- Se ISO 27002:2022 Kontrol 7.1 for mere information.
- Se ISO 27001:2013 Bilag A 11.1.1 for mere information.
Hvad er ISO 27001:2022 Annex A 7.1?
ISO 27001: 2022 Bilag A 7.1 kræver, at organisationer etablerer sikkerhedsperimeter og bruger dem til at beskytte information og tilhørende aktiver.
Informations- og informationssikkerhedsaktiver forklaret
Information kan beskrives som enhver data, viden eller indsigt, der har værdi for en organisation eller virksomhed. Dette inkluderer alle oplysninger indhentet om enkeltpersoner, kunder, partnere, medarbejdere og andre interessenter.
Informationssikkerhedsaktiver kan bredt klassificeres i:
Data
Data og information forveksles ofte med hinanden, men der er en klar forskel. Data er rå, ubearbejdet og generelt til ingen nytte i sin nuværende form. På den anden side er information data, der er arrangeret i et brugbart format, såsom en e-mail eller et telefonnummer.
Infrastruktur
Infrastruktur omfatter alle komponenter i et netværk – servere, printere, routere og mere – for at skabe et sammenhængende system.
Software infrastruktur, som f.eks operativsystemer og applikationer, skal beskyttes mod cybertrusler, ligesom hardware gør. For at undgå udnyttelse af ondsindede hackere, der søger adgang til følsomme data, skal begge opdateres regelmæssigt med patches og rettelser til eventuelle sårbarheder, der er afsløret af hackere.
Fysiske sikkerhedsomkredse forklaret
Fysisk sikkerhed refererer til de fysiske foranstaltninger, der sikrer en organisations ressourcer og lokaler. Det er en grundlæggende og uundværlig del af informationssikkerheden. Det involverer mere end blot at låse døren; det indebærer også at være opmærksom på, hvem der har adgang til hvad, hvornår, hvor og hvordan.
Fysiske sikkerhedsomkredse identificerer de fysiske grænser for en bygning eller et område og kontrollerer adgangen til den. Hegn, mure, porte og andre barrierer kan bruges til at forhindre uautoriseret adgang af personer eller køretøjer. Desuden kan elektronisk overvågningsudstyr såsom CCTV-kameraer bruges til at overvåge aktivitet uden for anlægget.
Fysiske sikkerhedsomkredse tilbyder det første lag af beskyttelse mod udefrakommende, der forsøger at få adgang til dit computersystem via en kablet eller trådløs forbindelse i en virksomhed. De kombineres ofte med yderligere informationssikkerhedskontroller, såsom identitetsstyring, adgangskontrol og indtrængendetekteringssystemer.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Vejledning om ISO 27001:2022 Bilag A 7.1
ISO 27001:2022 Bilag A 7.1 garanterer, at en organisation kan vise, at den har passende fysiske sikkerhedsgrænser på plads for at forhindre uautoriseret fysisk adgang til information og andre relaterede aktiver.
Dette indebærer at tage skridt til at forhindre:
- Uautoriseret adgang til bygninger, rum eller områder, der indeholder informationsaktiver, er forbudt.
- Fjernelse af aktiver uden tilladelse fra lokalerne er uacceptabel.
- Uautoriseret brug af lokalernes aktiver, såsom computere og relaterede enheder, er ikke tilladt.
- Uautoriseret manipulation med elektronisk kommunikationsudstyr, såsom telefoner, faxer og computerterminaler, er ikke tilladt.
Det er muligt at implementere fysiske sikkerhedsperimetre på to forskellige måder:
Fysisk adgangskontrol – sikrer adgang til faciliteter og bygninger og bevægelse indenfor dem. Dette omfatter låsning af døre, alarmer, hegn og barrierer.
Hardware sikkerhed – giver kontrol over fysisk udstyr, såsom computere, printere og scannere, der behandler data, der indeholder følsomme oplysninger.
Denne kontrol hjælper beskytte oplysninger og andre relaterede aktiver, såsom fortrolige dokumenter, optegnelser og udstyr, ved at forhindre uautoriseret brug af facilitetsplads, udstyr og forsyninger.
Hvad er involveret, og hvordan man opfylder kravene
Retningslinjer, der skal tages i betragtning for fysiske sikkerhedsomkredse, bør vedtages, hvor det er muligt:
- Etablering af sikkerhedsbarrierer og lokalisering af hver enkelts nøjagtige placering og styrke i overensstemmelse med informationssikkerhedsreglerne vedrørende ressourcerne inden for grænsen.
- Det er afgørende at sikre den fysiske sikkerhed for en bygning eller et websted, der rummer informationsbehandlingssystemer, uden huller eller svage punkter i omkredsen, hvor et indbrud kan lettes.
- De udvendige overflader på stedet, herunder tage, vægge, lofter og gulve, skal være af robust konstruktion, og alle udvendige døre skal være udstyret med kontrolmekanismer som sprosser, alarmer og låse for at forhindre uautoriseret adgang.
- Sørg for, at vinduer og døre er låst, når de ikke er optaget, og overvej ekstern sikkerhed for vinduer, især i stueetagen; ventilation skal også tages i betragtning.
For yderligere indsigt i, hvad der forventes for overholdelse af ISO 27001:2022 standarden, se den tilhørende dokumentation.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 7.1 erstatter ISO 27001:2013 Bilag A 11.1.1; konteksten og betydningen forbliver stort set ens, omend formuleret anderledes.
2022-versionen oplevede en reduktion i implementeringskrav sammenlignet med den tidligere kontrol.
Bilag A 7.1 mangler kravene i bilag A 11.1.1, som er som følger:
- Der bør være et bemandet receptionsområde eller en anden måde at administrere fysisk adgang til stedet eller bygningen.
- Kun autoriseret personale bør tillades adgang til steder og bygninger.
- Konstruer fysiske barrierer, når det er relevant, for at forhindre uautoriseret fysisk adgang og afværge miljøforurening.
- Det er nødvendigt at installere indbrudsdetektionssystemer, der opfylder nationale, regionale eller internationale standarder, og test dem regelmæssigt for at sikre alle udvendige døre og tilgængelige vinduer.
- Alle ledige områder bør til enhver tid være udstyret med et alarmsystem.
- Vi bør sikre dækning af andre områder, såsom computer- og kommunikationsrum.
- Organisationen bør holde deres informationsbehandlingsfaciliteter fysisk adskilt fra dem, der administreres af eksterne kilder.
Ingen udeladelse reducerer effektiviteten af den nye ISO 27001:2022-standard; i stedet blev de fjernet for at gøre kontrollen nemmere at bruge og forstå.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvem er ansvarlig for denne proces?
Chief Information Officer (CIO) er lederen ansvarlig for at sikre virksomhedens data og systemer. De arbejder sammen med andre ledere for at overveje sikkerhed, når de træffer forretningsbeslutninger, såsom finansdirektøren og administrerende direktør. Implementering af politikker og procedurer for at beskytte virksomhedens information er en central del af CIO'ens rolle.
Økonomidirektøren har en rolle i beslutningen om fysiske sikkerhedsomkredse. I samarbejde med andre C-suite-ledere, herunder CIO'en, beslutter de, hvor meget de skal investere i fysiske sikkerhedsforanstaltninger såsom overvågningskameraer, adgangskontrol og alarmer.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvad betyder disse ændringer for dig?
ISO 27001:2022 er ikke et større eftersyn, så ingen væsentlige ændringer er nødvendige for at overholde kravene.
Det er værd at undersøge din nuværende implementering for at sikre, at den er i overensstemmelse med de nye krav. Især hvis der er foretaget ændringer siden versionen af 2013. Det er værd at revurdere disse ændringer for at afgøre, om de forbliver gyldige eller skal ændres.
Hvordan ISMS.Online Hjælp
ISMS.online kan hjælpe med at bevise overholdelse af ISO 27001 ved at levere et online system, der muliggør opbevaring af dokumenter på et enkelt tilgængeligt sted. Det letter også udviklingen af tjeklister for hvert dokument, hvilket letter gennemgang og ændring af dokumenter.
Kunne du tænke dig at opleve, hvordan det fungerer?
Kontakt os i dag for reservere en demonstration.