Medan övergången till distansarbete och växande användning av mobila enheter ökar medarbetarnas produktivitet och sparar organisationer pengar, är användarens slutpunktsenheter som bärbara datorer, mobiltelefoner och surfplattor sårbara för cyberhot. Detta beror på att cyberbrottslingar ofta utnyttjar dessa enheter för att vinna obehörig åtkomst till företagsnätverk och äventyrar informationstillgångar.
Till exempel kan cyberbrottslingar rikta in sig på anställda med en nätfiskeattack, övertala anställda att ladda ner en bifogad fil med skadlig programvara och sedan använda denna skadlig programvara-infekterade användarändpunktsenhet för att sprida skadlig programvara över hela företagets nätverk. Denna attack kan resultera i förlust av tillgänglighet, integritet eller konfidentialitet för informationstillgångar.
Enligt en undersökning genomfört med 700 IT-proffs, upplevde omkring 70 % av organisationerna kompromisser med informationstillgångar och IT-infrastruktur som ett resultat av en slutpunktsanvändares enhetsrelaterad attack 2020.
Kontroll 8.1 tar upp hur organisationer kan upprätta, underhålla och implementera ämnesspecifika policyer, procedurer och tekniska åtgärder för att säkerställa att informationstillgångar som lagras eller bearbetas på användarens slutpunktsenheter inte äventyras, förloras eller stjäls.
Kontroll 8.1 gör det möjligt för organisationer att skydda och upprätthålla säkerhet, konfidentialitet, integritet och tillgänglighet för informationstillgångar som finns på eller tillgängliga via slutpunktanvändarenheter genom att installera lämpliga policyer, rutiner och kontroller.
Kontroll 8.1 är förebyggande till sin natur. Det kräver att organisationer implementerar policyer, procedurer och tekniska åtgärder som gäller för alla användares slutpunktsenheter som är värd för eller bearbetar informationstillgångar så att de inte äventyras, förloras eller blir stulna.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Asset Management #Informationsskydd | #Skydd |
Med tanke på att överensstämmelse med kontroll 8.1 innebär att skapa, underhålla och följa organisationsomfattande ämnesspecifik policy, procedurer och tekniska åtgärder, informationssäkerhetsansvarig bör bära ansvaret för efterlevnaden med kraven i kontroll 8.1.
Control 8.1 kräver att organisationer skapar en ämnesspecifik policy som tar upp hur användarens slutpunktsenheter ska konfigureras säkert och hur dessa enheter ska hanteras av användare.
All personal bör informeras om denna policy och policyn bör omfatta följande:
Vidare noterar den allmänna vägledningen att organisationer bör överväga att förbjuda lagring av känslig informationstillgångar på användarens slutpunktsenheter genom att implementera tekniska kontroller.
Dessa tekniska kontroller kan inkludera inaktivering av lokala lagringsfunktioner som SD-kort.
För att omsätta dessa rekommendationer i praktiken bör organisationer tillgripa Configuration Management som anges i Control 8.9 och använda automatiserade verktyg.
All personal bör informeras om säkerhetsåtgärderna för användarens slutpunktsenheter och procedurer som de bör följa. Dessutom borde de vara det medvetna om sitt ansvar för att tillämpa dessa åtgärder och förfaranden.
Organisationer bör instruera personalen att följa följande regler och procedurer:
Dessutom rekommenderas organisationer också att upprätta ett särskilt förfarande för förlust eller stöld av användarens slutpunktsenheter. Detta förfarande bör skapas med hänsyn till juridiska, avtalsmässiga och säkerhetskrav.
Samtidigt som att tillåta personal att använda sina egna personliga enheter för arbetsrelaterade ändamål sparar organisationer pengar, men det utsätter känslig informationstillgångar för nya risker.
Kontroll 8.1 listar fem rekommendationer som organisationer bör överväga när de tillåter anställda att använda sina egna enheter för arbetsrelaterade uppgifter:
Organisationer bör utveckla och underhålla rutiner för:
När användarens slutpunktsenheter tas ut från organisationens lokaler kan informationstillgångar exponeras för ökade risker för kompromisser. Därför kan organisationer behöva upprätta olika kontroller för enheter som används utanför lokaler.
Dessutom varnar Control 8.1 organisationer mot förlust av information på grund av två risker relaterade till trådlösa anslutningar:
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
27002:2022/8.1 ersätter 27002:2013/(6.2.1 och 12.2.8)
In kontrast till 2022 års version som adresserar användarens slutpunktsenheter under en kontroll(8.1), 2013 års version inkluderade två separata kontroller: Mobile Device Policy i Control 6.2.1 och Unnattended User Equipment in Control 11.2.8.
Dessutom, medan Control 8.1 i 2022-versionen gäller för alla användares slutpunktsenheter som bärbara datorer, surfplattor och mobiltelefoner, hänvisade 2013-versionen endast till de mobila enheterna.
Även om båda versionerna i stort sett är lika när det gäller kraven på användaransvar, innehåller 2022-versionen ytterligare ett krav:
Jämfört med 2013 års version introducerar kontroll 8.1 i 2022 års version tre nya krav för användning av personalens privata enheter (BYOD):
I likhet med 2013-versionen kräver 2022-versionen också att organisationer antar en ämnesspecifik policy för användarens slutpunktsenheter.
Kontrollen 8.1 i 2022 års version är dock mer omfattande eftersom den innehåller tre nya element som måste inkluderas:
ISMS.Online är den ledande programvaran för ledningssystem för ISO 27002 som stöder efterlevnad av ISO 27002 och hjälper företag att anpassa sina säkerhetspolicyer och procedurer med standarden.
Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
