ISO 27002 Kontroll 7.9: Säkra tillgångar utanför kontoret
När enheter som innehåller informationstillgångar tas ut från en organisations lokaler kommer de att utsättas för högre risker för skada, förlust, förstörelse, stöld eller kompromiss.
Det här är för att fysiska säkerhetskontroller implementerade inom en organisations anläggningar kommer inte att vara effektiva, vilket gör att tillgångarna som tas utanför platsen blir sårbara för hot som fysiska risker och otillåten åtkomst av illvilliga parter.
Till exempel kan anställda som arbetar utanför arbetsplatsen ta företagsdatorer som innehåller känslig information från affärslokaler, arbeta på ett kafé eller en hotellobby, ansluta till ett osäkert allmänt Wi-Fi och lämna sina enheter utan uppsikt. Alla dessa är närvarande risker för säkerheten, konfidentialitet, integritet och tillgänglighet för information som finns på dessa enheter.
Därför bör organisationer se till att enheter som tas utanför platsen hålls säkra.
Kontrollera 7.9-adresser hur organisationer kan upprätthålla säkerheten för enheter utanför anläggningen som är värd för informationstillgångar genom att upprätta och implementera lämpliga kontroller och förfaranden.
Syfte med kontroll 7.9
Kontroll 7.9 gör det möjligt för organisationer att upprätthålla säkerheten för utrustning som innehåller informationstillgångar genom att förhindra två specifika risker:
- Eliminera och/eller minimera riskerna för förlust, skada, förstörelse eller kompromittering av enheter som innehåller informationstillgångar när de tas bort från lokaler.
- Förhindrar risk för avbrott i organisationens informationsbehandling aktiviteter på grund av kompromiss med enheter utanför anläggningen.
Attributtabell för kontroll 7.9
Kontroll 7.9 är förebyggande till sin natur. Det gör det möjligt för organisationer att införa lämpliga kontroller och procedurer förebyggande så att enheter som tas bort från en organisations lokaler ges samma skyddsnivå som tillhandahålls för enheter som finns på plats.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Fysisk säkerhet | #Skydd |
| #Integritet | #Asset Management | |||
| #Tillgänglighet |
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 7.9
Kontroll 7.9 kräver att organisationer upprättar och tillämpar procedurer och kontroller som täcker alla enheter som ägs av eller används för organisationens räkning. Dessutom är skapandet av en tillgångsinventering och den högsta ledningens godkännande av användningen av personliga enheter väsentligt för ett effektivt skydd av externa enheter.
Därför bör informationssäkerhetschefen samråda med ledningen och relevanta tillgångsägare och bör ansvara för att skapa, implementera och underhålla procedurer och åtgärder för att upprätthålla säkerheten för enheter som tas bort från företagets lokaler.
Allmän vägledning om efterlevnad
Kontroll 7.9 listar sex krav som organisationer bör följa när de utformar och implementerar åtgärder och riktlinjer för skydd av tillgångar som tas utanför anläggningen:
- Datorutrustning och lagringsmedia som tas utanför anläggningen såsom företagsdatorer, USB-enheter, hårddiskar och bildskärmar bör inte lämnas obevakad i offentliga utrymmen som kaféer eller i något otryggt område.
- Enhetstillverkarens vägledning och specifikationer om det fysiska skyddet för den relevanta enheten bör alltid följas. Till exempel kan enhetstillverkarens instruktioner innehålla hur man skyddar enheten/utrustningen mot vatten, värme, elektromagnetiska fält och damm.
- Anställda och/eller andra organisationer som tar datorutrustning utanför företagets lokaler kan överföra denna utrustning till andra anställda eller tredje part. För att upprätthålla säkerheten för denna utrustning bör organisationer föra en logg som definierar spårbarhetskedjan. Denna loggpost bör åtminstone innehålla namn på individer ansvarig för enheten och dess organisation.
- Om en organisation anser att en auktoriseringsprocess är nödvändig och praktisk för att avlägsna utrustning från företagets lokaler, bör den upprätta och tillämpa ett tillståndsförfarande för att ta med viss utrustning utanför anläggningen. Denna auktoriseringsprocedur bör också innefatta att föra ett register över alla åtgärder för att ta bort enheten så att organisationen har ett revisionsspår.
- Lämpliga åtgärder bör vidtas för att eliminera risken för obehörig visning av information på skärmen i kollektivtrafiken.
- Platsspårningsverktyg och fjärråtkomst bör finnas på plats så att enheten kan spåras och informationen i enheten kan raderas på distans vid behov.
Kompletterande vägledning om kontroll 7.9
Kontroll 7.9 föreskriver även krav på skydd av utrustning som permanent installeras utanför företagets lokaler.
Denna utrustning kan innefatta antenner och bankomater.
Med tanke på att denna utrustning kan utsättas för ökade risker för skada och förlust, kräver Control 7.9 att organisationer tar hänsyn till följande när de skyddar denna utrustning utanför anläggningen:
- Kontroll 7.4, nämligen den fysiska säkerhetsövervakningen, bör övervägas.
- Kontroll 7.5, nämligen skyddet mot miljöhot och fysiska hot bör beaktas
- Åtkomstkontroller bör upprättas och lämpliga åtgärder bör vidtas för att förhindra manipulering.
- Logiska åtkomstkontroller bör skapas och tillämpas.
Kontroll 7.9 rekommenderar dessutom att organisationer överväger kontrollerna 6.7 och 8.1 när de definierar och implementerar åtgärder för att skydda enheter och utrustning.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/ 7.9 ersätter 27002:2013/(11.2.6)
Det finns tre viktiga skillnader som måste belysas:
- Kontroll 7.9 föreskriver mer omfattande krav
I jämförelse med 2013 års version, Kontroll 7.9 i 2022 års version inför följande två krav:
- Lämpliga åtgärder bör vidtas för att eliminera risken för obehörig visning av information på skärmen i kollektivtrafiken.
- Platsspårningsverktyg och fjärråtkomst bör finnas på plats så att enheten kan spåras och informationen i enheten kan raderas på distans vid behov.
- Control 7.9 introducerar nya krav för permanent installerade externa enheter
Till skillnad från 2013 års version innehåller Control 7.9 i 2022 års version separat vägledning om skydd av utrustning som är permanent installerad på en annan plats.
Dessa kan innefatta antenner och bankomater.
- Förbud mot distansarbete för att eliminera risker
2013 års version angav uttryckligen att organisationer kan förbjuda anställda att arbeta på distans när det är lämpligt för den identifierade risknivån. 2022 års version hänvisar dock inte till en sådan åtgärd.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
Du kan använda ISMS.online för att hantera din ISO 27002-implementering, eftersom det har utformats specifikt för att hjälpa ett företag att implementera sitt ledningssystem för informationssäkerhet (ISMS) för att uppfylla kraven i ISO 27002.
Plattformen använder ett riskbaserat tillvägagångssätt kombinerat med branschledande bästa praxis och mallar för att hjälpa dig identifiera riskerna som din organisation står inför och de kontroller som behövs för att hantera dessa risker. Detta gör att du systematiskt kan minska både din riskexponering och dina efterlevnadskostnader.
Hör av dig idag för att boka en demo.
