- Se ISO 27002:2022 Kontrol 7.2 for mere information.
- Se ISO 27001:2013 Bilag A 11.1.2 for mere information.
- Se ISO 27001:2013 Bilag A 11.1.6 for mere information.
Sikring af sikker adgang: ISO 27001 Annex A 7.2 Fysiske adgangskontroller
ISO 27001:2022 Bilag A 7.2 understreger kravet til organisationer om at sikre områder gennem anvendelse af passende adgangskontroller og adgangspunkter.
Hvad er ISO 27001:2022 Annex A 7.2?
Indgangskontroller og adgangspunkter er afgørende for sikkerhedssystemet i enhver bygning. De giver beboerne mulighed for at komme ind og ud, samtidig med at sikkerheden opretholdes, og de kan stoppe dem, der ikke er autoriseret eller ønsket, i at komme ind.
Indgangskontrol
Adgangskontrolsystemer giver adgang til en bygning ved hjælp af døre og porte, herunder tastaturer, kortlæsere, biometriske scannere og fobs. Derudover leverer de låsemekanismer til døre og porte, foruden drejekors og drejedøre.
Adgangspunkter
Et adgangspunkt er en elektronisk enhed, der sikrer sikkerheden i store erhvervsbygninger. Den bruger RFID-teknologi til at spore al bevægelse inden for og ud af lokalerne. Adgangspunktet sender data tilbage til hovedkvarteret, så sikkerhedspersonalet kan observere, når nogen går ind eller ud af anlægget, og hvilke områder de har adgang til under deres ophold.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad er formålet med ISO 27001:2022 Annex A 7.2?
ISO 27001:2022 Bilag A Kontrol 7.2 garanterer kun autoriseret fysisk adgang til organisationens data og andre relaterede aktiver.
Fysisk sikkerhed er altafgørende for at sikre fortroligheden, integriteten og tilgængeligheden af informationsressourcer. Bilag A Kontrol 7.2 af ISO 27001: 2022 er primært beskæftiget med at bevare data og andre relaterede aktiver mod uautoriseret adgang, tyveri eller tab. Derfor bør nødvendige indgangs- og adgangspunkter implementeres for at sikre, at kun autoriseret personale kan få adgang sikre områder.
Der bør implementeres kontrol for at sikre rimelig sikkerhed for, at kun autoriserede personer har fysisk adgang, og at de er nøjagtigt identificeret.
Brugen af låse, nøgler (manuelle og elektroniske), sikkerhedsvagter, overvågningssystemer og andre barrierer ved indgange og adgangspunkter bør implementeres. Adgangskontrolsystemer såsom adgangskoder, kortnøgler eller biometriske enheder bør bruges til at sikre følsomme områder inden for anlægget.
Hvad er involveret, og hvordan man opfylder kravene
Organisationer skal kontrollere og om muligt adskille adgangspunkter såsom leverings- og læssezoner og andre indgangssteder til lokalerne fra deres IT-faciliteter for at forhindre uautoriseret adgang for at opfylde kravene i bilag A 7.2 implementering. Disse områder bør kun være begrænset til autoriseret personale.
ISO 27001:2022-dokumentet giver implementeringsvejledning til bilag A 7.2, som hjælper med at opfylde kravene til personale, besøgende og leveringsfolk. For at se disse retningslinjer skal du få adgang til den reviderede version af standarden.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
Bilag A 7.2 i ISO 27001:2022 er ikke en ny foranstaltning, men derimod en kombination af bilag A kontrol 11.1.2 og 11.1.6 fra ISO 27001:2013. Disse to bilag A kontroller er blevet revideret i ISO 27001:2022 for at gøre det mere intuitivt end ISO 27001:2013.
Bilag A Kontrol 11.1.2 – Fysisk adgangskontrol kræver, at sikre områder beskyttes af ordentlige adgangskontroller, så kun autoriseret personale kan få adgang. Denne del af standarden skitserer de foranstaltninger, organisationer kan træffe for at sikre, at kun de, der har tilladelse, må komme ind til specifikke formål.
Forordningen kræver, at to-faktor autentificering skal implementeres for autoriseret personale for at få adgang til informationssikkerhedsfølsomme områder med en fysisk logbog eller elektronisk revisionsspor til at understøtte det.
Bilag A Kontrol 11.1.6 – Leverings- og læsseområder foreskriver, at adgang til disse områder kun bør begrænses til autoriseret personale. Det tilrådes, at de udformes, så de er adskilt fra driftsområder, og derved forhindrer leveringspersonale i at få adgang til andre dele af bygningen.
I sidste ende er bilag A kontrol 7.2 og bilag A kontrol 11.1.2 og 11.1.6 i det væsentlige sammenlignelige. Den største skelnen er, at bilag A 11.1.2 og bilag A 11.1.6 blev slået sammen for øget brugervenlighed.
I 2022-versionen af ISO 27001 var en attributtabel og kontrolformål inkluderet, som manglede i kontrollerne i 2013-versionen.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvem er ansvarlig for denne proces?
Kontrol af fysisk adgang er altafgørende for enhver organisations eller virksomheds sikkerhed. Det er vigtigt at sikre, at der ikke kommer uautoriseret personale ind i lokalerne. Det er derfor vigtigt at gennemføre strenge foranstaltninger.
Sikkerhedsafdelingen overvåger alle fysiske sikkerhedsaspekter, såsom adgangskontrol. Hvis de mangler den nødvendige ekspertise eller ressourcer til at styre dette, kan de overdrage beføjelser til en anden afdeling.
IT-teams er også afgørende for fysisk sikkerhed. De garanterer, at de teknologisystemer, der bruges til fysisk sikkerhed, er aktuelle og sikre. For eksempel, hvis din organisation har et Intrusion Detection System (IDS) ved indgangen, men softwaren ikke er blevet fornyet i flere måneder, er det muligvis ikke effektivt mod ubudne gæster.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvad betyder disse ændringer for dig?
Din organisation behøver ikke ændre deres informationssikkerhedspraksis væsentligt, da den reviderede ISO 27001:2022-standard kun blev minimalt justeret.
Hvis du har en ISO 27001:2013-certificering, vil du opdage, at din nuværende tilgang til informationssikkerhedsstyring er i overensstemmelse med de nye standarder.
Hvis du starter fra begyndelsen, bør du sætte dig ind i compliance-vejledningen i den nye standard.
Hvordan ISMS.Online Hjælp
Vores platform giver brugerne adgang til al relevant dokumentation og ressourcer, såsom politikker, procedurer, standarder, retningslinjer og info om overholdelsesprocesser.
ISMS.online er perfekt til virksomheder, der ønsker at:
- Administrer ISO-certificeringsprocessen mere effektivt.
- Sikre kundetilfredshed med vores bevis på overholdelse af ISO 27001.
- Maksimer output ved at anvende ét system til alle revisioner og kontroller.
- Sikre ensartet ekspertisestyring på tværs af virksomheden for at øge kundetilfredsheden.
Vores platform tilbyder tilpassede dashboards, der giver dig indsigt i realtid i din overholdelsesstatus.
Overvåg og administrer din ISO 27001:2022-overholdelsesrejse alt sammen på ét sted: audits, gap-analyse, træningsstyring, risikovurdering og mere.
Kontakt os nu for at planlægge en demonstration.