande till sin natur. Det gör det möjligt för organisationer att införa lämpliga kontroller och procedurer förebyggande så att enheter som tas bort från en organisations lokaler ges samma skyddsnivå som tillhandahålls för enheter som finns på plats.

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess
#Integritet
#Tillgänglighet		#Skydda#Fysisk säkerhet
#Asset Management		#Skydd
Hoppa till ämne
Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Äganderätt till kontroll 7.9

Kontroll 7.9 kräver att organisationer upprättar och tillämpar procedurer och kontroller som täcker alla enheter som ägs av eller används för organisationens räkning. Dessutom är skapandet av en tillgångsinventering och den högsta ledningens godkännande av användningen av personliga enheter väsentligt för ett effektivt skydd av externa enheter.

Därför bör informationssäkerhetschefen samråda med ledningen och relevanta tillgångsägare och bör ansvara för att skapa, implementera och underhålla procedurer och åtgärder för att upprätthålla säkerheten för enheter som tas bort från företagets lokaler.

Allmän vägledning om efterlevnad

Kontroll 7.9 listar sex krav som organisationer bör följa när de utformar och implementerar åtgärder och riktlinjer för skydd av tillgångar som tas utanför anläggningen:

  1. Datorutrustning och lagringsmedia som tas utanför anläggningen såsom företagsdatorer, USB-enheter, hårddiskar och bildskärmar bör inte lämnas obevakad i offentliga utrymmen som kaféer eller i något otryggt område.

  2. Enhetstillverkarens vägledning och specifikationer om det fysiska skyddet för den relevanta enheten bör alltid följas. Till exempel kan enhetstillverkarens instruktioner innehålla hur man skyddar enheten/utrustningen mot vatten, värme, elektromagnetiska fält och damm.

  3. Anställda och/eller andra organisationer som tar datorutrustning utanför företagets lokaler kan överföra denna utrustning till andra anställda eller tredje part. För att upprätthålla säkerheten för denna utrustning bör organisationer föra en logg som definierar spårbarhetskedjan. Denna loggpost bör åtminstone innehålla namn på individer ansvarig för enheten och dess organisation.

  4. Om en organisation anser att en auktoriseringsprocess är nödvändig och praktisk för att avlägsna utrustning från företagets lokaler, bör den upprätta och tillämpa ett tillståndsförfarande för att ta med viss utrustning utanför anläggningen. Denna auktoriseringsprocedur bör också innefatta att föra ett register över alla åtgärder för att ta bort enheten så att organisationen har ett revisionsspår.

  5. Lämpliga åtgärder bör vidtas för att eliminera risken för obehörig visning av information på skärmen i kollektivtrafiken.

  6. Platsspårningsverktyg och fjärråtkomst bör finnas på plats så att enheten kan spåras och informationen i enheten kan raderas på distans vid behov.

Kompletterande vägledning om kontroll 7.9

Kontroll 7.9 föreskriver även krav på skydd av utrustning som permanent installeras utanför företagets lokaler.

Denna utrustning kan innefatta antenner och bankomater.

Med tanke på att denna utrustning kan utsättas för ökade risker för skada och förlust, kräver Control 7.9 att organisationer tar hänsyn till följande när de skyddar denna utrustning utanför anläggningen:

  1. Kontroll 7.4, nämligen den fysiska säkerhetsövervakningen, bör övervägas.

  2. Kontroll 7.5, nämligen skyddet mot miljöhot och fysiska hot bör beaktas

  3. Åtkomstkontroller bör upprättas och lämpliga åtgärder bör vidtas för att förhindra manipulering.

  4. Logiska åtkomstkontroller bör skapas och tillämpas.

Kontroll 7.9 rekommenderar dessutom att organisationer överväger kontrollerna 6.7 och 8.1 när de definierar och implementerar åtgärder för att skydda enheter och utrustning.

Är du redo för
den nya ISO 27002

Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo

Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Ändringar och skillnader från ISO 27002:2013

27002:2022/ 7.9 ersätter 27002:2013/(11.2.6)

Det finns tre viktiga skillnader som måste belysas:

  • Kontroll 7.9 föreskriver mer omfattande krav

I jämförelse med 2013 års version, Kontroll 7.9 i 2022 års version inför följande två krav:

  1. Lämpliga åtgärder bör vidtas för att eliminera risken för obehörig visning av information på skärmen i kollektivtrafiken.

  2. Platsspårningsverktyg och fjärråtkomst bör finnas på plats så att enheten kan spåras och informationen i enheten kan raderas på distans vid behov.
  • Control 7.9 introducerar nya krav för permanent installerade externa enheter

Till skillnad från 2013 års version innehåller Control 7.9 i 2022 års version separat vägledning om skydd av utrustning som är permanent installerad på en annan plats.

Dessa kan innefatta antenner och bankomater.

  • Förbud mot distansarbete för att eliminera risker

2013 års version angav uttryckligen att organisationer kan förbjuda anställda att arbeta på distans när det är lämpligt för den identifierade risknivån. 2022 års version hänvisar dock inte till en sådan åtgärd.

Hur ISMS.online hjälper

Du kan använda ISMS.online för att hantera din ISO 27002-implementering, eftersom det har utformats specifikt för att hjälpa ett företag att implementera sitt ledningssystem för informationssäkerhet (ISMS) för att uppfylla kraven i ISO 27002.

Plattformen använder ett riskbaserat tillvägagångssätt kombinerat med branschledande bästa praxis och mallar för att hjälpa dig identifiera riskerna som din organisation står inför och de kontroller som behövs för att hantera dessa risker. Detta gör att du systematiskt kan minska både din riskexponering och dina efterlevnadskostnader.

Hör av dig idag för att boka en demo.

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer