ISO 27001:2022 Bilag A 6.7 – Fjernarbejde

• Se ISO 27002:2022 Kontrol 6.7 for mere information.
• Se ISO 27001:2013 Bilag A 6.2.2 for mere information.

Hvad er ISO 27001:2022 Annex A 6.7?

ISO 27001:2022 Annex A 6.7, Remote Working giver vejledning i, hvordan organisationer bør have en politik på plads for at sikre sikker adgang til informationssystemer og netværk, når de arbejder eksternt. Det anbefaler endvidere implementering af en informationssikkerhedsstyringssystem som omfatter procedurer til beskyttelse af fjernadgang.

Informationssikkerhedsimplikationer af fjernarbejde

Fjernarbejde er blevet en mere udbredt trend, efterhånden som teknologien er avanceret for at gøre det muligt for medarbejderne at arbejde eksternt uden at påvirke produktiviteten og effektiviteten. Ikke desto mindre kommer dette med potentiale for datasikkerhedsproblemer.

Som virksomhedsejer er det nødvendigt at beskytte intellektuel ejendom mod cyberkriminelle og sikre datasikkerheden mod hackere. Ved at handle, kan man beskytte sig mod cyberkriminalitet og garantere informationssikkerheden.

Fjernarbejde kan udgøre en række sikkerhedsrisici, som skal håndteres, såsom:

Adgangskontrol

Fjernarbejde kan være fordelagtigt, hvilket giver større adgang til fortrolige data og systemer. Ikke desto mindre kommer det med flere sikkerhedshensyn.

Fjernarbejde, hvis det ikke overvåges korrekt, kan være sårbart over for sikkerhedsproblemer såsom hacking, malware, uautoriseret adgang og mere. Dette er især tilfældet, hvis medarbejderne ikke er til stede i sikre omgivelser.

Tab af fysisk sikkerhed

Fjernarbejde kan også have en effekt på en virksomheds fysisk sikkerhed. Da personalet ikke længere er til stede på kontoret eller i en bygning, er de muligvis ikke i stand til at opdage mistænkelige aktiviteter.

Fortrolighed

Fjernarbejde kan udgøre en risiko for fortroligheden. For eksempel kan medarbejdere få adgang til fortrolige oplysninger uden tilladelse fra virksomheden.

Medarbejdere kan let få adgang til fortrolige virksomhedsdata fra det offentlige web. Desuden er der endda websteder, hvor personalet kan uploade fortrolige data til offentlig visning.

Privatliv

Fjernarbejde kan have en effekt på privatlivet i en organisation. For eksempel, hvis personale arbejder hjemmefra, kan de være mere tilbøjelige til ikke at lægge deres personlige ejendele væk.

Denne ejendom kan indeholde fortrolige data, der kan bringe en virksomheds privatliv i fare.

Databeskyttelse

Fjernarbejde kan udgøre en fare for en virksomheds data. Medarbejdere kan f.eks. få adgang til virksomhedsoplysninger eksternt, og disse data kan gemmes flere steder.

I tilfælde af, at medarbejdere forlader arbejdspladsen og tager deres enhed med sig, hentning af data gemt på computere, servere og mobilenheder kan vise sig at være mere udfordrende.

Arbejderen kan tage fejl eller handle i ond tro med enheden og risikere datasikkerheden.

Hvad er formålet med ISO 27001:2022 Annex A 6.7?

Formålet med ISO 27001:2022 bilag A 6.7 er at sikre, at fjernpersonale har den nødvendige adgangskontrol på plads for at sikre fortroligheden, integriteten og tilgængeligheden af ​​fortrolige eller proprietære oplysninger, procedurer og systemer mod uautoriseret adgang eller videregivelse af uautoriserede personer.

Organisationer skal sikre informationssikkerheden, når personalet arbejder på afstand. De bør derfor udstede en skræddersyet politik vedrørende fjernarbejde, der fastlægger de gældende betingelser og grænser for datasikkerhed. Denne politik bør formidles til alt personale, herunder instruktion i, hvordan man bruger fjernadgangsteknologier sikkert og sikkert.

Denne politik vil sandsynligvis adressere:

• De forhold, hvorunder fjernarbejde er tilladt.
• Processer til at sikre fjernmedarbejdere har adgang til fortrolige oplysninger.
• At sikre, at oplysninger er sikret, når de overføres mellem forskellige fysiske lokationer, indebærer overholdelse af visse procedurer.

Det er vigtigt at etablere en klar system til rapportering af hændelser, herunder de rigtige kontaktoplysninger. Dette kan hjælpe med at forhindre sikkerhedsbrud eller andre hændelser.

Politikken bør også dække kryptering, firewalls, antivirussoftwareopdateringer og medarbejderinstruktioner om, hvordan man sikkert bruger fjernforbindelser.

Hvad er involveret, og hvordan man opfylder kravene

For at overholde bilag A 6.7 bør organisationer, der tilbyder fjernarbejde, udstede en politik vedrørende fjernarbejde, som specificerer de relaterede regler og begrænsninger.

Politikken bør vurderes med jævne mellemrum, især når teknologien eller lovgivningen ændres.

Alt personale, entreprenører og enheder involveret i fjernarbejde bør informeres om politikken.

Politikken bør dokumenteres, gøres tilgængelig for interessenter, såsom tilsynsmyndigheder og revisorer, og holdes ajour.

Organisationer skal sikre sig, at de har de nødvendige sikkerhedsforanstaltninger for at sikre følsomme eller fortrolige oplysninger, der transmitteres eller opbevares elektronisk under fjernoperationer.

I overensstemmelse med bilag A 6.7 skal følgende tages i betragtning:

• Overvej den fysiske sikkerhed på fjernarbejdspladsen, både eksisterende og foreslået, som omfatter sikkerheden på stedet, det omkringliggende område og retssystemerne i de regioner, hvor personalet er baseret.
• Regler for sikre fysiske omgivelser, såsom aflåselige arkivskabe, sikker transport mellem steder, regler for fjernadgang, clear desk, udskrivning og bortskaffelse af data og relaterede aktiver, samt rapportering om sikkerhedshændelser, skal implementeres.
• De forventede fysiske miljøer for fjernarbejde.
• Sikker kommunikation skal sikres under hensyntagen til organisationens behov for fjernadgang, følsomheden af ​​de overførte data og sårbarheden af ​​systemerne og applikationerne.
• Fjernadgang, såsom virtuel skrivebordsadgang, muliggør behandling og lagring af oplysninger på personlige enheder.
• Faren for uautoriseret adgang til data eller aktiver fra personer uden for det eksterne arbejdsområde – såsom familie og venner – er reel.
• Risikoen for uautoriseret adgang til data eller aktiver for personer i offentlige områder er en bekymring.
• Ansættelse af både hjemmenetværk og offentlige netværk samt regler eller forbud i forbindelse med opsætning af trådløse netværkstjenester er nødvendigt.
• Anvendelse af sikkerhedsforanstaltninger, såsom firewalls og anti-malware-beskyttelse, er afgørende.
• Sørg for, at systemer kan implementeres og initieres eksternt med sikre protokoller.
• Sikker autentificeringsmekanismer skal være aktiveret for at give adgangsprivilegier under hensyntagen til følsomheden af ​​enkeltfaktorautentificeringsmekanismer, når fjernadgang til organisationens netværk er godkendt.

Retningslinjer og foranstaltninger, der skal tages i betragtning, bør omfatte:

• Organisationen skal levere passende udstyr og opbevaringsmøbler til fjernarbejde, og forbyde brug af privatejet udstyr, som ikke er under dens kontrol.
• Dette job involverer følgende: definition af det tilladte arbejde, klassificering af de oplysninger, der kan opbevares, og autorisering af fjernmedarbejdere til at få adgang til interne systemer og tjenester.
• Der bør gives uddannelse til dem, der arbejder fjernt, og dem, der tilbyder støtte. Dette bør dække, hvordan man sikkert kan drive forretning uden for kontoret.
• Det er vigtigt at sikre, at passende kommunikationsudstyr er tilvejebragt, såsom at kræve enhedsskærmlåse og inaktivitetstimere for fjernadgang.
• Det er muligt at aktivere enhedens placeringssporing.
• Installation af fjernsletningsfunktioner er et must.
• Fysisk sikkerhed.
• Retningslinjer og regler vedrørende familie og besøgendes adgang til udstyr og data skal følges.
• Forretningen leverer hardware- og softwaresupport og vedligeholdelse.
• Tilvejebringelse af forsikring.
• Protokollen til sikkerhedskopiering af data og kontinuitet i driften.
• Revision og sikkerhedsovervågning.
• Ved ophør af fjernarbejdsaktiviteter skal autoritet og adgangsrettigheder tilbagekaldes, og alt udstyr skal returneres.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Annex A 6.7 er en tilpasning af Annex A 6.2.2 fra ISO 27001:2013 og ikke et nyt element.

ISO 27001:2022 Bilag A 6.7 og 6.2.2 deler mange ligheder, selvom nomenklaturen og ordlyden er forskellige. I ISO 27001:2013 omtales 6.2.2 som fjernarbejde, mens 6.7 er kendt som fjernarbejde. Denne ændring afspejles i den nye version af standarden, som erstatter fjernarbejde med fjernarbejde.

I bilag A 6.7 til ISO 27001:2022 skitserer standarden, hvad der kvalificeres som fjernarbejde, herunder fjernarbejde – det oprindelige kontrolnavn i ISO 27001:2013-versionen.

Version 2022 af implementeringsvejledningerne er stort set ens, selvom sproget og termerne er forskellige. For at sikre, at brugerne af standarden forstår, anvendes et brugervenligt sprog.

Nogle tilføjelser blev foretaget i bilag A 6.7, og nogle sletninger skete i 6.2.2.

Tilføjet til ISO 27001:2022 Annex A 6.7 Fjernarbejde

• Sørg for fysisk sikkerhed med aflåselige arkivskabe, giv sikker transport og adgangsinstruktioner, beordr klare skrivebordspolitikker, skitser print-/bortskaffelsesprotokoller for info/aktiver og implementer et hændelsesresponssystem.
• Det forventes, at folk vil arbejde på afstand. Der forventes fysiske forhold.
• Risikoen for uautoriseret adgang til information eller ressourcer fra fremmede på offentlige områder.
• Sikre metoder til fjernimplementering og opsætning af systemer.
• Sikre mekanismer er på plads til at autentificere og tillade adgangsrettigheder, under hensyntagen til følsomheden af ​​enkeltfaktor-autentificeringsmekanismer, når fjernadgang til organisationens netværk er aktiveret.

Fjernet fra ISO 27001:2013 Bilag A 6.2.2 Fjernarbejde

• Implementeringen af ​​hjemmenetværk og reglerne eller begrænsningerne for konfiguration af trådløse netværkstjenester er nødvendige.
• Der bør indføres politikker og procedurer til at afbøde tvister vedrørende rettigheder til intellektuel ejendom udviklet på privatejet udstyr.
• At få adgang til privatejede maskiner (for at sikre dets sikkerhed eller til efterforskningsformål) kan være forbudt ved lov.
• Organisationer kan være ansvarlige for softwarelicenser på arbejdsstationer, der er privatejet af enten deres personale eller eksterne brugere.

ISO 27001:2022 giver erklæringer om formål og attributtabeller for hver kontrol, hvilket hjælper brugerne med at forstå og omsætte kontrollerne mere effektivt.

ISO 27001:2013-versionen mangler disse to komponenter.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvem er ansvarlig for denne proces?

Den primære pligt til at udforme en informationssikkerhedspolitik for fjernmedarbejdere ligger hos organisationens informationssikkerhedsansvarlige. Ikke desto mindre bør andre interessenter også inddrages i processen.

IT- og HR-chefer er i fællesskab ansvarlige for at sikre, at politikken implementeres og vedligeholdes, og at medarbejderne forstår og efterlever den.

Hvis du har et leverandørstyringsprogram, er det sandsynligt, at den person, der er ansvarlig for at administrere entreprenører og leverandører, vil være ansvarlig for at danne en sikkerhedspolitik for eksterne medarbejdere i den pågældende afdeling.

Hvad betyder disse ændringer for dig?

ISO 27001:2022 forbliver stort set uændret; derfor skal du blot sikre, at dine informationssikkerhedsprocesser overholder den nye udgivelse.

Ændring af nogle kontroller og præcisering af visse krav var hovedændringen. Bilag A 6.7 havde den største effekt – outsourcer man driften eller fjernbeskæftiger folk, skal man sikre sig, at de har passende sikkerhedsforanstaltninger.

Hvis din organisation allerede har en ISO 27001 certificering, vil den proces, du anvender til at administrere informationssikkerhed, opfylde de nye regler.

Hvis du søger at forny din ISO 27001 certificering, behøver du ikke foretage dig noget. Sørg kun for, at dine procedurer stadig stemmer overens med den nye standard.

Hvis du starter fra begyndelsen, er det nødvendigt at overveje, hvordan du sikrer din virksomheds data og information mod cyberangreb og andre risici.

Det er vigtigt at tage cyberrisici seriøst og håndtere dem som en del af den overordnede forretningsplan, frem for kun at betragte dem som et problem for it- eller sikkerhedsafdelinger.

Hvordan ISMS.online Hjælp

ISMS.online platform hjælper med alle aspekter af ISO 27001:2022-implementeringen, fra udførelse af risikovurderingsaktiviteter til udformning af politikker, procedurer og direktiver for at opfylde standardens specifikationer.

ISMS.online giver en platform til at dokumentere og dele resultater med kolleger. Desuden giver det dig mulighed for at generere og gemme tjeklister over alle nødvendige opgaver til ISO 27001 implementering, så du nemt kan overvåge din organisations sikkerhedsforanstaltninger.

Vi forsyner organisationer med et sæt automatiserede værktøjer, der gør det nemt at demonstrere overholdelse af ISO 27001.

Kontakt os nu for at book en demonstration.