ISO 27701 Klausul 6.8.2: Säkerhetsutrustning för efterlevnad av integritet
Vid sidan av "logiska" kontroller – mjukvarubaserade åtkomstbegränsningar och serverbaserade administrativa funktioner, lägger ISO också stor vikt vid den roll som utrustningssäkerhet måste spela för skydd av PII och integritetsrelaterade tillgångar.
Organisationer måste ta hänsyn till ett brett spektrum av faktorer, från BYOD-protokoll, till platsen för integritetstillgångar, hur användare beter sig när de kommer åt dem, hur kitet tas bort och tydliga skrivbords-/skärmpolicyer.
Vad som omfattas av ISO 27701 klausul 6.8.2
ISO 27701 klausul 6.8.2 är en långtgående klausul som täcker många olika aspekter av utrustningskontroll och säkerhet.
Det finns 9 underklausuler att ta hänsyn till, var och en innehåller vägledning från en medföljande klausul i ISO 27002, tillämpas inom ramen för integritetsskydd:
- ISO 27701 6.8.2.1 – Utrustningsplacering och skydd (Referenser ISO 27002 kontroll 7.8)
- ISO 27701 6.8.2.2 – Understödjande verktyg (Referenser ISO 27002 kontroll 7.11)
- ISO 27701 6.8.2.3 – Kabelsäkerhet (Referenser ISO 27002 kontroll 7.12)
- ISO 27701 6.8.2.4 – Underhåll av utrustning (Referenser ISO 27002 kontroll 7.13)
- ISO 27701 6.8.2.5 – Borttagning av tillgångar (Referenser ISO 27002 kontroll 7.10)
- ISO 27701 6.8.2.6 – Säkerhet av utrustning och tillgångar utanför lokaler (Referenser ISO 27002 kontroll 7.9)
- ISO 27701 6.8.2.7 – Säker kassering eller återanvändning av utrustning (Referenser ISO 27002 kontroll 7.14)
- ISO 27701 6.8.2.8 – Oövervakad användarutrustning (Referenser ISO 27002 kontroll 8.1)
- ISO 27701 6.8.2.9 – Tydligt skrivbord och tydlig skärmpolicy (Referenser ISO 27002 kontroll 7.7)
ISO erbjuder ingen ytterligare vägledning angående implementering eller underhåll av ett PIMS, och bara två underklausuler (6.8.2.9 och 6.8.2.7) innehåller information som måste beaktas tillsammans med brittisk GDPR-lagstiftning.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 6.8.2.1 – Utrustningsplacering och skydd
Referenser ISO 27002 Kontroll 7.8
För att minimera risken för PII och integritetsrelaterade tillgångar, som kan utsättas för förlust eller obehörig åtkomst på grund av skada, bör organisationer:
- Placera utrustning på lämpligt sätt – inklusive tillgångar och anläggningar för behandling av sekretess – för att förhindra behovet av obehörig personal att komma åt begränsade områden.
- Minimera risken för oavsiktlig eller avsiktlig visning av begränsat material (särskilt PII).
- Minska risken för miljöhot eller fysiska hot (t.ex. stöld, brand, översvämning).
- Sätt våra tydliga regler som handlar om att äta, röka eller dricka nära integritetsrelaterade tillgångar och information.
- Se till att integritetsrelaterade tillgångar förvaras i miljöer med lämpliga nivåer av värme och luftfuktighet.
- Implementera åskskyddskontroller.
- Genomföra ad hoc-åtgärder för integritetsrelaterade tillgångar som hålls i produktionsområden (dammsköldar, säker bostad, elektromagnetisk avskärmning etc).
- Segregera organisatoriska och icke-organisatoriska integritetsbehandlingsfaciliteter.
ISO 27701 Klausul 6.8.2.2 – Understödjande verktyg
Referenser ISO 27002 Kontroll 7.11
Det är viktigt att skydda PII-bearbetningsanläggningar från eventuella störningar eller incidenter som härrör från vad ISO anser vara "stödjande verktyg" (el, gas, vatten, avlopp etc).
För att minimera risken för PII bör organisationer:
- Följ alltid leverantörernas rekommendationer när du konfigurerar utrustning på plats.
- Utför periodiska revisioner av verktyg för att säkerställa att de uppfyller organisationens operativa och finansiella behov, och tillgodose tillhandahållandet av alla andra verktyg.
- Testa regelbundet verktyg för att säkerställa kontinuitet i verksamheten och ta upp eventuella problem med elleverantören direkt.
- Se till att verktyg drar nytta av flera flöden och "diverse routing".
- Upprätthålla ett system som separerar verktyg på sitt eget interna nätverk från PII-bearbetningsanläggningar, där sådana faciliteter kräver LAN-åtkomst, och endast ge dem WAN-åtkomst om det uttryckligen krävs.
- Tillhandahålla nödtjänster – såsom nödbelysning, telefonutrustning med en dedikerad krets som är redundant från huvudkommunikationssystemet, nödkontaktnummer och lättillgängliga nödutgångar.
- Utforska möjligheten att ta emot flera routrar per verktygsleverantör.
ISO 27701 Klausul 6.8.2.3 – Kabelsäkerhet
Referenser ISO 27002 Kontroll 7.12
PII överförs till stor del via kablar. Som sådan bör organisationer införa kabelsäkerhetskontroller som skyddar integritetsrelaterad information från avlyssning och/eller förlust.
Kabelsäkerhet är ett mycket specialiserat område, och organisationer bör söka expertråd där så är tillämpligt. Med det sagt finns det några grundläggande styrande principer att följa.
Allmän vägledning
Organisationer bör:
- Dra kraft- och kommunikationskablar under jord.
- Se till att kablar över marken skyddas av åtgärder som lämplig kanal, golvhus och elstolpar.
- Separera strömkablar från nätverks- och kommunikationskablar för att förhindra störningar.
- Se till att kablar har etiketter i varje ände, för att hjälpa till med underhåll och anslutningsaktiviteter.
Kritiska system
När det gäller affärskritisk och kommersiellt känslig information finns det ett antal ytterligare kontroller som organisationer bör överväga:
- Pansarutrustning, inklusive larm och säkra rum vid kabelanslutningspunkter, inklusive kontrollerad och loggad åtkomst.
- Elektromagnetisk skärmning.
- Ökad fysisk inspektion.
ISO 27701 Klausul 6.8.2.4 – Utrustningsunderhåll
Referenser ISO 27002 Kontroll 7.13
För att förhindra obehörig åtkomst till PII – eller skada på eventuella integritetsrelaterade tillgångar – bör organisationer underhålla all utrustning i enlighet med tillverkarens riktlinjer, inklusive:
- Att följa ett robust underhållsschema, utfört av utbildad och auktoriserad personal.
- Loggar alla fel – inklusive eventuella misstänkta fel.
- Om så är lämpligt, utsätta extern underhållspersonal för ett sekretessavtal.
- Se till att tredjeparts underhållsentreprenörer är lämpligt övervakade när de utför sina uppgifter på plats.
- Utöva nära kontroll över fjärrunderhållsfunktioner, särskilt de som utförs av tredje parts personal.
ISO 27701 Klausul 6.8.2.5 – Borttagning av tillgångar
Referenser ISO 27002 Kontroll 7.10
Flyttbart lagringsmedia
När organisationer utvecklar policyer som styr borttagningen av mediatillgångar som lagrar PII, bör organisationer:
- Övervaka överföringen av PII till lagringsmedia, för alla ändamål.
- Utveckla ämnesspecifika policyer baserat på specifika rollkrav.
- Se till att auktorisation söks och beviljas innan personal kan ta bort lagringsmedia från nätverket.
- Förvara media i enlighet med tillverkarens specifikationer.
- Se till att media är fria från miljöskador.
- Överväg att använda krypteringsmetoder och implementera ytterligare fysiska säkerhetsåtgärder.
- Minimera risken för att PII blir korrupt genom att överföra information mellan lagringsmedia till en uppsättning riktlinjer för bästa praxis.
- Inför redundans genom att lagra PII på flera tillgångar samtidigt.
- Använd endast lagringsmedia på godkända ingångar (t.ex. SD-kort och USB-portar).
- Tänk på inneboende risker vid överföring av PII mellan lagringsmedia eller vid flytt av tillgångar mellan personal eller lokaler (se ISO 27002 kontroll 5.14).
Återanvändning och/eller avyttring av tillgångar
När organisationer återanvänder, återanvänder eller gör sig av med lagringsmedia bör:
- Formatera lagringsmedia och se till att all PII dokumenteras och tas bort innan återanvändning (se ISO 27002 kontroll 8.10).
- Kassera på ett säkert sätt alla media som organisationen inte har någon vidare användning för och som har använts för att lagra PII.
- (Om bortskaffande kräver inblandning av en tredje part) var noga med att säkerställa att de är en lämplig och korrekt partner, i linje med organisationens ansvar gentemot PII och integritetsskydd.
- Implementera procedurer som identifierar lagringsmedia som är tillgängliga för återanvändning eller som kan kasseras på ett säkert sätt.
Relevanta ISO 27002-kontroller
- ISO 27002 5.14
- ISO 27002 8.10
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 6.8.2.6 – Säkerhet för utrustning och tillgångar utanför lokaler
Referenser ISO 27002 Kontroll 7.9
Organisationer kommer ibland att behöva sanktionera användningen av externa enheter, som i sin tur har potential att få tillgång till PII och/eller integritetsrelaterad information – inklusive BYOD-enheter.
Tillfällig utrustning utanför anläggningen
När organisationer hanterar en enhet som antingen lagrar eller aktivt använder PII på en annan plats än officiellt angivna webbplatser, bör organisationer:
- Be all personal att inte lämna sådana enheter utan uppsikt på offentliga platser.
- Se till att tillverkarens riktlinjer följs, särskilt alla som rör enhetssäkerhet och miljöskydd.
- Håll en korrekt och uppdaterad logg över hur externa enheter skickas mellan personal, om behov skulle uppstå.
- (För organisationstillgångar) kräva korrekt auktorisation innan utrustning tas bort från lokalen och föra en logg över alla sådana aktiviteter (se ISO 27002 kontroll 5.14).
- Be personalen att vara uppmärksam på hur de använder tillgångar på offentliga platser, för att förhindra obehörig visning av PII och integritetsrelaterat material.
- Använd GPS-teknik och fjärrhantering för att hålla reda på externa enheter, samtidigt som du behåller möjligheten att fjärrensera dem.
Permanent extern utrustning
Det är ibland nödvändigt för en organisation att installera permanenta anläggningstillgångar, utanför sina lokaler eller kontor. Sådan utrustning inkluderar:
- Bankomater.
- Kommunikationsantenner.
- Radioutrustning.
När du installerar ett sådant kit bör organisationer överväga:
- Bevakning dygnet runt (antingen personligen eller via CCTV) (se ISO 27002 kontroll 7.4).
- Mjukvarubaserade åtkomstkontroller.
Relevanta ISO 27002-kontroller
- ISO 27002 5.14
- ISO 27002 7.4
ISO 27701 avsnitt 6.8.2.7 – Säker kassering eller återanvändning av utrustning
Referenser ISO 27002 Kontroll 7.14
PII och integritetsrelaterad information är särskilt utsatt när behovet uppstår att antingen göra sig av med eller återanvända lagring och bearbetning av tillgångar – antingen internt eller i samarbete med en specialiserad tredjepartsleverantör.
Framför allt måste organisationer se till att alla lagringsmedier som är markerade för bortskaffande, som har innehållit PII, bör fysiskt förstörda, torkas or överskriven (se ISO 27002 kontroller 7.10 och 8.10).
För att förhindra att PII äventyras på något sätt, när de gör sig av med eller återanvänder tillgångar, bör organisationer:
- Se till att alla etiketter antingen tas bort eller ändras vid behov – särskilt de som indikerar närvaron av PII.
- Ta bort alla fysiska och logiska säkerhetskontroller vid avveckling av anläggningar eller flytt av lokaler i syfte att återanvända dem på en ny plats.
Relevanta ISO 27002-kontroller
- ISO 27002 7.10
- ISO 27002 8.10
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
ISO 27701 Klausul 6.8.2.8 – Oövervakad användarutrustning
Referenser ISO 27002 Kontroll 8.1
Organisationer bör implementera ämnesspecifika policyer som handlar om olika kategorier av slutpunktsenheter, med fokus på att förbättra integritetsskyddet och PII-säkerheten.
Organisationer bör utarbeta policyer och förfaranden som tar hänsyn till:
- Förekomsten av PII i en organisations nätverk.
- Hur enheter initialt registreras och sedan identifieras.
- Fysiska skyddskontroller.
- Restriktioner för installation av programvara.
- Fjärrhantering.
- Användaråtkomstkontroller.
- Kryptografi.
- Anti-malware plattformar.
- Säkerhetskopiering och katastrofåterställning.
- Surfrestriktioner och innehållsfiltrering.
- Användaranalys (se ISO 27002 kontroll 8.16).
- Flyttbar lagring och tillhörande enheter.
- Enhetsbaserad datasegregation – det vill säga skapa en barriär mellan organisations- och persondata.
- Beredskapsplaner för borttappade eller stulna enheter.
Användaransvar
Användare av enheter utanför anläggningen bör ständigt vara medvetna om alla policyer och procedurer som gäller dem, som användare utanför anläggningen.
Som en allmän uppsättning principer bör användare:
- Stäng arbets-/fjärrsessioner när de inte längre används.
- Följ fysiska och logiska skyddsåtgärder.
- Var uppmärksam på deras fysiska omgivning när du får tillgång till PII eller integritetsrelaterad information (dvs. undvik "axelsurfning" i allmänna utrymmen).
Bring Your Own Device (BYOD)-protokoll
Organisationer som tillåter personal att använda sina egna personliga enheter bör också överväga:
- Installera programvara som hjälper till att separera affärs- och personuppgifter.
- Genomföra en BYOD-policy som inkluderar:
- Erkännande av organisatoriskt ägande av PII.
- Fysiska och digitala skyddsåtgärder (se ovan).
- Fjärradering av data.
- Alla åtgärder som säkerställer anpassning till PII-lagstiftning och regulatorisk vägledning.
- IP-rättigheter, rörande företagets ägande av allt som har producerats på en personlig enhet.
- Organisatorisk åtkomst till enheten – antingen för integritetsskydd eller för att följa en intern eller extern utredning.
- Licensavtal och programvarulicenser som kan påverkas av användningen av kommersiell programvara på en privatägd enhet.
Wi-Fi-riktlinjer
När organisationer överväger hur man hanterar WiFi-anslutning för externa enheter bör:
- Tänk noga på hur enheter kan ansluta till trådlösa nätverk (dvs. undvik osäkra nätverk när de använder PII).
- Se till att WiFi har tillräcklig kapacitet för att underlätta säkerhetskopiering, sköta underhållsaktiviteter och bearbeta data utan några större hinder för enhetens prestanda och datasäkerhet.
Relevanta ISO 27002-kontroller
- ISO 27002 8.9
- ISO 27002 8.16
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 6.8.2.9 – Clear Desk och Clear Screen Policy
Referenser ISO 27002 Kontroll 7.7
PII och integritetsrelaterad information är särskilt utsatt när vårdslös personal och tredjepartsentreprenörer inte följer säkerhetsåtgärder på arbetsplatsen som skyddar mot oavsiktlig eller avsiktlig visning av PII av obehörig personal.
Organisationer bör utarbeta ämnesspecifika policyer för tydliga skrivbord och tydliga skärmar (på en arbetsyta-för-arbetsyta om det behövs) som inkluderar:
- Döljer sig från tillfällig vy, låser in eller lagrar PII och integritetsrelaterad information på ett säkert sätt när sådant datamaterial inte krävs.
- Fysiska låsmekanismer på IKT-tillgångar.
- Digitala åtkomstkontroller – som visningstimeout, lösenordsskyddade skärmsläckare och automatiska utloggningsmöjligheter.
- Säker utskrift och omedelbar dokumentinsamling.
- Säker, låst förvaring av känslig dokumentation och korrekt bortskaffande av sådant material när det inte längre behövs (fragmentering, bortskaffande av tredje part etc.).
- Var uppmärksam på förhandsgranskningar av meddelanden (e-post, SMS, kalenderpåminnelser) som kan ge tillgång till känslig data; närhelst en skärm delas eller visas på en offentlig plats.
- Rensa fysiska displayer (t.ex. whiteboards och anslagstavlor) från känslig information, när det inte längre behövs.
När organisationer kollektivt lämnar lokaler – som vid en kontorsflytt eller liknande flytt – bör jag anstränga mig för att säkerställa att ingen dokumentation lämnas kvar, vare sig i skrivbord och arkivsystem, eller någon som kan ha hamnat på oklara platser.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.8.2.1 | Utrustningsplacering och skydd |
7.8 – Utrustningsplacering och skydd för ISO 27002 |
Ingen |
| 6.8.2.2 | Stöd till verktyg |
7.11 – Stödverktyg för ISO 27002 |
Ingen |
| 6.8.2.3 | Kabelsäkerhet |
7.12 – Kabelsäkerhet för ISO 27002 |
Ingen |
| 6.8.2.4 | Utrustningsunderhåll |
7.13 – Utrustningsunderhåll för ISO 27002 |
Ingen |
| 6.8.2.5 | Borttagning av tillgångar |
7.10 – Lagringsmedia för ISO 27002 |
Ingen |
| 6.8.2.6 | Säkerhet för utrustning och tillgångar utanför lokaler |
7.9 – Säkerhet för tillgångar utanför lokaler för ISO 27002 |
Ingen |
| 6.8.2.7 | Säker kassering eller återanvändning av utrustning |
7.14 – Säker kassering eller återanvändning av utrustning enligt ISO 27002 |
Artikeln Lagring |
| 6.8.2.8 | Oövervakad användarutrustning |
8.1 – User Endpoint Devices för ISO 27002 |
Ingen |
| 6.8.2.9 | Clear Desk och Clear Screen Policy |
7.7 – Clear Desk och Clear Screen för ISO 27002 |
Artikeln Lagring |
Hur ISMS.online hjälper
Vi gör ROPA enkelt
Vi gör datakartläggning till en enkel uppgift. Det är lätt att spela in och granska allt genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet.
Bedömningsmallar för dig
Det är enkelt att ställa in och köra olika typer av integritetsbedömningar, från dataskyddskonsekvensbedömningar till reglerings- eller efterlevnadsberedskap.
Vi har en inbyggd riskbank
Vi har skapat en inbyggd riskbank och en rad andra praktiska verktyg som hjälper till med varje del av riskbedömningen och hanteringsprocessen.
Boka en demo idag och ta reda på hur vi kan hjälpa din organisation att uppnå ISO 27701.
