ISO 27701 Klausul 6.8: Stärka fysisk och miljömässig säkerhet
Förutom digitala säkerhetsåtgärder (RBAC, kryptering och autentiseringskontroller) måste organisationer konstruera och hantera fysiska platser (platser, kontor, anläggningar) som erbjuder ökat skydd för PII varhelst det bearbetas eller lagras.
ISO beskriver många mänskliga, miljömässiga och urbana hot som bör bekämpas genom byggnadsplanering, riskhantering och robusta fysiska kontroller.
Vad som omfattas av ISO 27701 klausul 6.8
ISO 27701 6.8:s vägledning är spridd över sex underklausuler, som var och en innehåller vägledning från olika kontroller inom ISO 27002, tillämpas inom ramen för PII och integritetsskydd:
- ISO 27701 6.8.1.1 – Fysisk säkerhetsperimeter (Referenser ISO 27002 Kontroll 7.1)
- ISO 27701 6.8.1.2 – Fysiska inträdeskontroller (Referenser ISO 27002 Kontroll 7.2)
- ISO 27701 6.8.1.3 – Säkra kontor, rum och faciliteter (Referenser ISO 27002 Kontroll 7.3)
- ISO 27701 6.8.1.4 – Skydd mot yttre och miljöhot (Referenser ISO 27002 Kontroll 7.5)
- ISO 27701 6.8.1.5 – Arbeta i säkra områden (Referenser ISO 27002 Kontroll 7.6)
- ISO 27701 6.8.1.6 – Leverans- och lastområden (Referenser ISO 27002 Kontroll 7.2)
ISO 27701 klausul 6.8 innehåller ingen kompletterande vägledning för implementering och hantering av ett PIMS, och det finns inte heller några brittiska GDPR-artiklar att ta hänsyn till.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 6.8.1.1 – Fysisk säkerhetsperimeter
Referenser ISO 27002 Kontroll 7.1
Perimeterskyddet bygger på principen att skapa kontinuerliga interna fysiska barriärer som förhindrar obehörig åtkomst till privat information.
För att upprätthålla en end-to-end perimeterskyddsoperation bör organisationer förhindra fysisk åtkomst till PII genom att:
- Definiera och implementera säkerhetsperimetrar som tar hänsyn till lagring av känslig data (PII).
- Upprätthålla "fysiskt sunda" omkretsar som ger säker åtkomst 24/7.
- Låsning av alla yttre in- och utgångspunkter när ingen personal är närvarande (och säkra ventilationspunkter, där så är lämpligt).
- Skydda dörrar med larm och säkra åtkomståtgärder (nyckelkoder, automatiska låsmekanismer etc).
- Upprätthålla en robust uppsättning larmade branddörrar, som tar hänsyn till rådande lagstiftning om konstruktion av exteriöra och inre åtkomstpunkter.
- Utarbeta beredskapsplaner som möjliggör ökad säkerhet under kritiska situationer eller säkerhetsincidenter.
ISO 27701 Klausul 6.8.1.2 – Fysiska inträdeskontroller
Referenser ISO 27002 Kontroll 7.2
Medan ISO 27701 6.8.1.1 fokuserar på säkerhetsperimetrar, beskriver paragraf 6.8.1.2 allmänna principer för att säkerställa att endast auktoriserad personal har tillgång till områden som innehåller PII och integritetsrelaterade tillgångar.
Allmän vägledning
Organisationer bör:
- Begränsa enhetligt åtkomst till hela platser, byggnader och kontorsanläggningar till endast auktoriserad personal (inklusive nödutgångspunkter).
- Genomför regelbundna granskningar av åtkomstnivåer, som bör innehålla en generell uppdatering av alla åtkomstnivåer, efter behov (se ISO 27002 kontroll 5.18).
- Föra en loggbok, eller skapa ett digitalt revisionsspår, över tillgång till plats och rum (se ISO 27002 kontroll 5.33).
- Utveckla och installera tekniska åtkomståtgärder (nyckelkort, fobs, biometriska inpasseringssystem, kodade larm etc.).
- Upprätthålla ett övervakat receptionsområde.
- Undersök personliga tillhörigheter för intern och extern personal före inresa (OBS: regionala lagar om inspektion av personlig egendom kan hindra organisationer från att göra detta).
- Genomför bestämmelser om foto-ID för hela webbplatsen.
- Ge besökare begränsad åtkomst till alla områden som lagrar eller behandlar PII eller integritetsrelaterad information.
- Skapa beredskapsplaner för incidenter och kritiska scenarier.
- Upprätthålla ett nyckelhanteringssystem som loggar, granskar, underhåller, beviljar och återkallar åtkomst till autentiseringsmetoder som dörrentrésystem och kombinationslås (se ISO 27002 kontroll 5.17).
Besökare
När de tillåter besökare tillträde till begränsade områden bör organisationer:
- Verifiera besökarens identitet innan du ger åtkomst.
- Logga datum och tid för ett besök.
- Se till att besökets karaktär förstås och registreras, och att det är lämpligt inom ramen för det fysiska området som är tillgängligt.
- Se till att besökaren övervakas, där det är relevant.
Leverans- och lastområden
När organisationer designar och driver ett lastområde bör:
- Begränsa åtkomsten till lastutrymmen till verifierade företag och individer.
- Bygg lastutrymmet så att ingen annan del av lokalen är tillgänglig utan rätt tillstånd.
- Kontrollera mottagna leveranser för farligt, olagligt och explosivt material och manipulering innan du flyttar deras innehåll runt i lokalerna.
- Logga inkommande leveranser i linje med organisatoriska tillgångshanteringskontroller (se ISO 27002 kontroller 5.9 och 7.10).
- Erbjud ett utrymme för personal att fysiskt separera inkommande och utgående material.
Relevanta ISO 27002-kontroller
- ISO 27002 5.9
- ISO 27002 5.17
- ISO 27002 5.18
- ISO 27002 5.33
- ISO 27002 7.10
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 6.8.1.3 – Säkra kontor, rum och faciliteter
Referenser ISO 27002 Kontroll 7.3
Fysiskt skydd av PII och integritetsrelaterade tillgångar sträcker sig också till rum inom en etablerad säkerhetsperimeter. För att säkra kontor, rum och lokaler bör organisationer:
För att skydda interna anläggningar bör organisationer:
- Undvik att bygga kontorslokaler som tillåter medlemmar av allmänheten fri tillgång, utan lämpligt tillstånd.
- När det gäller PII-behandlingsanläggningar, undvik skyltar som anger syftet med anläggningen (internt eller externt).
- Bygg anläggningar som förhindrar att personal är synlig för allmänheten, med lämplig elektromagnetisk skärmning installerad vid behov.
- Dölj närvaron av PII-behandlingsanläggningar från onlinekartplattformar och kommunikationskataloger.
ISO 27701 klausul 6.8.1.4 – Skydd mot yttre hot och miljöhot
Referenser ISO 27002 Kontroll 7.5
Ett "hot" kan tolkas som vilken större händelse som helst som har potential att påverka PII eller integritetsrelaterade tillgångar.
Organisationer bör inleda en hotriskbedömning innan de utför "kritiska operationer", som tar hänsyn till förändringar i hotmiljön, inklusive både fysiska (t.ex. kriminell aktivitet) och miljöhot (översvämningar, bränder etc.).
När man bygger fysiska lokaler bör organisationer ta hänsyn till:
- Lokala geografiska och topologiska faktorer, inklusive markegenskaper, närliggande vatten och potentialen för en jordbävning.
- Eventuella hot som härrör från mänskliga källor inom stadsområden, såsom terroristisk eller kriminell verksamhet, och politiskt våld/orolighet.
När riskbedömningen är klar bör organisationer utveckla en serie kontroller som strävar efter att både förebygga och minimera risken för att ett hot ska inträffa eller upprepas.
ISO nämner brand, översvämning, elektriska överspänningar och sprängämnen/vapen som är av särskild betydelse. Om resurserna ansträngs bör organisationer fokusera på dessa fyra områden som en prioritet.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.8.1.5 – Arbeta i säkra områden
Referenser ISO 27002 Kontroll 7.6
Organisationer måste skydda PII och integritetsrelaterade tillgångar genom att implementera en säker arbetspolicy för all personal, som tar hänsyn till jobbroller och fysiska skyddsåtgärder.
När organisationer utformar arbetspolicyer inom säkra områden bör organisationer:
- Se till att personalen arbetar utifrån ett behov av att veta.
- Undvik att lämna personalen utan tillsyn under längre perioder.
- Se till att alla relevanta dörrar är låsta och att lågt fotfall eller permanent lediga områden är föremål för regelbundna inspektioner.
- Övervaka och kontrollera användningen av personliga och organisatoriska slutpunktsenheter, till en nivå som står i proportion till den data som lagras.
- Visa tydligt beredskapsplaner och nödprocedurer, så att personalen förstår hur de ska reagera på kritiska scenarier.
ISO 27701 Klausul 6.8.1.6 – Leverans- och lastområden
Referenser ISO 27002 Kontroll 7.2
Se ISO 27701 klausul 6.8.1.2 (ovan).
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.8.1.1 | Fysisk säkerhet Perimeter |
7.1 – Fysiska säkerhetsgränser för ISO 27002 |
Ingen |
| 6.8.1.2 | Fysiska inträdeskontroller |
7.2 – Fysisk registrering för ISO 27002 |
Ingen |
| 6.8.1.3 | Säkra kontor, rum och faciliteter |
7.3 – Säkra kontor, rum och faciliteter för ISO 27002 |
Ingen |
| 6.8.1.4 | Skydd mot yttre hot och miljöhot |
7.5 – Skydd mot fysiska och miljömässiga hot för ISO 27002 |
Ingen |
| 6.8.1.5 | Arbeta i säkra områden |
7.6 – Arbeta i säkra områden för ISO 27002 |
Ingen |
| 6.8.1.6 | Leverans- och lastområden |
7.2 – Fysisk registrering för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Hur hjälper vi till?
För att uppnå ISO 27701 måste du bygga ett Privacy Information Management System (PIMS). Med vår förkonfigurerade PIMS kan du snabbt och enkelt organisera och hantera kund-, leverantörs- och personalinformation för att helt uppfylla ISO 27701.
Du kan också hantera det växande antalet globala, regionala och sektorspecifika integritetsbestämmelser som vi stödjer på ISMS.online-plattformen.
För att uppnå certifiering enligt ISO 27701 måste du först uppnå certifiering enligt ISO 27001. Den goda nyheten är att vår plattform kan hjälpa dig att göra båda.
Ta reda på mer av boka en praktisk demo.
