Styrkelse af den fysiske sikkerhed med ISO 27001:2022 Compliance
I tilfælde af, at der gives uautoriseret adgang til begrænsede fysiske områder såsom serverrum og it-udstyrsrum, informationsaktiver kan blive kompromitteret med hensyn til fortrolighed, tilgængelighed, integritet og sikkerhed.
I ISO 27001:2022 bilag A 7.4 forhindres ubudne gæster i at komme ind i følsomme fysiske lokaler uden tilladelse.
Formålet med ISO 27001:2022 bilag A 7.4?
Bilag A Kontrol 7.4 kræver, at organisationer implementerer passende overvågningsværktøjer. Dette er for at opdage og forhindre eksterne og interne ubudne gæster i at komme ind på afspærrede fysiske områder uden tilladelse.
Overvågningsværktøjer, der er i stand til at overvåge og registrere adgangsbegrænsede områder, beskytter mod risici som følge af uautoriseret adgang til begrænsede områder, herunder men ikke begrænset til:
- Datatyveri.
- Tabet af informationsaktiver.
- Økonomisk skade.
- Fjernelse af flytbare medieaktiver til ondsindede formål.
- Malwareinfektion af it-aktiver.
- Angreb udføres af en ubuden gæst ved hjælp af ransomware.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvem har ejerskab til bilag A 7.4?
I henhold til ISO 27001 Bilag A Kontrol 7.4, overholdelse af denne kontrol kræver identifikation af alle spærrede områder. Det kræver også identifikation af overvågningsværktøjer, der er egnede til det specifikke fysiske område, der skal overvåges.
Derfor skal den øverste sikkerhedsofficer være ansvarlig for implementering, vedligeholdelse, styring og gennemgang af overvågningssystemer på en effektiv måde.
Vejledning om, hvordan man overholder ISO 27001:2022 Bilag A 7.4
I henhold til ISO 27001 Annex A Kontrol 7.4 skal organisationer implementere følgende tre trin for at opdage og forhindre uautoriseret adgang til faciliteter, der rummer kritiske informationsaktiver, og forhindre dem i at blive kompromitteret.
Indsæt et videoovervågningssystem for at holde øje med situationen
For løbende at overvåge adgangen til begrænsede områder, der er vært for kritiske informationsaktiver, bør en organisation have et videoovervågningssystem, såsom CCTV-kameraer. Dette er et eksempel på et sådant system. Desuden er det også afgørende, at dette overvågningssystem fører en registrering af alle ind- og udgange i lokalerne.
Installation af detektorer til at udløse en alarm
Muligheden for at udløse en alarm, når en ubuden gæst kommer ind i de fysiske lokaler, gør det muligt for sikkerhedsteamet at reagere hurtigt på ethvert sikkerhedsbrud. Det kan også være en effektiv måde at afskrække ubudne gæster fra at komme ind i dit hjem.
Det anbefales, at organisationer køber bevægelses-, lyd- og kontaktdetektorer, der vil advare dem, når der registreres unormal aktivitet i organisationens fysiske lokaler.
Dette inkluderer, men er ikke begrænset til:
- En kontaktdetektor bør installeres i miljøet. Når et ukendt objekt eller individ kommer i kontakt med en bestemt genstand eller bryder kontakten med en bestemt genstand, bør en alarm aktiveres. En kontaktdetektor kan f.eks. konfigureres til at udløse en alarm, når kontaktdetektoren kontakter et vindue eller dør.
- Bevægelsesdetektorerne kan konfigureres til at advare dig, hvis de registrerer bevægelse inden for deres synsfelt af et objekt, der bevæger sig i deres synsfelt.
- En lyddetektor, såsom en knuseglasdetektor, kan aktiveres, når den registrerer en lyd, hvilket kan være med til at forhindre bilulykker.
Konfiguration af alarmer for alle interne lokaler
Det er bydende nødvendigt at sikre, at alarmsystemet er konfigureret korrekt. Dette vil sikre, at alle følsomme områder, inklusive alle udvendige døre, vinduer, ubesatte områder og computerrum, er inden for alarmsystemets rækkevidde. Dette vil forhindre eventuelle sårbarheder i at blive udnyttet.
For eksempel kan ubudne gæster bruge rygeområder eller indgange til fitnesscenter som angrebsvektorer, hvis de ikke overvåges.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
De tilgængelige typer overvågningssystemer
Skønt ISO 27001 Bilag A Kontrol 7.4 giver ikke mandat til, at organisationer vælger et overvågningssystem frem for et andet, det angiver flere overvågningsværktøjer, der kan bruges separat eller i kombination med andre, herunder:
- CCTV kameraer.
- Sikkerhedsvagter.
- Indbrudsalarmsystemer.
- Fysisk sikkerhedsstyringssoftware.
ISO 27001:2022 Bilag A 7.4 Supplerende vejledning
Følgende overvejelser bør tages i betragtning ved implementering af fysiske sikkerhedsovervågningssystemer i henhold til bilag A Kontrol 7.4:
- Bevarelse af fortrolighed om overvågningssystemers design og indre funktion er afgørende.
- For at eliminere risikoen for fjerndeaktivering af overvågningssystemer af ondsindede parter bør passende foranstaltninger implementeres. Disse foranstaltninger bør implementeres for at forhindre offentliggørelse af overvågningsaktiviteter, og videofeeds til uautoriserede parter.
- Det er vigtigt, at alarmcentralen er placeret i et alarmudstyret område. Derudover er det væsentligt, at den, der udløser alarmen, har sikker og nem adgang til at forlade området.
- Der skal anvendes en manipulationssikker detektor og et alarmkontrolpanel.
- Enkeltpersoner bør kun overvåges og registreres ved hjælp af overvågningssystemer til legitime formål. Denne overvågning og registrering bør overholde alle gældende love og regler, herunder love om databeskyttelse. For eksempel EU og Storbritannien GDPR kan kræve, at organisationer foretager en konsekvensanalyse, før de indsætter CCTV-kameraer. Desuden bør optagelsen af videofeeds overholde de dataopbevaringsperioder, der er fastsat af gældende lokal lovgivning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad er ændringerne fra ISO 27001:2013?
Det er relevant at bemærke, at kontrol 7.4 er en helt ny bilag A-kontrol, der ikke er behandlet i ISO 27001:2013.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Fordelene ved ISMS.online
ISMS.online tilbyder en bred vifte af kraftfulde værktøjer, der forenkler implementering, vedligeholdelse og forbedring af dit informationssikkerhedsstyringssystem (ISMS) for at opfylde ISO 27001-kravene.
Ud over at levere omfattende værktøjer, ISMS.online giver dig mulighed for at oprette skræddersyede politikker og procedurer skræddersyet til din organisations risici og krav. Det giver også mulighed for samarbejde mellem kolleger og eksterne partnere såsom leverandører eller tredjepartsrevisorer.
Kontakt i dag for book en demo.