- Se ISO 27002:2022 Kontrol 7.10 for mere information.
- Se ISO 27001:2013 Bilag A 8.3.1 for mere information.
- Se ISO 27001:2013 Bilag A 8.3.2 for mere information.
- Se ISO 27001:2013 Bilag A 8.3.3 for mere information.
- Se ISO 27001:2013 Bilag A 11.2.5 for mere information.
ISO 27001 Bilag A 7.10: Beskyttelse af følsomme data på lagermedier
Brugen af lagringsmedieenheder, såsom SSD'er, USB'er, eksterne drev og mobiler, er afgørende for adskillige vigtige informationshåndteringsoperationer, herunder sikkerhedskopiering, lagring og overførsel af data.
Lagring af følsomme og vigtige data på disse enheder udgør en risiko for nøjagtigheden, hemmeligholdelsen og tilgængeligheden af informationsressourcer. Disse risici kan involvere forsvinden eller tyveri af lagringsmedier med fortrolige oplysninger, transmission af malware på tværs af alle virksomhedens computernetværk via lagringsmedierne og nedbrydning eller reduktion i kvaliteten af lagringsmedier, der bruges til backup.
ISO 27001:2022 Bilag A 7.10 skitserer de trin, organisationer skal tage for at sikre sikkerheden af lagringsmedier gennem hele dets livscyklus, fra erhvervelse til bortskaffelse. Politikker og kontroller skal indføres for at garantere dets sikkerhed.
Formål med ISO 27001:2022 bilag A 7.10
ISO 27001:2022 Annex A 7.10 letter organisationer med at mindske og udrydde risici forbundet med uautoriseret adgang, brug, sletning, ændring og transmission af fortrolige data, der opbevares på lagermedieenheder. Den etablerer procedurer for håndtering af lagermedier i hele dets livscyklus.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad dækker bilag A 7.10?
ISO 27001:2022 Annex A 7.10 vedrører både digitale og fysiske lagringsmedier. F.eks. er opbevaring af data på fysiske dokumenter også omfattet af denne kontrol.
Sammen med flytbare lagermedier er harddiske som en form for fast lager også underlagt ISO 27001:2022 Annex A 7.10.
Ejerskab af bilag A 7.10
ISO 27001:2022 Annex A 7.10 giver organisationer mandat til at skabe og udføre passende procedurer, tekniske kontroller og organisationsdækkende politikker vedrørende brugen af lagringsmedier i henhold til organisationens eget klassifikationssystem og eventuel datahåndtering krav som juridiske og kontraktmæssige betingelser.
Informationssikkerhedschefer skal tage ansvaret for hele overholdelsescyklussen.
Vejledning om ISO 27001:2022 Bilag A 7.10 Overholdelse
Aftageligt lagringsmedie
Flytbare medier er uundværlige for mange forretningsaktiviteter og er meget ansat af personale. De udgør dog den største risiko for følsomme data.
ISO 27001:2022 Bilag A 7.10 angiver ti betingelser, som organisationer skal overholde for håndtering af flytbare lagermedier i løbet af deres livscyklus:
- Organisationer bør skabe en politik, der fokuserer på erhvervelse, godkendelse, brug og bortskaffelse af flytbare lagermedier, og informere alt personale og relevante parter om dets eksistens.
- Organisationer bør, hvor det er praktisk og nødvendigt, implementere godkendelsesprocedurer for at tage flytbare lagermedier ud af virksomhedens lokaler. Derudover skal der føres en log over fjernelser revisionssporing.
- Opbevar alle flytbare lagermedier på et sikkert sted som et pengeskab, i betragtning af informationsklassificering niveau tildelt informationen og eventuelle miljømæssige og fysiske trusler mod medierne.
- Hvis det er yderst vigtigt at bevare fortroligheden og troværdigheden af oplysningerne på flytbare medier, bør der anvendes kryptografiske metoder for at beskytte mediet mod uautoriseret adgang.
- For at forhindre forringelse af flytbare lagringsmedier og datatab, bør oplysningerne flyttes til en ny lagringsmedieenhed, før risikoen opstår.
- Det er afgørende at kopiere og gemme følsomme data på flere lagringsmedier for at reducere risikoen for, at kritisk information går tabt.
- For at reducere muligheden for et fuldstændigt datatab kan registrering af flytbare lagermedieenheder være en levedygtig løsning.
- Medmindre det er en forretningsmæssig nødvendighed, bør USB-porte og SD-kortpladser ikke bruges.
- Det er nødvendigt at overvåge overførslen af oplysninger til eventuelle flytbare lagermedieenheder.
- Ved overførsel af oplysninger indeholdt i fysiske dokumenter via post eller kurer, er der stor chance for uautoriseret adgang. For at imødegå dette bør der træffes passende foranstaltninger.
Vejledning om sikker genbrug og bortskaffelse af lagermedier
ISO 27001: 2022 Bilag A 7.10 giver retningslinjer for sikker genbrug og bortskaffelse af lagringsmedier for at hjælpe organisationer med at reducere og slippe af med faren for, at fortroligheden af oplysninger bliver brudt.
Bilag A 7.10 fastslår, at organisationer bør udarbejde og gennemføre planer for genbrug og bortskaffelse af lagringsmedier under hensyntagen til følsomheden af de data, der opbevares i lagringsmedierne.
Organisationer bør overveje følgende, når de opretter disse foranstaltninger:
- Hvis en organisations interne part skal genbruge et lagringsmedie, bør følsomme oplysninger, der er hostet på det, slettes uigenkaldeligt eller omformateres før godkendelse.
- Sikker destruktion af lagermedier, der hoster følsom information, er nødvendig, når den ikke længere er nødvendig. Papirdokumenter kan makuleres, og digitalt udstyr kan blive fysisk ødelagt.
- Der bør udvikles et system til at identificere lagringsmedier, som skal bortskaffes.
- Organisationer bør udføre due diligence, når de vælger en ekstern part til at indsamle og bortskaffe lagermedier, og sikre sig, at den valgte leverandør er kompetent og har de relevante kontroller på plads.
- Dokumentation af alle bortskaffede genstande til et revisionsspor.
- Ved bortskaffelse af flere lagringsmedier sammen, bør der tages hensyn til den kumulative effekt: Kombination af forskellige stykker data fra hvert lagringsmedium kan resultere i transformation af ikke-følsomme oplysninger til følsomt materiale.
Endelig giver ISO 27001:2022 bilag A 7.10 organisationer mandat til at evaluere risikoen for fortrolige data, der er lagret på beskadiget udstyr, for at afgøre, om udstyret skal destrueres eller repareres.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 7.10 erstatter ISO 27001:2013 Bilag A 08.3.1, 08.3.2, 08.3.3 og 11.2.5.
Der er fire bemærkelsesværdige forskelle.
Ændringer i struktur
I modsætning til 2013-versionen, som havde tre separate kontroller til mediehåndtering, mediebortskaffelse og fysisk medieoverførsel, kombinerer 2022-versionen dem under bilag A 7.10.
Krav til genbrug af lagermedier Tilføjet til 2022-versionen
I modsætning til 2013-versionen, som kun dækkede sikker mediebortskaffelse, indeholder 2022-versionen også krav til sikker mediegenbrug.
Fysiske overførselskrav er mere omfattende i 2013-versionen
2013-versionen havde mere omfattende krav til fysisk overførsel af lagermedier, herunder ID-verifikation for kurerer og emballagestandarder. I modsætning hertil foreslår bilag A 7 7.10 i 2022-versionen kun, at organisationer handler med forsigtighed, når de vælger kurerer.
Emnespecifik politik for flytbare lagermedier påkrævet i 2022-versionen
Mens 2022- og 2013-versionerne er ens med hensyn til krav til flytbare lagermedier, kræver 2022-versionen en emnespecifik politik for flytbare lagermedier. 2013-versionen dækkede ikke dette krav.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISMS.online tager en risikobaseret tilgang, ved at bruge brancheførende bedste praksis og skabeloner til at hjælpe dig med at opdage de risici, din organisation er udsat for, og de nødvendige kontroller til at styre dem. Dette hjælper med at reducere både risiko og complianceomkostninger.
Kontakt os nu for at arrangere en demonstration.