ISO 27001:2022 Bilag A Kontrol 7.10

Storage Media

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

Brugen af ​​lagringsmedieenheder, såsom SSD'er, USB'er, eksterne drev og mobiler, er afgørende for adskillige vigtige informationshåndteringsoperationer, herunder sikkerhedskopiering, lagring og overførsel af data.

Lagring af følsomme og vigtige data på disse enheder udgør en risiko for nøjagtigheden, hemmeligholdelsen og tilgængeligheden af ​​informationsressourcer. Disse risici kan involvere forsvinden eller tyveri af lagringsmedier med fortrolige oplysninger, transmission af malware på tværs af alle virksomhedens computernetværk via lagringsmedierne og nedbrydning eller reduktion i kvaliteten af ​​lagringsmedier, der bruges til backup.

ISO 27001:2022 Bilag A 7.10 skitserer de trin, organisationer skal tage for at sikre sikkerheden af ​​lagringsmedier gennem hele dets livscyklus, fra erhvervelse til bortskaffelse. Politikker og kontroller skal indføres for at garantere dets sikkerhed.

Formål med ISO 27001:2022 bilag A 7.10

ISO 27001:2022 Annex A 7.10 letter organisationer med at mindske og udrydde risici forbundet med uautoriseret adgang, brug, sletning, ændring og transmission af fortrolige data, der opbevares på lagermedieenheder. Den etablerer procedurer for håndtering af lagermedier i hele dets livscyklus.

Hvad dækker bilag A 7.10?

ISO 27001:2022 Annex A 7.10 vedrører både digitale og fysiske lagringsmedier. F.eks. er opbevaring af data på fysiske dokumenter også omfattet af denne kontrol.

Sammen med flytbare lagermedier er harddiske som en form for fast lager også underlagt ISO 27001:2022 Annex A 7.10.

Ejerskab af bilag A 7.10

ISO 27001:2022 Annex A 7.10 giver organisationer mandat til at skabe og udføre passende procedurer, tekniske kontroller og organisationsdækkende politikker vedrørende brugen af ​​lagringsmedier i henhold til organisationens eget klassifikationssystem og eventuel datahåndtering krav som juridiske og kontraktmæssige betingelser.

Informationssikkerhedschefer skal tage ansvaret for hele overholdelsescyklussen.

Gå til emne

Vejledning om ISO 27001:2022 Bilag A 7.10 Overholdelse

Aftageligt lagringsmedie

Flytbare medier er uundværlige for mange forretningsaktiviteter og er meget ansat af personale. De udgør dog den største risiko for følsomme data.

ISO 27001:2022 Bilag A 7.10 angiver ti betingelser, som organisationer skal overholde for håndtering af flytbare lagermedier i løbet af deres livscyklus:

  1. Organisationer bør skabe en politik, der fokuserer på erhvervelse, godkendelse, brug og bortskaffelse af flytbare lagermedier, og informere alt personale og relevante parter om dets eksistens.

  2. Organisationer bør, hvor det er praktisk og nødvendigt, implementere godkendelsesprocedurer for at tage flytbare lagermedier ud af virksomhedens lokaler. Derudover skal der føres en log over fjernelser revisionssporing.

  3. Opbevar alle flytbare lagermedier på et sikkert sted som et pengeskab, i betragtning af informationsklassificering niveau tildelt informationen og eventuelle miljømæssige og fysiske trusler mod medierne.

  4. Hvis det er yderst vigtigt at bevare fortroligheden og troværdigheden af ​​oplysningerne på flytbare medier, bør der anvendes kryptografiske metoder for at beskytte mediet mod uautoriseret adgang.

  5. For at forhindre forringelse af flytbare lagringsmedier og datatab, bør oplysningerne flyttes til en ny lagringsmedieenhed, før risikoen opstår.

  6. Det er afgørende at kopiere og gemme følsomme data på flere lagringsmedier for at reducere risikoen for, at kritisk information går tabt.

  7. For at reducere muligheden for et fuldstændigt datatab kan registrering af flytbare lagermedieenheder være en levedygtig løsning.

  8. Medmindre det er en forretningsmæssig nødvendighed, bør USB-porte og SD-kortpladser ikke bruges.

  9. Det er nødvendigt at overvåge overførslen af ​​oplysninger til eventuelle flytbare lagermedieenheder.

  10. Ved overførsel af oplysninger indeholdt i fysiske dokumenter via post eller kurer, er der stor chance for uautoriseret adgang. For at imødegå dette bør der træffes passende foranstaltninger.

Vejledning om sikker genbrug og bortskaffelse af lagermedier

ISO 27001: 2022 Bilag A 7.10 giver retningslinjer for sikker genbrug og bortskaffelse af lagringsmedier for at hjælpe organisationer med at reducere og slippe af med faren for, at fortroligheden af ​​oplysninger bliver brudt.

Bilag A 7.10 fastslår, at organisationer bør udarbejde og gennemføre planer for genbrug og bortskaffelse af lagringsmedier under hensyntagen til følsomheden af ​​de data, der opbevares i lagringsmedierne.

Organisationer bør overveje følgende, når de opretter disse foranstaltninger:

  • Hvis en organisations interne part skal genbruge et lagringsmedie, bør følsomme oplysninger, der er hostet på det, slettes uigenkaldeligt eller omformateres før godkendelse.

  • Sikker destruktion af lagermedier, der hoster følsom information, er nødvendig, når den ikke længere er nødvendig. Papirdokumenter kan makuleres, og digitalt udstyr kan blive fysisk ødelagt.

  • Der bør udvikles et system til at identificere lagringsmedier, som skal bortskaffes.

  • Organisationer bør udføre due diligence, når de vælger en ekstern part til at indsamle og bortskaffe lagermedier, og sikre sig, at den valgte leverandør er kompetent og har de relevante kontroller på plads.

  • Dokumentation af alle bortskaffede genstande til et revisionsspor.

  • Ved bortskaffelse af flere lagringsmedier sammen, bør der tages hensyn til den kumulative effekt: Kombination af forskellige stykker data fra hvert lagringsmedium kan resultere i transformation af ikke-følsomme oplysninger til følsomt materiale.

Endelig giver ISO 27001:2022 bilag A 7.10 organisationer mandat til at evaluere risikoen for fortrolige data, der er lagret på beskadiget udstyr, for at afgøre, om udstyret skal destrueres eller repareres.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.10 erstatter ISO 27001:2013 Bilag A 08.3.1, 08.3.2, 08.3.3 og 11.2.5.

Der er fire bemærkelsesværdige forskelle.

Ændringer i struktur

I modsætning til 2013-versionen, som havde tre separate kontroller til mediehåndtering, mediebortskaffelse og fysisk medieoverførsel, kombinerer 2022-versionen dem under bilag A 7.10.

Krav til genbrug af lagermedier Tilføjet til 2022-versionen

I modsætning til 2013-versionen, som kun dækkede sikker mediebortskaffelse, indeholder 2022-versionen også krav til sikker mediegenbrug.

Fysiske overførselskrav er mere omfattende i 2013-versionen

2013-versionen havde mere omfattende krav til fysisk overførsel af lagermedier, herunder ID-verifikation for kurerer og emballagestandarder. I modsætning hertil foreslår bilag A 7 7.10 i 2022-versionen kun, at organisationer handler med forsigtighed, når de vælger kurerer.

Emnespecifik politik for flytbare lagermedier påkrævet i 2022-versionen

Mens 2022- og 2013-versionerne er ens med hensyn til krav til flytbare lagermedier, kræver 2022-versionen en emnespecifik politik for flytbare lagermedier. 2013-versionen dækkede ikke dette krav.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online tager en risikobaseret tilgang, ved at bruge brancheførende bedste praksis og skabeloner til at hjælpe dig med at opdage de risici, din organisation er udsat for, og de nødvendige kontroller til at styre dem. Dette hjælper med at reducere både risiko og complianceomkostninger.

Kontakt os nu for at arrangere en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere