ISO 27001:2022 Bilag A 7.10 – Lagermedier

• Se ISO 27002:2022 Kontrol 7.10 for mere information.
• Se ISO 27001:2013 Bilag A 8.3.1 for mere information.
• Se ISO 27001:2013 Bilag A 8.3.2 for mere information.
• Se ISO 27001:2013 Bilag A 8.3.3 for mere information.
• Se ISO 27001:2013 Bilag A 11.2.5 for mere information.

ISO 27001 Bilag A 7.10: Beskyttelse af følsomme data på lagermedier

Brugen af ​​lagringsmedieenheder, såsom SSD'er, USB'er, eksterne drev og mobiler, er afgørende for adskillige vigtige informationshåndteringsoperationer, herunder sikkerhedskopiering, lagring og overførsel af data.

Lagring af følsomme og vigtige data på disse enheder udgør en risiko for nøjagtigheden, hemmeligholdelsen og tilgængeligheden af ​​informationsressourcer. Disse risici kan involvere forsvinden eller tyveri af lagringsmedier med fortrolige oplysninger, transmission af malware på tværs af alle virksomhedens computernetværk via lagringsmedierne og nedbrydning eller reduktion i kvaliteten af ​​lagringsmedier, der bruges til backup.

ISO 27001:2022 Bilag A 7.10 skitserer de trin, organisationer skal tage for at sikre sikkerheden af ​​lagringsmedier gennem hele dets livscyklus, fra erhvervelse til bortskaffelse. Politikker og kontroller skal indføres for at garantere dets sikkerhed.

Formål med ISO 27001:2022 bilag A 7.10

ISO 27001:2022 Annex A 7.10 letter organisationer med at mindske og udrydde risici forbundet med uautoriseret adgang, brug, sletning, ændring og transmission af fortrolige data, der opbevares på lagermedieenheder. Den etablerer procedurer for håndtering af lagermedier i hele dets livscyklus.

Hvad dækker bilag A 7.10?

ISO 27001:2022 Annex A 7.10 vedrører både digitale og fysiske lagringsmedier. F.eks. er opbevaring af data på fysiske dokumenter også omfattet af denne kontrol.

Sammen med flytbare lagermedier er harddiske som en form for fast lager også underlagt ISO 27001:2022 Annex A 7.10.

Ejerskab af bilag A 7.10

ISO 27001:2022 Annex A 7.10 giver organisationer mandat til at skabe og udføre passende procedurer, tekniske kontroller og organisationsdækkende politikker vedrørende brugen af ​​lagringsmedier i henhold til organisationens eget klassifikationssystem og eventuel datahåndtering krav som juridiske og kontraktmæssige betingelser.

Informationssikkerhedschefer skal tage ansvaret for hele overholdelsescyklussen.

Vejledning om ISO 27001:2022 Bilag A 7.10 Overholdelse

Aftageligt lagringsmedie

Flytbare medier er uundværlige for mange forretningsaktiviteter og er meget ansat af personale. De udgør dog den største risiko for følsomme data.

ISO 27001:2022 Bilag A 7.10 angiver ti betingelser, som organisationer skal overholde for håndtering af flytbare lagermedier i løbet af deres livscyklus:

1. Organisationer bør skabe en politik, der fokuserer på erhvervelse, godkendelse, brug og bortskaffelse af flytbare lagermedier, og informere alt personale og relevante parter om dets eksistens.
2. Organisationer bør, hvor det er praktisk og nødvendigt, implementere godkendelsesprocedurer for at tage flytbare lagermedier ud af virksomhedens lokaler. Derudover skal der føres en log over fjernelser revisionssporing.
3. Opbevar alle flytbare lagermedier på et sikkert sted som et pengeskab, i betragtning af informationsklassificering niveau tildelt informationen og eventuelle miljømæssige og fysiske trusler mod medierne.
4. Hvis det er yderst vigtigt at bevare fortroligheden og troværdigheden af ​​oplysningerne på flytbare medier, bør der anvendes kryptografiske metoder for at beskytte mediet mod uautoriseret adgang.
5. For at forhindre forringelse af flytbare lagringsmedier og datatab, bør oplysningerne flyttes til en ny lagringsmedieenhed, før risikoen opstår.
6. Det er afgørende at kopiere og gemme følsomme data på flere lagringsmedier for at reducere risikoen for, at kritisk information går tabt.
7. For at reducere muligheden for et fuldstændigt datatab kan registrering af flytbare lagermedieenheder være en levedygtig løsning.
8. Medmindre det er en forretningsmæssig nødvendighed, bør USB-porte og SD-kortpladser ikke bruges.
9. Det er nødvendigt at overvåge overførslen af ​​oplysninger til eventuelle flytbare lagermedieenheder.
10. Ved overførsel af oplysninger indeholdt i fysiske dokumenter via post eller kurer, er der stor chance for uautoriseret adgang. For at imødegå dette bør der træffes passende foranstaltninger.

Vejledning om sikker genbrug og bortskaffelse af lagermedier

ISO 27001: 2022 Bilag A 7.10 giver retningslinjer for sikker genbrug og bortskaffelse af lagringsmedier for at hjælpe organisationer med at reducere og slippe af med faren for, at fortroligheden af ​​oplysninger bliver brudt.

Bilag A 7.10 fastslår, at organisationer bør udarbejde og gennemføre planer for genbrug og bortskaffelse af lagringsmedier under hensyntagen til følsomheden af ​​de data, der opbevares i lagringsmedierne.

Organisationer bør overveje følgende, når de opretter disse foranstaltninger:

• Hvis en organisations interne part skal genbruge et lagringsmedie, bør følsomme oplysninger, der er hostet på det, slettes uigenkaldeligt eller omformateres før godkendelse.
• Sikker destruktion af lagermedier, der hoster følsom information, er nødvendig, når den ikke længere er nødvendig. Papirdokumenter kan makuleres, og digitalt udstyr kan blive fysisk ødelagt.
• Der bør udvikles et system til at identificere lagringsmedier, som skal bortskaffes.
• Organisationer bør udføre due diligence, når de vælger en ekstern part til at indsamle og bortskaffe lagermedier, og sikre sig, at den valgte leverandør er kompetent og har de relevante kontroller på plads.
• Dokumentation af alle bortskaffede genstande til et revisionsspor.
• Ved bortskaffelse af flere lagringsmedier sammen, bør der tages hensyn til den kumulative effekt: Kombination af forskellige stykker data fra hvert lagringsmedium kan resultere i transformation af ikke-følsomme oplysninger til følsomt materiale.

Endelig giver ISO 27001:2022 bilag A 7.10 organisationer mandat til at evaluere risikoen for fortrolige data, der er lagret på beskadiget udstyr, for at afgøre, om udstyret skal destrueres eller repareres.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.10 erstatter ISO 27001:2013 Bilag A 08.3.1, 08.3.2, 08.3.3 og 11.2.5.

Der er fire bemærkelsesværdige forskelle.

Ændringer i struktur

I modsætning til 2013-versionen, som havde tre separate kontroller til mediehåndtering, mediebortskaffelse og fysisk medieoverførsel, kombinerer 2022-versionen dem under bilag A 7.10.

Krav til genbrug af lagermedier Tilføjet til 2022-versionen

I modsætning til 2013-versionen, som kun dækkede sikker mediebortskaffelse, indeholder 2022-versionen også krav til sikker mediegenbrug.

Fysiske overførselskrav er mere omfattende i 2013-versionen

2013-versionen havde mere omfattende krav til fysisk overførsel af lagermedier, herunder ID-verifikation for kurerer og emballagestandarder. I modsætning hertil foreslår bilag A 7 7.10 i 2022-versionen kun, at organisationer handler med forsigtighed, når de vælger kurerer.

Emnespecifik politik for flytbare lagermedier påkrævet i 2022-versionen

Mens 2022- og 2013-versionerne er ens med hensyn til krav til flytbare lagermedier, kræver 2022-versionen en emnespecifik politik for flytbare lagermedier. 2013-versionen dækkede ikke dette krav.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvordan ISMS.online Hjælp

ISMS.online tager en risikobaseret tilgang, ved at bruge brancheførende bedste praksis og skabeloner til at hjælpe dig med at opdage de risici, din organisation er udsat for, og de nødvendige kontroller til at styre dem. Dette hjælper med at reducere både risiko og complianceomkostninger.

Kontakt os nu for at arrangere en demonstration.