- Se ISO 27002:2022 Kontrol 7.9 for mere information.
- Se ISO 27001:2013 Bilag A 11.2.6 for mere information.
ISO 27001:2022 Kontrol 7.9 – Sikkerhed for aktiver uden for kontoret
Når enheder, der indeholder værdifulde informationsaktiver, fjernes fra organisationens fysiske placering, er de mere modtagelige for skade, tyveri, tab, ødelæggelse eller brud.
Fysisk sikkerhedskontrol inden for en organisations faciliteter vil ikke være effektiv, hvilket efterlader dens off-site aktiver udsat for trusler som fysiske risici og ondsindede personer, der forsøger at få uautoriseret adgang.
Medarbejdere arbejder eksternt kan tage virksomhedscomputere med fortrolige data væk fra virksomheden, arbejde på en café, hotellobby osv., forbinde til usikret offentlig Wi-Fi og efterlade deres enheder uovervåget. Disse handlinger udgør en risiko for sikkerheden, fortroligheden, integriteten og tilgængeligheden af de oplysninger, der opbevares på enhederne.
Organisationer bør sikre, at enheder, der tages uden for lokalerne, forbliver sikre.
ISO 27001:2022 Bilag A 7.9 skitserer, hvordan organisationer kan sikre sikkerheden for enheder, der er placeret væk fra hovedstedet, og som hoster informationsaktiver. De skal etablere passende kontroller og procedurer for at opnå dette.
Formål med ISO 27001:2022 bilag A 7.9
ISO 27001: 2022 Bilag A 7.9 giver organisationer mulighed for at beskytte sikkerheden for informationsaktiver, der er indeholdt i hardware, ved at forhindre to forskellige risici:
- Minimerer risikoen for, at dataaktiver i eksterne enheder går tabt, beskadiget, ødelagt eller afsløret.
- Undgå afbrydelse af virksomhedens databehandling operationer fra brud på eksterne enheder.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A 7.9
ISO 27001:2022 Annex A 7.9 nødvendiggør, at organisationer opsætter og implementerer protokoller og regler, der dækker alle enheder, der ejes eller bruges på vegne af virksomheden. Derudover er det afgørende for den effektive beskyttelse af eksterne enheder, at der oprettes en aktivopgørelse, og at den øverste ledelse godkender brugen af personlige enheder.
Informationssikkerhedschef bør rådføre sig med ledelsen og ejerne af aktiver og være ansvarlig for at udvikle, udføre og opretholde procedurer og foranstaltninger for at sikre sikkerheden af enheder, der tages væk fra virksomhedens lokaler.
Generel vejledning om ISO 27001:2022 Bilag A 7.9 Overholdelse
Bilag A 7.9 beskriver seks fornødenheder, som organisationer skal overholde, når de konstruerer og anvender foranstaltninger og protokoller til beskyttelse af aktiver, der fjernes fra lokalerne:
- Computere, USB'er, harddiske og skærme, som virksomheden har taget off-site, bør aldrig efterlades uden opsyn i offentlige områder som f.eks. caféer eller på et usikkert sted.
- Overhold altid enhedsproducentens instruktioner og specifikationer vedrørende fysisk beskyttelse af enheden. Følg f.eks. deres instruktioner om afskærmning af enheden mod vand, varme, elektromagnetiske felter og støv.
- Medarbejdere og andre organisationer, der tager computerudstyr uden for virksomhedens lokaler, bør føre en log, der beskriver varetægtskæden. Denne log bør som minimum indeholde navnene på de personer, der er ansvarlige for enheden, og deres organisation.
- Hvis en organisation finder, at autorisation er nødvendig og praktisk til at fjerne udstyr fra virksomhedens lokaler, bør de etablere en procedure. Denne procedure bør dække overtagelsen af bestemt udstyr off-site og føre en fortegnelse over alle fjernelseshandlinger for at give organisationen en revisionsspor.
- Det er vigtigt at tage de nødvendige skridt for at afværge faren for ikke-godkendt visning af data på offentlige transportskærme.
- Organisationen bør installere placeringssporingsværktøjer og aktivere fjernadgang, så enhedens placering kan overvåges, og om nødvendigt kan alle data, der er gemt på enheden, fjernslettes.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Supplerende vejledning om bilag A 7.9
ISO 27001:2022 Bilag A 7.9 opstiller krav til beskyttelse af udstyr, der er installeret uden for en virksomheds område på permanent basis.
Dette udstyr kan bestå af antenner og pengeautomater.
I betragtning af den øgede risiko for beskadigelse og tab af dette udstyr, kræver bilag A 7.9, at organisationer overvejer følgende, når de beskytter det off-site:
- ISO 27001:2022 Bilag A 7.4, Fysisk sikkerhedsovervågning, bør tages i betragtning.
- Sørg for, at der tages hensyn til ISO 27001:2022 bilag A 7.5, som er beskyttelse mod miljømæssige og fysiske trusler.
- Der bør oprettes adgangskontrol, og passende foranstaltninger bør tages for at stoppe interferens.
- Opret og anvend logiske adgangskontroller.
Bilag A 7.9 råder organisationer til at huske på bilag A 6.7 og bilag A 8.1, når de formulerer og indfører foranstaltninger til at beskytte udstyr og udstyr.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 7.9 erstatter ISO 27001:2013 Bilag A 11.2.6.
Der er tre store forskelle, der bør bemærkes:
ISO 27001:2022 Bilag A Kontrol 7.9 kræver et omfattende sæt instruktioner.
Bilag A 7.9 introducerer to nye krav i forhold til ISO 27001:2013-versionen:
- Der bør tages passende foranstaltninger for at forhindre uvedkommende i at se informationen, der er udstillet i offentlig transport.
- Placeringsovervågning og fjernadgang bør aktiveres for at muliggøre sporing af enheden og muligheden for at slette oplysninger, der er gemt på enheden, om nødvendigt.
Bilag A 7.9 introducerer nye kriterier for enheder, der er permanent placeret væk fra lokalerne.
Sammenlignet med ISO 27001:2013-versionen giver ISO 27001:2022 Annex A 7.9 klare råd om sikring af udstyr, der er fastgjort på et eksternt sted.
Disse kunne involvere antenner og pengeautomater.
Forbuddet mod fjernarbejde er indført for at reducere risici.
ISO 27001:2013-versionen gjorde det klart, at organisationer kunne forbyde medarbejdere fra fjernarbejde, hvis det var i overensstemmelse med de risikoniveauer, der var blevet identificeret. I modsætning hertil nævner ISO 27001:2022-versionen ikke dette.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISMS.online er det perfekte værktøj til styring af en ISO 27001:2022 implementering. Den er skræddersyet til at hjælpe virksomheder med at implementere en informationssikkerhedsstyringssystem (ISMS) der opfylder standarderne i ISO 27001:2022.
Platformen anvender en risikobaseret tilgang sammen med top-of-the-line bedste praksis og skabeloner for at hjælpe med at genkende de risici, din organisation står over for, og de nødvendige kontroller til at styre dem. Ved at gøre det kan du effektivt minimere både din risikoeksponering og overholdelsesomkostninger.
Kontakt os nu for at arrangere en demonstration.