ISO 27001 – Bilag A.11: Fysisk og miljømæssig sikkerhed

Hvad er formålet med bilag A.11.1?

Bilag A.11.1 handler om at sikre sikre fysiske og miljømæssige arealer. Formålet i dette bilag A kontrol er at forhindre uautoriseret fysisk adgang, beskadigelse og indgreb i organisationens informations- og informationsbehandlingsfaciliteter.

Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering.

A.11.1.1 Fysisk sikkerhedsomkreds

Dette beskriver de sikkerhedsomkredse og -grænser, som har områder, der indeholder enten følsomme eller kritiske oplysninger og eventuelle informationsbehandlingsfaciliteter såsom computere, bærbare computere osv. En fysisk sikkerhedsperimeter defineres som "enhver overgangsgrænse mellem to områder med forskellige sikkerhedsbeskyttelseskrav".

Dette kan være ret specifikt såsom; Ved den yderste afgrænsning af stedet og omfattende udendørs og indendørs rum; Mellem uden for en bygning og inde i den; Mellem en korridor og kontor eller mellem ydersiden af ​​et opbevaringsskab og inde i det. Det kunne også blot angives som værende hovedkvarteret med dets adresse og grænserne i omfanget omkring det.

Eksempler på de typer ejendom og lokaler, som organisationen skal overveje med hensyn til fysisk sikkerhed kunne omfatte;

• Datacentrene, der hoster informationsaktiver;
• Hovedkontor;
• Arbejdstagere, der har tendens til at arbejde hjemmefra; og
• Arbejdere, der rejser og derfor bruger hoteller, kundelokaler osv. Med stigende outsourcing til f.eks. datacentre og brug af lejede kontorer er det også vigtigt at henvise til disse kontroller med leverandørpolitikken i A15.1 og de talrige andre politikker, der påvirker hjem/mobil/ også telearbejdere. Dette hænger også sammen med og relaterer til dit omfang i 4.3.

Sagt på en enkel måde skal organisationen etablere sikre områder, der beskytter den værdifulde information og informationsaktiver, som kun autoriserede personer har adgang til. Dette er også relateret til risikovurderingen og risikovilligheden for en organisation i overensstemmelse med 6.1-handlinger for at håndtere risici og muligheder.

Som et grundlæggende eksempel bør kontorer, der indeholder værdifuld information, kun tilgås af medarbejdere i den pågældende organisation, eller ved at der gives tilladelse til andre, f.eks. besøgende, og eksterne rengøringspersonale/faciliteters vedligeholdelsesressourcer, der er godkendt i overensstemmelse med leverandørpolitikken.

A.11.1.2 Fysisk adgangskontrol

Sikre områder skal beskyttes af passende adgangskontroller for at sikre, at kun autoriseret personale har adgang. Som et helt grundlæggende eksempel er det kun de medarbejdere, der har fået alarmadgangskoden og fået en nøgle, der kan få adgang til kontoret. Mere risikovillige organisationer og eller dem med mere følsomme oplysninger, der er i fare, kan gå meget dybere med politikker, der også inkluderer biometri og scanningsløsninger.

Indgangskontroller skal vælges og implementeres baseret på arten og beliggenheden af ​​det område, der skal beskyttes, og muligheden for at implementere sådanne kontroller, hvis stedet f.eks. ikke ejes af organisationen. Processerne for at give adgang gennem adgangskontrollerne skal være robuste, testede og overvågede og skal muligvis også logges og revideres.

Kontrol af besøgende vil også være særlig vigtig, og de processer, der er relateret til sådanne, bør overvejes. Der bør tages ekstra hensyn til, om der gives adgang til områder, hvor følsomme eller klassificerede oplysninger behandles eller opbevares. Mens især områder, der indeholder centralt IT-infrastrukturudstyr, skal beskyttes i højere grad, og adgangen kun skal begrænses til dem, der virkelig skal være der. Revisor vil forvente at se, at passende kontroller er på plads samt regelmæssigt testet og overvåget.

A.11.1.3 Sikring af kontorer, lokaler og faciliteter

Sikkerhed af kontorer, lokaler og faciliteter kan virke let og oplagt, men det er værd at overveje og løbende gennemgå, hvem der skal have adgang, hvornår og hvordan. Nogle af de ting, der ofte bliver savnet er; Hvem kan se eller endda høre ind på kontoret udefra, og hvad skal man gøre ved det?; Er adgangen opdateret, når personalet forlader eller flytter, så ikke længere har brug for adgang til dette særlige lokale; Behøver besøgende at blive eskorteret i dette område og er det, er de?; Og er personalet opmærksomme på at udfordre og rapportere folk, de ikke genkender?

For lokaler, der deles med andre (f.eks. hvis et lejet kontormødelokale) vil politikker også omfatte beskyttelse og/eller fjernelse af værdifulde aktiver, når det ikke er optaget af organisationen – lige fra bærbare computere til informationer opslået på whiteboards, flipovers osv. .

Den eksterne revisor vil med jævne mellemrum inspicere sikkerhedskontrollen for kontorer, lokaler og faciliteter og kontrollere, at der er dokumentation for tilstrækkelig, risikobaseret kontrolimplementering, drift og gennemgang.

A.11.1.4 Beskyttelse mod eksterne og miljømæssige trusler

Denne kontrol beskriver, hvordan fysisk beskyttelse mod naturkatastrofer, ondsindede angreb eller ulykker forhindres.

Miljøtrusler kan være naturligt forekommende (f.eks. oversvømmelser, tornadoer, lyn osv.) eller menneskeskabte (f.eks. vandlækage fra faciliteter, civile uroligheder osv.). Der skal tages hensyn til sådanne trusler, og risici skal identificeres, vurderes og behandles på passende vis. Nogle trusler (f.eks. at sidde på en flodslette) kan være uundgåelige uden betydelige omkostninger eller besvær, men det betyder ikke, at der ikke er nogen handlinger, der kan foretages. Specialistrådgivning kan være påkrævet for nogle aspekter af miljøledelse og bør overvejes om nødvendigt.

At forstå din placering og hvad der er i umiddelbar nærhed er afgørende for at identificere potentielle risici. Revisoren vil lede efter bevis for, at der er tænkt over at identificere potentielle trusler og sårbarheder (både naturligt forekommende og menneskeskabte), og at miljørisici er blevet vurderet og enten behandlet eller tolereret i overensstemmelse hermed.

A.11.1.5 Arbejde i sikre områder

Når adgangskontrollerne er blevet identificeret og implementeret for sikre områder, er det vigtigt, at disse suppleres med proceduremæssige kontroller vedrørende risici, der kan opstå, når de er inde i det sikrede område. For eksempel skal der være:

En begrænset bevidsthed om placering og funktion af sikre områder;
Begrænsninger i brugen af ​​kontroludstyr inden for sikre områder;
Begrænsning af uovervåget arbejde inden for sikre områder, hvor det er muligt;
Ind og ud overvågning og logning.
Efter at have inspiceret adgangskontrollerne til det sikre område, vil revisor derefter se efter, at disse understøttes, hvor det er nødvendigt med passende politikker og procedurer, og at beviser for deres styring opretholdes.

A.11.1.6 Leverings- og læsseområder

Adgangspunkter såsom leverings- og læsseområder og andre steder, hvor uvedkommende kan komme ind i lokalerne, skal kontrolleres og om muligt isoleres fra informationsbehandlingsfaciliteter for at undgå uautoriseret adgang. Kun cloud-arbejdspladser eller digitale arbejdspladser har muligvis ikke behov for en politik eller kontrol omkring leverings- og læsseområder; i det tilfælde ville de bemærke det og specifikt udelukke dette fra Statement of Applicability (SOA).

For nogle organisationer er leverings-/lasteområder enten ikke tilgængelige eller ikke kontrolleret af organisationen (f.eks. en delt kontorindkvartering). Men hvor organisationen kan kontrollere eller påvirke disse områder, er det vigtigt, at risici identificeres og vurderes, og passende kontroller derfor implementeres. Eksempler på disse kontroller kan omfatte; Placering væk fra hovedkontorbygningen; Ekstra bevogtning; CCTV overvågning og optagelse; Og procedurer for at forhindre, at ekstern og intern adgang er åben på samme tid.

Revisor vil inspicere leverings- og lastsikringen for at sikre, at der er passende kontroller i forbindelse med kontrol af indgående materialer (f.eks. leverancer) og kontrol af udgående materialer (f.eks. til forebyggelse af informationslækage). Selv om niveauet af sikkerhed omkring levering og lastning i forhold til de vurderede risikoniveauer, som revisor vil lede efter, vil afhænge af tilgængeligheden og ejerskabet af sådanne faciliteter.

Hvad er formålet med bilag A.11.2?

Bilag A.11.2 handler om Udstyr. Formålet i dette bilag A kontrol er at forhindre tab, beskadigelse, tyveri eller kompromittering af aktiver og afbrydelse af organisationens drift.

A.11.2.1 Udstyrsplacering og beskyttelse

Udstyr skal placeres og beskyttes for at reducere risici fra miljøtrusler og farer og mod uautoriseret adgang. Placeringen af ​​udstyret vil blive bestemt af en række faktorer, herunder udstyrets størrelse og art, dets foreslåede brug og tilgængelighed og miljøkrav. De ansvarlige for placering af udstyr skal foretage en risikovurdering og anvende følgende, hvor det er muligt i overensstemmelse med risikoniveauerne:

• Informationsbehandlingsfaciliteter (laptops, desktops osv.), der håndterer følsomme data, bør placeres og synsvinklen begrænses for at mindske risikoen for, at oplysninger bliver set af uautoriserede personer under deres brug.
• Opbevaringsfaciliteter er sikret for at undgå uautoriseret adgang med nøgler i besiddelse af autoriserede nøgleholdere.
• Mad og drikke skal holdes væk fra IKT-udstyr.
• Trådløse routere, delte printere osv. bør placeres, så de giver nem adgang, når det kræves, og ikke distraherer nogen fra at arbejde eller have information tilbage på printeren, som ikke burde være der.
• Informationsbehandlingsfaciliteter såsom bærbare computere er placeret, så de er sikkert opbevaret, når de ikke er i brug, og let tilgængelige, når det er nødvendigt.
• Hjemmearbejdere skal også nøje overveje deres placering og placering af udstyr for at undgå risici svarende til dem, der er adresseret for arbejdere på kontorerne samt utilsigtet brug eller adgang af familie og venner.

A.11.2.2 Understøttende hjælpeprogrammer

Udstyr skal beskyttes mod strømsvigt og andre afbrydelser forårsaget af fejl i understøttende forsyningsselskaber. For eksempel bør risici relateret til svigtende eller defekte strømforsyninger vurderes og overvejes. Dette kan omfatte; Dobbelt strømforsyning fra forskellige understationer; Reservestrømproduktionsanlæg; Regelmæssig test af strømforsyning og -styring. For telekommunikation, for at bevare deres evne til at fortsætte – overvejelser kan omfatte; Dobbelt eller multipel routing; Belastningsbalancering og redundans i koblingsudstyr; Overvågning og alarmering af båndbreddekapacitet.

Mange af risiciene vil relatere til "tilgængeligheden" af informationsbehandlingssystemer, og kontroller bør derfor understøtte forretningskravene til tilgængelighed i overensstemmelse med enhver forretningskontinuitetsplanlægning og konsekvensvurderinger, der udføres til dette formål. Revisor vil lede efter bevis for, at kontroller er blevet testet regelmæssigt for at sikre, at de fungerer korrekt til de ønskede niveauer (backup-generatorer osv.).

A.11.2.3 Kabelføringssikkerhed

Strøm- og telekommunikationskabler, der bærer data eller understøttende informationstjenester, skal beskyttes mod aflytning, interferens eller beskadigelse. Hvis strøm- og netværkskabler ikke er placeret og beskyttet tilstrækkeligt, er det muligt, at en hacker kan være i stand til at opsnappe eller afbryde kommunikation eller lukke strømforsyningen ned.

Hvor det er muligt, bør netværks- og strømkabler være under jorden eller på anden måde beskyttet og adskilt for at beskytte mod interferens. Afhængigt af følsomheden eller klassificeringen af ​​data kan det være nødvendigt at adskille kommunikationskabler for forskellige niveauer og desuden inspicere termineringspunkter for uautoriserede enheder. Revisoren vil visuelt inspicere kablerne, og hvis de er relevante for klassificerings-/risikoniveauet, anmode om bevis for visuel inspektion.

A.11.2.4 Udstyrsvedligeholdelse

Udstyr skal vedligeholdes korrekt for at sikre dets fortsatte tilgængelighed og integritet. Kravet om rutinemæssig, forebyggende og reaktiv vedligeholdelse af udstyr vil variere alt efter udstyrets type, art, placeringsmiljø og formål og eventuelle kontraktlige aftaler med producenter og tredjepartsleverandører. Vedligeholdelse skal udføres på udstyr ved passende frekvenser for at sikre, at det forbliver effektivt funktionelt og for at reducere risikoen for fejl.

Det er en god idé at holde vedligeholdelsesplaner som bevis for revisoren, hvis dit udstyr trænger til service eller skal repareres (dette kan om ønsket bindes ind i A8.1.1-informationsaktiveret). Logfiler over denne vedligeholdelse bør omfatte, hvem der udførte vedligeholdelsen, hvad der blev udført, og hvem der godkendte vedligeholdelsen. Revisor vil kontrollere disse logfiler for at se, at tidsplanerne er passende og forholdsmæssige, og at aktiviteterne er blevet behørigt godkendt og udført.

A.11.2.5 Fjernelse af aktiver

Udstyr, information eller software taget off-site behovsstyring også. Det kan styres med en eller anden form for check-in-out-proces eller mere simpelt forbundet med en medarbejder som en del af deres rolle og administreret i overensstemmelse med deres ansættelsesvilkår – Bilag A 7, som selvfølgelig skal handle om informationssikkerhed!

I den altid mobile arbejdsverden kan nogle aktiver, såsom mobile enheder, rutinemæssigt blive fjernet fra organisatoriske lokaler for at lette mobil- eller hjemmearbejde. Hvor aktiver ikke er designet til rutinemæssigt at blive fjernet fra stedet, eller hvis de er af en følsom, højt klassificeret, værdifuld eller skrøbelig karakter, bør der være processer på plads for at anmode om og godkende fjernelse og for at kontrollere, at aktiverne returneres.

Overvejelser om at begrænse varigheden af ​​den tid, aktiver tillades at blive fjernet i, bør tages og bør være risikobaseret. Revisor vil se på, at disse risikovurderinger er blevet udført for, hvornår ikke-rutinemæssig fjernelse af aktiver finder sted, og for politikker, der bestemmer, hvad der er rutine og ikke.

A.11.2.6 Sikkerhed af udstyr og aktiver uden for lokalerne

Sikkerhedskontrol skal anvendes på off-site aktiver under hensyntagen til de forskellige risici, der er forbundet med at arbejde uden for organisationens lokaler. Dette er et almindeligt sårbarhedsområde, og det er derfor vigtigt, at det passende niveau af kontroller implementeres og knytter sig til andre mobile kontroller og politikker for hjemmearbejdere mv.

Der bør tages overvejelser og foretages risikovurderinger for aktiver, der tages fra stedet, enten rutinemæssigt eller undtagelsesvis. Kontroller vil sandsynligvis omfatte en blanding af; Tekniske kontroller såsom adgangskontrolpolitikker, adgangskodestyring, kryptering; Fysiske kontroller såsom Kensington-låse kan også overvejes; sideløbende med politik- og proceskontrol såsom instruktion om aldrig at efterlade aktiver uden opsyn i offentlighedens øjne (f.eks. låsning i bagagerummet på bilen).

Det er især vigtigt at gennemgå tendenser til sikkerhedshændelser i forbindelse med off-site aktiver. Revisor vil forvente at se dokumentation for, at denne risikovurdering finder sted, og de forholdsmæssige kontroller, der er udvalgt i henhold til de vurderede risikoniveauer. De vil også forvente at se beviser for overholdelse af politikken.

A.11.2.7 Sikker bortskaffelse eller genbrug af udstyr

Alt udstyr, inklusive lagermedier, skal verificeres for at sikre, at alle følsomme data og licenseret software er blevet fjernet eller sikkert overskrevet før bortskaffelse eller genbrug. Dette er et andet område med almindelig sårbarhed, hvor mange hændelser er opstået som følge af dårlig bortskaffelse eller genbrugspraksis.

Hvis udstyr bliver bortskaffet, der indeholdt følsomme oplysninger, er det afgørende, at databærende enheder og komponenter enten ødelægges fysisk eller slettes sikkert ved hjælp af passende værktøjer og teknologier. Hvis udstyr skal genbruges, er det vigtigt, at alle tidligere data og potentielt installeret software "slettes" sikkert, og enheden returneres til en kendt "ren" tilstand. Afhængigt af følsomhedsniveauet af data indeholdt på udstyr, der bliver ødelagt, kan det være nødvendigt at sikre fysisk ødelæggelse, og dette bør gøres ved hjælp af en proces, der kan revideres fuldt ud.

Ofte bruges tredjepartsvirksomheder til bortskaffelse, og hvis dette er tilfældet, er det vigtigt at sikre, at det passende niveau af "destruktionscertifikat" leveres - stærke kunder kan forvente at se dette også, hvis du har været i besiddelse af værdifulde kundedata og en del af din kontrakt med dem angiver sikker destruktion.

Til denne kontrol vil revisor se efter at se, at passende teknologier, politikker og processer er på plads, og at beviser for ødelæggelse eller sikker sletning er blevet udført korrekt, når det er påkrævet (bundet tilbage til nedlukning i din opgørelse over informationsaktiver, hvor det også er relevant) .

A.11.2.8 Uovervåget brugerudstyr

Som med sikring af kontorer skal brugere sikre, at alt uovervåget udstyr har den passende beskyttelse, også selvom det er en adgangskode og en låseskærm for grundlæggende informationssikkerhed. Det er sund fornuft at beskytte udstyr, når det efterlades uden opsyn, men dette vil afhænge af niveauet af tillid på det sted, hvor enheden efterlades (f.eks. hotelværelser, konferencesteder osv.). Organisatoriske lokaler skal også overvejes, hvis der er en risiko, f.eks. stor mængde besøgstrafik, hot desking af hyppigt skiftende personale med forskellige roller.

Hvis udstyr efterlades natten over, hvor rengøring og andre entreprenører kan have adgang uden for normal kontortid, er det vigtigt at overveje risikoen for tyveri og manipulation og anvende fornuftig og tilstrækkelig kontrol. Politikker, proces- og oplysningsprogrammer bør være på plads for at sikre, at brugere er bevidste om deres ansvar, når de efterlader udstyr uden opsyn enten i organisationen eller udenfor, hvis det er mobilt.

Revisoren vil se efter at se, at der er på plads med kontrollag, der er passende i forhold til risikoniveauerne, og at der er beviser for overensstemmelseskontrol (f.eks. er walk-around-inspektioner efter arbejdstid eller i frokostpauser en populær en til onsite-audits).

A.11.2.9 Ryd skrivebords- og skærmpolitik

Driftsprocedurer for papirer og flytbare lagermedier og en klar skærmpolitik for informationsbehandlingsfaciliteter bør generelt vedtages, medmindre alle andre kontroller og risici betyder, at de ikke er påkrævet. Klare skrivebords- og klare skærmpolitikker betragtes som god praksis og er relativt enkle at implementere, men i nogle tidsfølsomme driftsmiljøer er de muligvis ikke praktiske.

I dette tilfælde kan andre kontroller designet til at styre risiciene implementeres i stedet. For eksempel, hvis et kontor har et stærkt niveau af fysisk adgangskontrol med meget lidt besøgende og ekstern entreprenørtrafik, kan sådanne kontroller anses for unødvendige, men risikoen for "insidertrussel" kan stadig være relevant og kan være på uacceptable niveauer. I sidste ende, som med alle sikkerhedshensyn, bør beslutninger vedrørende implementering eller ej af clear desk og clear screen-politikker baseres på risikovurdering.

Revisor vil se på, hvordan beslutningerne om at implementere eller ikke klare skrivebords- og klare skærmpolitikker blev truffet og gennemgået med en passende hyppighed. Hvis sådanne politikker er på plads, vil de lede efter bevis for compliance-test og rapportering og håndtering af eventuelle brud.