ISO 27001:2022 Bilag A Kontrol 7.1

Fysiske sikkerhedsomkredse

Book en demo

forretning, kommunikation, forbindelse, arbejde, koncept

Hvad er ISO 27001:2022 Annex A 7.1?

ISO 27001: 2022 Bilag A 7.1 kræver, at organisationer etablerer sikkerhedsperimeter og bruger dem til at beskytte information og tilhørende aktiver.

Informations- og informationssikkerhedsaktiver forklaret

Information kan beskrives som enhver data, viden eller indsigt, der har værdi for en organisation eller virksomhed. Dette inkluderer alle oplysninger indhentet om enkeltpersoner, kunder, partnere, medarbejdere og andre interessenter.

Informationssikkerhedsaktiver kan bredt klassificeres i:

data

Data og information forveksles ofte med hinanden, men der er en klar forskel. Data er rå, ubearbejdet og generelt til ingen nytte i sin nuværende form. På den anden side er information data, der er arrangeret i et brugbart format, såsom en e-mail eller et telefonnummer.

Infrastruktur

Infrastruktur omfatter alle komponenter i et netværk – servere, printere, routere og mere – for at skabe et sammenhængende system.

Software infrastruktur, som f.eks operativsystemer og applikationer, skal beskyttes mod cybertrusler, ligesom hardware gør. For at undgå udnyttelse af ondsindede hackere, der søger adgang til følsomme data, skal begge opdateres regelmæssigt med patches og rettelser til eventuelle sårbarheder, der er afsløret af hackere.

Fysiske sikkerhedsomkredse forklaret

Fysisk sikkerhed refererer til de fysiske foranstaltninger, der sikrer en organisations ressourcer og lokaler. Det er en grundlæggende og uundværlig del af informationssikkerheden. Det involverer mere end blot at låse døren; det indebærer også at være opmærksom på, hvem der har adgang til hvad, hvornår, hvor og hvordan.

Fysiske sikkerhedsomkredse identificerer de fysiske grænser for en bygning eller et område og kontrollerer adgangen til den. Hegn, mure, porte og andre barrierer kan bruges til at forhindre uautoriseret adgang af personer eller køretøjer. Desuden kan elektronisk overvågningsudstyr såsom CCTV-kameraer bruges til at overvåge aktivitet uden for anlægget.

Fysiske sikkerhedsomkredse tilbyder det første lag af beskyttelse mod udefrakommende, der forsøger at få adgang til dit computersystem via en kablet eller trådløs forbindelse i en virksomhed. De kombineres ofte med yderligere informationssikkerhedskontroller, såsom identitetsstyring, adgangskontrol og indtrængendetekteringssystemer.

Gå til emne

Vejledning om ISO 27001:2022 Bilag A 7.1

ISO 27001:2022 Bilag A 7.1 garanterer, at en organisation kan vise, at den har passende fysiske sikkerhedsgrænser på plads for at forhindre uautoriseret fysisk adgang til information og andre relaterede aktiver.

Dette indebærer at tage skridt til at forhindre:

  • Uautoriseret adgang til bygninger, rum eller områder, der indeholder informationsaktiver, er forbudt.

  • Fjernelse af aktiver uden tilladelse fra lokalerne er uacceptabel.

  • Uautoriseret brug af lokalernes aktiver, såsom computere og relaterede enheder, er ikke tilladt.

  • Uautoriseret manipulation med elektronisk kommunikationsudstyr, såsom telefoner, faxer og computerterminaler, er ikke tilladt.

Det er muligt at implementere fysiske sikkerhedsperimetre på to forskellige måder:

Fysisk adgangskontrol – sikrer adgang til faciliteter og bygninger og bevægelse indenfor dem. Dette omfatter låsning af døre, alarmer, hegn og barrierer.

Hardware sikkerhed – giver kontrol over fysisk udstyr, såsom computere, printere og scannere, der behandler data, der indeholder følsomme oplysninger.

Denne kontrol hjælper beskytte oplysninger og andre relaterede aktiver, såsom fortrolige dokumenter, optegnelser og udstyr, ved at forhindre uautoriseret brug af facilitetsplads, udstyr og forsyninger.

Hvad er involveret, og hvordan man opfylder kravene

Retningslinjer, der skal tages i betragtning for fysiske sikkerhedsomkredse, bør vedtages, hvor det er muligt:

  • Etablering af sikkerhedsbarrierer og lokalisering af hver enkelts nøjagtige placering og styrke i overensstemmelse med informationssikkerhedsreglerne vedrørende ressourcerne inden for grænsen.

  • Det er afgørende at sikre den fysiske sikkerhed for en bygning eller et websted, der rummer informationsbehandlingssystemer, uden huller eller svage punkter i omkredsen, hvor et indbrud kan lettes.

  • De udvendige overflader på stedet, herunder tage, vægge, lofter og gulve, skal være af robust konstruktion, og alle udvendige døre skal være udstyret med kontrolmekanismer som sprosser, alarmer og låse for at forhindre uautoriseret adgang.

  • Sørg for, at vinduer og døre er låst, når de ikke er optaget, og overvej ekstern sikkerhed for vinduer, især i stueetagen; ventilation skal også tages i betragtning.

For yderligere indsigt i, hvad der forventes for overholdelse af ISO 27001:2022 standarden, se den tilhørende dokumentation.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.1 erstatter ISO 27001:2013 Bilag A 11.1.1; konteksten og betydningen forbliver stort set ens, omend formuleret anderledes.

2022-versionen oplevede en reduktion i implementeringskrav sammenlignet med den tidligere kontrol.

Bilag A 7.1 mangler kravene i bilag A 11.1.1, som er som følger:

  • Der bør være et bemandet receptionsområde eller en anden måde at administrere fysisk adgang til stedet eller bygningen.

  • Kun autoriseret personale bør tillades adgang til steder og bygninger.

  • Konstruer fysiske barrierer, når det er relevant, for at forhindre uautoriseret fysisk adgang og afværge miljøforurening.

  • Det er nødvendigt at installere indbrudsdetektionssystemer, der opfylder nationale, regionale eller internationale standarder, og test dem regelmæssigt for at sikre alle udvendige døre og tilgængelige vinduer.

  • Alle ledige områder bør til enhver tid være udstyret med et alarmsystem.

  • Vi bør sikre dækning af andre områder, såsom computer- og kommunikationsrum.

  • Organisationen bør holde deres informationsbehandlingsfaciliteter fysisk adskilt fra dem, der administreres af eksterne kilder.

Ingen udeladelse reducerer effektiviteten af ​​den nye ISO 27001:2022-standard; i stedet blev de fjernet for at gøre kontrollen nemmere at bruge og forstå.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvem er ansvarlig for denne proces?

Chief Information Officer (CIO) er lederen ansvarlig for at sikre virksomhedens data og systemer. De arbejder sammen med andre ledere for at overveje sikkerhed, når de træffer forretningsbeslutninger, såsom finansdirektøren og administrerende direktør. Implementering af politikker og procedurer for at beskytte virksomhedens information er en central del af CIO'ens rolle.

Økonomidirektøren har en rolle i beslutningen om fysiske sikkerhedsomkredse. I samarbejde med andre C-suite-ledere, herunder CIO'en, beslutter de, hvor meget de skal investere i fysiske sikkerhedsforanstaltninger såsom overvågningskameraer, adgangskontrol og alarmer.

Hvad betyder disse ændringer for dig?

ISO 27001:2022 er ikke et større eftersyn, så ingen væsentlige ændringer er nødvendige for at overholde kravene.

Det er værd at undersøge din nuværende implementering for at sikre, at den er i overensstemmelse med de nye krav. Især hvis der er foretaget ændringer siden versionen af ​​2013. Det er værd at revurdere disse ændringer for at afgøre, om de forbliver gyldige eller skal ændres.

Hvordan ISMS.Online Hjælp

ISMS.online kan hjælpe med at bevise overholdelse af ISO 27001 ved at levere et online system, der muliggør opbevaring af dokumenter på et enkelt tilgængeligt sted. Det letter også udviklingen af ​​tjeklister for hvert dokument, hvilket letter gennemgang og ændring af dokumenter.

Kunne du tænke dig at opleve, hvordan det fungerer?

Kontakt os i dag for reservere en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere