ISO 27002, Kontroll 7.9, Säkerhet för tillgångar utanför lokaler

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002 Kontroll 7.9: Säkra tillgångar utanför kontoret

När enheter som innehåller informationstillgångar tas ut från en organisations lokaler kommer de att utsättas för högre risker för skada, förlust, förstörelse, stöld eller kompromiss.

Det här är för att fysiska säkerhetskontroller implementerade inom en organisations anläggningar kommer inte att vara effektiva, vilket gör att tillgångarna som tas utanför platsen blir sårbara för hot som fysiska risker och otillåten åtkomst av illvilliga parter.

Till exempel kan anställda som arbetar utanför arbetsplatsen ta företagsdatorer som innehåller känslig information från affärslokaler, arbeta på ett kafé eller en hotellobby, ansluta till ett osäkert allmänt Wi-Fi och lämna sina enheter utan uppsikt. Alla dessa är närvarande risker för säkerheten, konfidentialitet, integritet och tillgänglighet för information som finns på dessa enheter.

Därför bör organisationer se till att enheter som tas utanför platsen hålls säkra.

Kontrollera 7.9-adresser hur organisationer kan upprätthålla säkerheten för enheter utanför anläggningen som är värd för informationstillgångar genom att upprätta och implementera lämpliga kontroller och förfaranden.

Syfte med kontroll 7.9

Kontroll 7.9 gör det möjligt för organisationer att upprätthålla säkerheten för utrustning som innehåller informationstillgångar genom att förhindra två specifika risker:

Eliminera och/eller minimera riskerna för förlust, skada, förstörelse eller kompromittering av enheter som innehåller informationstillgångar när de tas bort från lokaler.
Förhindrar risk för avbrott i organisationens informationsbehandling aktiviteter på grund av kompromiss med enheter utanför anläggningen.

Attributtabell för kontroll 7.9

Kontroll 7.9 är förebyggande till sin natur. Det gör det möjligt för organisationer att införa lämpliga kontroller och procedurer förebyggande så att enheter som tas bort från en organisations lokaler ges samma skyddsnivå som tillhandahålls för enheter som finns på plats.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Fysisk säkerhet	#Skydd
	#Integritet		#Asset Management
	#Tillgänglighet

Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo

Äganderätt till kontroll 7.9

Kontroll 7.9 kräver att organisationer upprättar och tillämpar procedurer och kontroller som täcker alla enheter som ägs av eller används för organisationens räkning. Dessutom är skapandet av en tillgångsinventering och den högsta ledningens godkännande av användningen av personliga enheter väsentligt för ett effektivt skydd av externa enheter.

Därför bör informationssäkerhetschefen samråda med ledningen och relevanta tillgångsägare och bör ansvara för att skapa, implementera och underhålla procedurer och åtgärder för att upprätthålla säkerheten för enheter som tas bort från företagets lokaler.

Allmän vägledning om efterlevnad

Kontroll 7.9 listar sex krav som organisationer bör följa när de utformar och implementerar åtgärder och riktlinjer för skydd av tillgångar som tas utanför anläggningen:

Datorutrustning och lagringsmedia som tas utanför anläggningen såsom företagsdatorer, USB-enheter, hårddiskar och bildskärmar bör inte lämnas obevakad i offentliga utrymmen som kaféer eller i något otryggt område.
Enhetstillverkarens vägledning och specifikationer om det fysiska skyddet för den relevanta enheten bör alltid följas. Till exempel kan enhetstillverkarens instruktioner innehålla hur man skyddar enheten/utrustningen mot vatten, värme, elektromagnetiska fält och damm.
Anställda och/eller andra organisationer som tar datorutrustning utanför företagets lokaler kan överföra denna utrustning till andra anställda eller tredje part. För att upprätthålla säkerheten för denna utrustning bör organisationer föra en logg som definierar spårbarhetskedjan. Denna loggpost bör åtminstone innehålla namn på individer ansvarig för enheten och dess organisation.
Om en organisation anser att en auktoriseringsprocess är nödvändig och praktisk för att avlägsna utrustning från företagets lokaler, bör den upprätta och tillämpa ett tillståndsförfarande för att ta med viss utrustning utanför anläggningen. Denna auktoriseringsprocedur bör också innefatta att föra ett register över alla åtgärder för att ta bort enheten så att organisationen har ett revisionsspår.
Lämpliga åtgärder bör vidtas för att eliminera risken för obehörig visning av information på skärmen i kollektivtrafiken.
Platsspårningsverktyg och fjärråtkomst bör finnas på plats så att enheten kan spåras och informationen i enheten kan raderas på distans vid behov.

Kompletterande vägledning om kontroll 7.9

Kontroll 7.9 föreskriver även krav på skydd av utrustning som permanent installeras utanför företagets lokaler.

Denna utrustning kan innefatta antenner och bankomater.

Med tanke på att denna utrustning kan utsättas för ökade risker för skada och förlust, kräver Control 7.9 att organisationer tar hänsyn till följande när de skyddar denna utrustning utanför anläggningen:

Kontroll 7.4, nämligen den fysiska säkerhetsövervakningen, bör övervägas.
Kontroll 7.5, nämligen skyddet mot miljöhot och fysiska hot bör beaktas
Åtkomstkontroller bör upprättas och lämpliga åtgärder bör vidtas för att förhindra manipulering.
Logiska åtkomstkontroller bör skapas och tillämpas.

Kontroll 7.9 rekommenderar dessutom att organisationer överväger kontrollerna 6.7 och 8.1 när de definierar och implementerar åtgärder för att skydda enheter och utrustning.

Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo

Ändringar och skillnader från ISO 27002:2013

27002:2022/ 7.9 ersätter 27002:2013/(11.2.6)

Det finns tre viktiga skillnader som måste belysas:

Kontroll 7.9 föreskriver mer omfattande krav

I jämförelse med 2013 års version, Kontroll 7.9 i 2022 års version inför följande två krav:

Lämpliga åtgärder bör vidtas för att eliminera risken för obehörig visning av information på skärmen i kollektivtrafiken.
Platsspårningsverktyg och fjärråtkomst bör finnas på plats så att enheten kan spåras och informationen i enheten kan raderas på distans vid behov.

Control 7.9 introducerar nya krav för permanent installerade externa enheter

Till skillnad från 2013 års version innehåller Control 7.9 i 2022 års version separat vägledning om skydd av utrustning som är permanent installerad på en annan plats.

Dessa kan innefatta antenner och bankomater.

Förbud mot distansarbete för att eliminera risker

2013 års version angav uttryckligen att organisationer kan förbjuda anställda att arbeta på distans när det är lämpligt för den identifierade risknivån. 2022 års version hänvisar dock inte till en sådan åtgärd.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	Nytt	Hot intelligens
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
7.4	Nytt	Fysisk säkerhetsövervakning
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.16	Nytt	Övervakningsaktiviteter
8.23	Nytt	Webbfiltrering
8.28	Nytt	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	Nytt	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	Nytt	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	Nytt	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	Nytt	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	Nytt	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Du kan använda ISMS.online för att hantera din ISO 27002-implementering, eftersom det har utformats specifikt för att hjälpa ett företag att implementera sitt ledningssystem för informationssäkerhet (ISMS) för att uppfylla kraven i ISO 27002.

Plattformen använder ett riskbaserat tillvägagångssätt kombinerat med branschledande bästa praxis och mallar för att hjälpa dig identifiera riskerna som din organisation står inför och de kontroller som behövs för att hantera dessa risker. Detta gör att du systematiskt kan minska både din riskexponering och dina efterlevnadskostnader.

Hör av dig idag för att boka en demo.

ISO 27002:2022 – Kontroll 7.9 – Säkerhet för tillgångar utanför lokaler