- Se ISO 27002:2022 Kontrol 7.3 for mere information.
- Se ISO 27001:2013 Bilag A 11.1.3 for mere information.
Hvad er ISO 27001:2022 Annex A 7.3?
ISO 27001: 2022 Bilag A 7.3 skitserer kravet om konstruktion og udførelse af fysisk sikkerhed for kontorer, kamre og spillesteder.
Denne kontrol tilskynder organisationer til at indføre passende foranstaltninger for at sikre mod uautoriseret adgang til lokaler, kontorer og faciliteter, især når beskæftiger sig med informationssikkerhed. Sådanne foranstaltninger kan omfatte låse, alarmer, sikkerhedsvagter eller andre egnede midler til at beskytte mod informationssikkerhedsproblemer.
Fysisk sikkerhed for kontorer, lokaler og faciliteter forklaret
Fysisk sikkerhed er en væsentlig komponent i informationssikkerhed. De to skal tages i betragtning sammen. Informationssikkerhed er sikring af data og systemer mod uautoriseret adgang, brug, offentliggørelse, afbrydelse, ændring eller ødelæggelse.
Fysisk sikkerhed indebærer at træffe foranstaltninger til at beskytte personale, faciliteter, udstyr og andre aktiver mod potentielle farer, såsom indbrud, sabotage, terrorisme og andre kriminelle aktiviteter, ved at reducere de tilknyttede risici.
At afgøre, om du har et informationsfølsomt sted, er det første skridt fysisk sikkerhed. Det kan være kontorer, lokaler eller faciliteter med computere, der indeholder sarte data, eller dem med personale, der har adgang til delikat information.
Låse og nøgler
Sikre alle døre, vinduer og skabe; fastgør sikkerhedsforseglinger til bærbare computere og mobile enheder; installere adgangskodebeskyttelse til computere; kryptere følsomme data.
CCTV
Kameraer med lukket kredsløb giver et effektivt middel til at overvåge aktivitet på grunden eller i bestemte områder af en struktur.
Indbrudsalarmer
Bevægelse, varme eller lyd kan udløse disse alarmer, som advarer dig om eventuelle ubudne gæster eller uautoriserede personer i et område (f.eks. en sikkerhedsalarm, der går, hvis nogen forsøger at bryde ind på kontoret).
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad er formålet med ISO 27001:2022 Annex A 7.3?
Målet ISO 27001:2022 Bilag A Kontrol 7.3 er at beskytte organisationens information og andre tilknyttede aktiver i kontorer, lokaler og faciliteter mod uautoriseret fysisk adgang, beskadigelse og interferens.
Det primære formål med ISO 27001:2022 bilag A 7.3 er at reducere risikoen for uautoriseret fysisk adgang til kontorer, lokaler og faciliteter til et acceptabelt niveau ved at:
- Det er vigtigt at forhindre uautoriserede personer i at komme ind på kontorer, lokaler og faciliteter. Alt personale skal være autoriseret, før de kan få adgang.
- Forebyg skade eller forstyrrelse af organisationens data og andre relaterede aktiver inden for arbejdspladsområder, lokaler og faciliteter.
- Sørg for, at informationssikkerhedsfølsomme områder er diskrete, så det er svært at gennemskue deres formål.
- Minimerer risikoen for tyveri eller tab af ejendom i kontorer, værelser og faciliteter.
- Sikre identifikation af personale autoriseret til fysisk adgang via en kombination af uniformer, elektroniske dørindgangssystemer og besøgskort.
- Hvor det er muligt, bør CCTV eller andre overvågningssystemer implementeres for at sikre sikkerhed i vitale områder såsom døre/udgange.
Bilag A 7.3 vedrører alle strukturer, der anvendes af organisationen til kontorer eller administrative operationer. Det dækker også rum, hvor fortrolige data opbevares eller behandles, herunder områder, hvor følsomme samtaler forekommer.
Dette omfatter ikke receptionsområder eller andre offentlige dele af en organisations lokaler, medmindre de anvendes til administrative formål, såsom når et receptionsområde fungerer som kontor.
Hvad er involveret, og hvordan man opfylder kravene
Bilag A 7.3 i ISO 27001:2022 foreskriver, at lokaler og faciliteter skal sikres. For at opfylde disse krav skal følgende sikkerhedsforanstaltninger træffes:
- Lokalisering af kritiske faciliteter for at forhindre offentlig adgang.
- Sørg for, at bygninger ikke er påtrængende og demonstrerer minimal indikation af deres formål, uden tydelige skilte hverken inde i eller uden for bygningen, der viser, at informationsbehandlingsaktiviteter finder sted.
- Opsæt systemer til at beskytte fortrolige data og aktiviteter mod at blive hørt eller set udefra. Elektromagnetisk afskærmning kan være nødvendig.
- Sørg for, at telefonbøger, interne telefonbøger og onlinekort, der viser opholdsstedet for fortrolige informationsbehandlingsfaciliteter, er tilgængelige for enhver uautoriseret person.
For yderligere detaljer om at nå den kontrol, der er fastsat i ISO 27001:2022 standarden, se dokumentet.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 7.3 erstatter ISO 27001:2013 Bilag A 11.1.3 i den reviderede 2022-standard.
Bilag A 7.3 er ikke en ny kontrol. Det er en modificeret version af bilag A 11.1.3 i ISO 27001:2013. Den vigtigste forskel mellem 2013- og 2022-versionerne er, at bilag A-kontrolnummeret er blevet ændret. Bortset fra denne justering forbliver konteksten og den generelle betydning uændret på trods af omformuleringen.
2022 Annex A-kontrollen indeholder en attributtabel og formålserklæring, som er fraværende i 2013-versionen.
Hvem er ansvarlig for denne proces?
Den første person, der konsulterer, når der skal arrangeres kontorer, lokaler og faciliteter, er normalt lederen eller direktøren med ansvar for bygningen og dens indhold.
Sikkerhedschefen fører tilsyn med sikkerheden på alle områder, herunder kontorer og faciliteter. Han/hun holder øje med alt personale med adgang til disse områder og sikrer, at deres brug er passende.
I visse tilfælde kan flere personer være ansvarlige for sikkerheden. For eksempel, hvor en person har adgang til følsomme oplysninger, der kan være til skade for virksomheden eller andre medarbejderes privatliv, er det væsentligt at have flere personer involveret i deres sikkerhed.
HR-afdelingen er ansvarlig for medarbejderforsikringer og ydelser, mens IT administrerer computersystemer og netværk. Begge afdelinger er involveret i styring af fysisk sikkerhed, såvel som cybersikkerhedsproblemer såsom phishing-svindel og uautoriserede adgangsforsøg.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvad betyder disse ændringer for dig?
Ingen væsentlige ændringer er nødvendige for at overholde den mest opdaterede version af ISO 27001:2022.
Evaluer din eksisterende informationssikkerhedsløsning for at sikre, at den lever op til den fornyede standard. Hvis du har ændret noget siden 2013, da den sidste udgave blev udgivet, kan du overveje at gennemgå disse ændringer for at afgøre, om de stadig er gældende eller skal revideres.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.Online Hjælp
Vores platformen er perfekt for begyndere inden for informationssikkerhed eller dem, der hurtigt ønsker at få en forståelse af ISO 27001:2022 uden at skulle investere tid i at studere fra begyndelsen eller gennemgå lange dokumenter.
ISMS.online er udstyret med alle de værktøjer, der er nødvendige for at overholde overholdelse, inklusive personlige dokumentskabeloner, tjeklister og politikker.
Kontakt os nu for at planlægge en demonstration.