- Se ISO 27002:2022 Kontrol 7.7 for mere information.
- Se ISO 27001:2013 Bilag A 11.2.9 for mere information.
ISO 27001 Annex A 7.7: Beskyttelse af følsomme oplysninger med Clear Desk & Clear Screen Politikker
ISO 27001: 2022 Bilag A 7.7 diskuterer, hvordan organisationer kan beskytte og opretholde fortroligheden af følsomme oplysninger på digitale skærme og papir ved at implementere klare skrivebords- og klare skærmregler.
En medarbejder, der forlader sin arbejdsstation uden opsyn, risikerer uautoriseret adgang, tab af fortrolighed og beskadigelse af de følsomme oplysninger indeholdt i digitale og fysiske materialer.
For eksempel kan ondsindede parter udnytte muligheden for at stjæle og misbruge følsomme helbredsdata, hvis en medarbejder efterlader sin computer uden opsyn i en frokostpause, mens han bruger et værktøj til håndtering af kunderelationer.
Hvad er formålet med ISO 27001:2022 Annex A 7.7?
ISO 27001:2022 Bilag A 7.7 giver organisationer en metode til at eliminere og/eller mindske risikoen for uautoriseret adgang, brug, beskadigelse eller tab af følsomme oplysninger på medarbejdernes arbejdsstations skærme og dokumenter, når de ikke er til stede.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af ISO 27001:2022 Bilag A 7.7
I overensstemmelse med bilag 7.7 skal organisationer vedtage og implementere en organisationsdækkende politik vedrørende klare skriveborde og skærme. Informationssikkerhedsansvarlige bør være ansvarlige for at producere, vedligeholde og håndhæve klare skrivebords- og skærmpolitikker i hele organisationen.
Generel vejledning om ISO 27001:2022 Bilag A 7.7
Bilag A 7.7 anbefaler at skabe og håndhæve en emnespecifik politik, der skitserer regler for overskuelige skriveborde og klare skærme.
Desuden specificerer bilag A 7.7 syv specifikke krav, som organisationer bør overveje, når de etablerer og håndhæver politikker for clear desk og clear screen:
- Digitale og fysiske aktiver, der indeholder følsomme eller kritiske oplysninger, bør låses sikkert, når de ikke er i brug, eller når arbejdsstationen, der hoster dem, er tom. For eksempel bør papirjournaler, bærbare computere og printere opbevares i sikre møbler såsom skuffer eller skabe med låse.
- Medarbejderbrugte enheder, såsom bærbare computere, scannere, printere og notebooks, bør beskyttes med nøglelåse, når de ikke er i brug eller efterlades uden opsyn.
- Medarbejdere bør efterlade deres enheder logget af, når de forlader deres arbejdsområde og efterlade dem uden opsyn. Genaktivering af enheden bør kun være mulig med brugergodkendelse. Alle endpoint-medarbejderenheder, såsom computere, bør have automatiske timeout- og log-out-funktioner.
- Printeren bør udformes, så udskrifter straks kan afhentes af den person, der har printet dem (ophavsmand). Desuden bør kun ophavsmanden have lov til at indsamle udskrifterne gennem en robust godkendelsesmekanisme.
- Materiale, der indeholder følsomme oplysninger, herunder flytbare medier, skal til enhver tid opbevares sikkert. Når du ikke længere har brug for dem, skal de bortskaffes på en sikker måde.
- Det er vigtigt for organisationer at skabe regler for visning af pop-ups på skærme og at kommunikere disse regler til alle relevante medarbejdere. For eksempel kan pop op-vinduer (såsom e-mail-meddelelser), der indeholder følsomme oplysninger, kompromittere fortroligheden af følsomme oplysninger, hvis de vises under en præsentation eller i et offentligt rum.
- Whiteboards bør slettes, når følsomme eller kritiske oplysninger ikke længere er nødvendige.
Supplerende vejledning om bilag A 7.7
ISO 27001 bilag A 7.7 advarer organisationer om risici i forbindelse med forladte faciliteter. Fysiske og digitale materialer, der tidligere er lagret i en facilitet, bør fjernes sikkert, når en organisation forlader for at forhindre tab af følsomme oplysninger.
Derfor fastsætter bilag A 7.7, at organisationer bør etablere procedurer for ferie af faciliteter for at sikre, at følsomme informationsaktiver bortskaffes på sikker vis. Et sidste sweep kan udføres for at sikre, at ingen følsomme oplysninger efterlades ubeskyttede.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad er ændringerne og forskellene fra ISO 27001:2013?
ISO 27001:2022 Bilag A 7.7 erstatter ISO 27001:2013 Bilag A 11.2.9 ('Ryd skrivebords- og skærmpolitik').
Der er to bemærkelsesværdige forskelle mellem ISO 27001:2022 og ISO 27001:2013 versionerne:
- ISO 27001:2022-versionen indeholder ikke kriterier, der skal tages i betragtning, når der etableres og implementeres clear desk og clear screen politikker.
Mens 2013-versionen specificerer, at organisationer bør overveje hele organisationen informationsklassificering niveauer, juridiske og kontraktmæssige krav og de typer risici, de står over for, når de etablerer en klar skrivebords- og klar skærmpolitik.
ISO 27001:2022-versionen nævner dog ikke disse elementer. ISO 27001:2022-standarden introducerer nye og mere omfattende krav til overskuelige skriveborde og klare skærme.
ISO 27001:2022-versionen specificerer følgende krav, som organisationer skal tage i betragtning, når de etablerer klare skrivebords- og klare skærmpolitikker:
- Organisationer bør bevare fortroligheden af følsomme oplysninger ved at oprette specifikke retningslinjer på pop-up-skærme.
- Fjern de følsomme oplysninger skrevet på en tavle, hvis du ikke længere har brug for dem.
- Computere og andre slutpunktsenheder, der bruges af medarbejdere, bør beskyttes med nøglelåse, når de ikke er i brug eller uden opsyn.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISO 27001:2022 implementering og overholdelse er enkel med vores trin-for-trin tjekliste, der guider dig gennem hele processen.
Din komplet compliance-løsning for ISO/IEC 27001:2022:
- Op til 81 % fremgang fra det øjeblik, du logger ind.
- Enkel og total overholdelsesløsning til ISO 27001:2022.
Til planlæg en demo, kontakt i dag.