ISO 27701-efterlevnad: Hantera mobila enheter och risker för fjärrarbete
Mobila enheter och distansarbete håller snabbt på att bli en del av den moderna arbetsplatsen.
Organisationens behov av att säkerställa att alla typer av enheter omfattas av en generell enhetspolicy för slutanvändare som tar hänsyn till enhetens natur, hur den kommer att användas i samband med PII, hur den hanteras av organisationen och vilka slutanvändarens skyldigheter när du använder enheten.
ISO ber organisationer att kategorisera endpoint-enheter på två sätt:
- Enheter som ska användas inom ramen för organisationens nätverk och fysiska lokaler.
- Enheter som används både inom och utanför organisationens LAN och fysiska lokaler.
Vad som omfattas av ISO 27701 klausul 6.3.2
Klausul 6.3.2 täcker två nyckelaspekter av vad som tidigare var känt som "distansarbete", men är nu mer känt som "fjärrarbete" - enhetshantering och generaliserade principer för distansarbete.
Klausul 6.3.2 delar upp dessa i två underklausuler, som innehåller vägledning från två länkade underklausuler som handlar om organisatorisk datasäkerhet i ISO 27002:
- ISO 27701 6.3.2.1 – Mobila enheter och distansarbete (Referenser ISO 27002 Kontroll 8.1)
- ISO 27701 6.3.2.2 – Distansarbete (Referenser ISO 27002 Kontroll 6.7)
Underavsnitt 6.3.2.1 innehåller ytterligare vägledning om tillämpliga områden av GDPR-lagstiftningen.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Ingen av underklausulerna innehåller någon ytterligare vägledning för att upprätta eller underhålla ett PIMS, inom ramen för fjärrarbete eller användarenhetshantering.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.3.2.1 – Mobila enhetspolicyer
Referenser ISO 27002 Kontroll 8.1
Organisationer bör implementera ämnesspecifika policyer som behandlar olika kategorier av slutpunktsenheter och mjukvaruversioner för mobila enheter, och hur säkerhetskontroller bör skräddarsys för att förbättra datasäkerheten.
En organisations policy för mobila enheter, procedurer och stödjande säkerhetsåtgärder bör ta hänsyn till:
- De olika kategorierna av data som enheten kan både bearbeta och lagra.
- Hur enheter registreras och identifieras i nätverket.
- Hur enheter kommer att skyddas fysiskt.
- Eventuella begränsningar för applikationer och programvaruinstallationer.
- Fjärrhantering, inklusive uppdateringar och patchar.
- Användaråtkomstkontroller, inklusive RBAC vid behov.
- Kryptering.
- Motåtgärder mot skadlig programvara (hanterade eller ohanterade).
- BUDR.
- Surfrestriktioner.
- Användaranalys (se ISO 27002 Kontroll 8.16).
- Installation, användning och fjärrhantering av flyttbara lagringsenheter eller flyttbara kringutrustning.
- Hur man separerar data på enheten, så att PII partitioneras bort från standardenhetsdata (inklusive användarens personliga data). Detta inkluderar att överväga om det är lämpligt att lagra någon form av organisationsdata på den fysiska enheten, snarare än att använda enheten för att ge onlineåtkomst till den.
- Vad händer när en enhet tappas bort eller blir stulen – det vill säga att ta itu med eventuella juridiska, regulatoriska eller kontraktuella krav, och ta itu med organisationens försäkringsgivare.
Individuellt användaransvar
Alla i organisationen som använder fjärråtkomst måste göras uttryckligen medvetna om alla policyer och procedurer för mobila enheter som gäller dem inom ramen för säker hantering av slutpunktsenheter.
Användare bör instrueras att:
- Stäng alla aktiva arbetssessioner när de inte längre används.
- Implementera fysiska och digitala skyddskontroller, som krävs av policyn.
- Var uppmärksam på deras fysiska omgivning – och de inneboende säkerhetsrisker de innehåller – när du kommer åt säker data med hjälp av enheten.
Ta med din egen enhet (BYOD)
Organisationer som tillåter personal att använda personligt ägda enheter bör också överväga följande säkerhetskontroller:
- Installera programvara på enheten (inklusive mobiltelefoner) som hjälper till att separera affärs- och personuppgifter.
- Genomföra en BYOD-policy som inkluderar:
- Erkännande av organisatoriskt ägande av PII.
- Fysiska och digitala skyddsåtgärder (se ovan).
- Fjärradering av data.
- Alla åtgärder som säkerställer anpassning till PII-lagstiftning och regulatorisk vägledning.
- IP-rättigheter, rörande företagets ägande av allt som har producerats på en personlig enhet.
- Organisatorisk åtkomst till enheten – antingen för integritetsskydd eller för att följa en intern eller extern utredning.
- Licensavtal och programvarulicenser som kan påverkas av användningen av kommersiell programvara på en privatägd enhet.
Trådlösa konfigurationer
När organisationer utarbetar procedurer som handlar om trådlös anslutning på slutpunktsenheter bör organisationer:
- Överväg noga hur sådana enheter bör tillåtas att ansluta till trådlösa nätverk för Internetåtkomst, i syfte att skydda PII.
- Se till att trådlösa anslutningar har tillräcklig kapacitet för att underlätta säkerhetskopiering eller andra ämnesspecifika funktioner.
Relevanta ISO 27002-kontroller
- ISO 27002 kontroll 8.9 – Configuration Management
- ISO 27002 kontroll 8.16 – Övervakning av aktiviteter
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.3.2.2 – Distansarbete
Referenser ISO 27002 Kontroll 6.7
Precis som med användarenhetshantering bör policyer för distansarbete vara ämnesspecifika och relatera till de olika roller som utförs inom organisationen.
När man formulerar policyer för distansarbete bör organisationer överväga:
- Eventuella potentiella risker påverkar den fysiska säkerheten och informationssäkerheten för enheter på specifika fjärrarbetsplatser, inklusive åtkomst av obehörig personal.
- Kontroller som skyddar affärsdata, inklusive transportsäkerhet, tydliga skrivbordspolicyer, säker utskrift, antimalware-plattformar, brandväggar etc.
- En kategorisk lista över accepterade fjärrarbetsplatser, inklusive allmänna utrymmen som hotell, offentliga mötesrum och distansarbetsplatser.
- Hur enheten kommer att kommunicera med organisationens nätverk (VPN-parametrar etc.), relaterat till kategorin av data som överförs och arten av organisationens PII-drift.
- Virtuella skrivbordsmiljöer.
- Trådlösa säkerhetsprotokoll och de underliggande säkerhetsriskerna som är vanliga i hemnätverk eller offentliga nätverk.
- Fjärrhantering av enheter (fjärrstyrning, installationer, radering av data etc).
- Autentiseringsmetoder, mer specifikt, användningen av MFA.
För att förbättra integritetsskyddet och skydda PII bör allmänna och ämnesspecifika policyer för distansarbete inkludera:
- Tillhandahållande av adekvat utrustning (IKT-utrustning och fysiska lagringsåtgärder), där sådan utrustning inte finns i fjärrarbetsmiljön.
- Tydliga riktlinjer för vilken typ av arbete som får utföras och vilka system, data och applikationer som går att nå på distans.
- Utbildningsprogram som styr distansarbete, både vad gäller de enheter som används och vad som förväntas av distansarbetare ur ett praktiskt och avtalsmässigt perspektiv.
- Åtgärder som erbjuder granulär fjärrhantering av slutpunktsenheter, inklusive skärmlåsfunktionalitet, GPS-spårning och fjärrrevision.
- Fysiska säkerhetsåtgärder som styr användningen av organisation och användarägda kit utanför platsen, inklusive åtkomst från tredje part.
- Försäkringsskydd.
- En fjärrarbetsspecifik BUDR-plan, inklusive kontinuitetskontroller.
- Rutiner som beskriver hur fjärranvändaråtkomst begränsas eller återkallas vid behov.
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.3.2.1 | Policy för mobila enheter |
8.1 – User Endpoint Devices för ISO 27002 |
Artikeln Lagring |
| 6.3.2.2 | distansarbete |
6.7 – Fjärrarbete för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
På ISMS.online kan vi införliva informationssäkerhetshantering för leveranskedjan i ditt ISMS.
Snabba och praktiska prestandamått kan också användas för att övervaka framstegen hos dina leverantörer och andra tredjepartspartnerskap.
Använd ISMS.online Clusters för att samla hela leveranskedjan på en plats för tydlighet, insikt och kontroll.
Ta reda på mer och få en praktisk demonstration av boka en demo.
