ISO 27001:2022 Bilag A 7.1 – Fysiske sikkerhedsomkredse

• Se ISO 27002:2022 Kontrol 7.1 for mere information.
• Se ISO 27001:2013 Bilag A 11.1.1 for mere information.

Hvad er ISO 27001:2022 Annex A 7.1?

ISO 27001: 2022 Bilag A 7.1 kræver, at organisationer etablerer sikkerhedsperimeter og bruger dem til at beskytte information og tilhørende aktiver.

Informations- og informationssikkerhedsaktiver forklaret

Information kan beskrives som enhver data, viden eller indsigt, der har værdi for en organisation eller virksomhed. Dette inkluderer alle oplysninger indhentet om enkeltpersoner, kunder, partnere, medarbejdere og andre interessenter.

Informationssikkerhedsaktiver kan bredt klassificeres i:

data

Data og information forveksles ofte med hinanden, men der er en klar forskel. Data er rå, ubearbejdet og generelt til ingen nytte i sin nuværende form. På den anden side er information data, der er arrangeret i et brugbart format, såsom en e-mail eller et telefonnummer.

Infrastruktur

Infrastruktur omfatter alle komponenter i et netværk – servere, printere, routere og mere – for at skabe et sammenhængende system.

Software infrastruktur, som f.eks operativsystemer og applikationer, skal beskyttes mod cybertrusler, ligesom hardware gør. For at undgå udnyttelse af ondsindede hackere, der søger adgang til følsomme data, skal begge opdateres regelmæssigt med patches og rettelser til eventuelle sårbarheder, der er afsløret af hackere.

Fysiske sikkerhedsomkredse forklaret

Fysisk sikkerhed refererer til de fysiske foranstaltninger, der sikrer en organisations ressourcer og lokaler. Det er en grundlæggende og uundværlig del af informationssikkerheden. Det involverer mere end blot at låse døren; det indebærer også at være opmærksom på, hvem der har adgang til hvad, hvornår, hvor og hvordan.

Fysiske sikkerhedsomkredse identificerer de fysiske grænser for en bygning eller et område og kontrollerer adgangen til den. Hegn, mure, porte og andre barrierer kan bruges til at forhindre uautoriseret adgang af personer eller køretøjer. Desuden kan elektronisk overvågningsudstyr såsom CCTV-kameraer bruges til at overvåge aktivitet uden for anlægget.

Fysiske sikkerhedsomkredse tilbyder det første lag af beskyttelse mod udefrakommende, der forsøger at få adgang til dit computersystem via en kablet eller trådløs forbindelse i en virksomhed. De kombineres ofte med yderligere informationssikkerhedskontroller, såsom identitetsstyring, adgangskontrol og indtrængendetekteringssystemer.

Vejledning om ISO 27001:2022 Bilag A 7.1

ISO 27001:2022 Bilag A 7.1 garanterer, at en organisation kan vise, at den har passende fysiske sikkerhedsgrænser på plads for at forhindre uautoriseret fysisk adgang til information og andre relaterede aktiver.

Dette indebærer at tage skridt til at forhindre:

• Uautoriseret adgang til bygninger, rum eller områder, der indeholder informationsaktiver, er forbudt.
• Fjernelse af aktiver uden tilladelse fra lokalerne er uacceptabel.
• Uautoriseret brug af lokalernes aktiver, såsom computere og relaterede enheder, er ikke tilladt.
• Uautoriseret manipulation med elektronisk kommunikationsudstyr, såsom telefoner, faxer og computerterminaler, er ikke tilladt.

Det er muligt at implementere fysiske sikkerhedsperimetre på to forskellige måder:

Fysisk adgangskontrol – sikrer adgang til faciliteter og bygninger og bevægelse indenfor dem. Dette omfatter låsning af døre, alarmer, hegn og barrierer.

Hardware sikkerhed – giver kontrol over fysisk udstyr, såsom computere, printere og scannere, der behandler data, der indeholder følsomme oplysninger.

Denne kontrol hjælper beskytte oplysninger og andre relaterede aktiver, såsom fortrolige dokumenter, optegnelser og udstyr, ved at forhindre uautoriseret brug af facilitetsplads, udstyr og forsyninger.

Hvad er involveret, og hvordan man opfylder kravene

Retningslinjer, der skal tages i betragtning for fysiske sikkerhedsomkredse, bør vedtages, hvor det er muligt:

• Etablering af sikkerhedsbarrierer og lokalisering af hver enkelts nøjagtige placering og styrke i overensstemmelse med informationssikkerhedsreglerne vedrørende ressourcerne inden for grænsen.
• Det er afgørende at sikre den fysiske sikkerhed for en bygning eller et websted, der rummer informationsbehandlingssystemer, uden huller eller svage punkter i omkredsen, hvor et indbrud kan lettes.
• De udvendige overflader på stedet, herunder tage, vægge, lofter og gulve, skal være af robust konstruktion, og alle udvendige døre skal være udstyret med kontrolmekanismer som sprosser, alarmer og låse for at forhindre uautoriseret adgang.
• Sørg for, at vinduer og døre er låst, når de ikke er optaget, og overvej ekstern sikkerhed for vinduer, især i stueetagen; ventilation skal også tages i betragtning.

For yderligere indsigt i, hvad der forventes for overholdelse af ISO 27001:2022 standarden, se den tilhørende dokumentation.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.1 erstatter ISO 27001:2013 Bilag A 11.1.1; konteksten og betydningen forbliver stort set ens, omend formuleret anderledes.

2022-versionen oplevede en reduktion i implementeringskrav sammenlignet med den tidligere kontrol.

Bilag A 7.1 mangler kravene i bilag A 11.1.1, som er som følger:

• Der bør være et bemandet receptionsområde eller en anden måde at administrere fysisk adgang til stedet eller bygningen.
• Kun autoriseret personale bør tillades adgang til steder og bygninger.
• Konstruer fysiske barrierer, når det er relevant, for at forhindre uautoriseret fysisk adgang og afværge miljøforurening.
• Det er nødvendigt at installere indbrudsdetektionssystemer, der opfylder nationale, regionale eller internationale standarder, og test dem regelmæssigt for at sikre alle udvendige døre og tilgængelige vinduer.
• Alle ledige områder bør til enhver tid være udstyret med et alarmsystem.
• Vi bør sikre dækning af andre områder, såsom computer- og kommunikationsrum.
• Organisationen bør holde deres informationsbehandlingsfaciliteter fysisk adskilt fra dem, der administreres af eksterne kilder.

Ingen udeladelse reducerer effektiviteten af ​​den nye ISO 27001:2022-standard; i stedet blev de fjernet for at gøre kontrollen nemmere at bruge og forstå.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvem er ansvarlig for denne proces?

Chief Information Officer (CIO) er lederen ansvarlig for at sikre virksomhedens data og systemer. De arbejder sammen med andre ledere for at overveje sikkerhed, når de træffer forretningsbeslutninger, såsom finansdirektøren og administrerende direktør. Implementering af politikker og procedurer for at beskytte virksomhedens information er en central del af CIO'ens rolle.

Økonomidirektøren har en rolle i beslutningen om fysiske sikkerhedsomkredse. I samarbejde med andre C-suite-ledere, herunder CIO'en, beslutter de, hvor meget de skal investere i fysiske sikkerhedsforanstaltninger såsom overvågningskameraer, adgangskontrol og alarmer.

Hvad betyder disse ændringer for dig?

ISO 27001:2022 er ikke et større eftersyn, så ingen væsentlige ændringer er nødvendige for at overholde kravene.

Det er værd at undersøge din nuværende implementering for at sikre, at den er i overensstemmelse med de nye krav. Især hvis der er foretaget ændringer siden versionen af ​​2013. Det er værd at revurdere disse ændringer for at afgøre, om de forbliver gyldige eller skal ændres.

Hvordan ISMS.Online Hjælp

ISMS.online kan hjælpe med at bevise overholdelse af ISO 27001 ved at levere et online system, der muliggør opbevaring af dokumenter på et enkelt tilgængeligt sted. Det letter også udviklingen af ​​tjeklister for hvert dokument, hvilket letter gennemgang og ændring af dokumenter.

Kunne du tænke dig at opleve, hvordan det fungerer?

Kontakt os i dag for reservere en demonstration.