ISO 27001:2022 Bilag A Kontrol 7.14

Sikker bortskaffelse eller genbrug af udstyr

Book en demo

bund,visning,af,moderne,skyskrabere,i,forretning,distrikt,mod,blå

It-udstyr, der ikke længere er nødvendigt, skal enten destrueres, returneres til leasinggiver, videregives til tredjemand, genbruges eller genbruges til anden forretningsdrift.

Organisationer bør beskytte information og licenseret software ved at sikre, at den slettes eller overskrives før bortskaffelse eller genbrug af udstyret. Dette vil hjælpe med at beskytte fortroligheden af ​​de data, der er gemt på enheden.

Hvis en organisation beskæftiger en ekstern udbyder af bortskaffelse af it-aktiver til at overføre forældede bærbare computere, printere og eksterne drev, kan denne udbyder få uautoriseret adgang til data, der er hostet på udstyret.

ISO 27001:2022 Annex A 7.14 omhandler, hvordan organisationer kan bevare fortroligheden af ​​data, der er lagret på udstyr, der er udpeget til bortskaffelse eller genbrug, ved at implementere effektive sikkerhedsforanstaltninger og -procedurer.

Formål med ISO 27001:2022 bilag A 7.14

ISO 27001: 2022 Bilag A 7.14 gør det muligt for organisationer at udelukke uautoriseret adgang til sarte data ved at verificere, at al information og software, der er licenseret på udstyr, er uigenkaldeligt slettet eller overskrevet, før udstyret kasseres eller afleveres til en tredjepart til genbrug.

Ejerskab af bilag A 7.14

I overensstemmelse med ISO 27001:2022 bilag A 7.14 skal der etableres en organisationsdækkende procedure for databortskaffelse og genbrug, herunder identifikation af alt udstyr og implementering af passende tekniske bortskaffelsesmekanismer og genbrugsprocesser.

Chief Information Officer bør være ansvarlig for at opsætte, indføre og vedligeholde systemer og processer til kassering og genbrug af udstyr.

Gå til emne

Vejledning om ISO 27001:2022 Bilag A 7.14 Overholdelse

ISO 27001:2022 Bilag A 7.14 specificerer fire væsentlige overvejelser for overholdelse, som organisationer bør huske på:

Det er tilrådeligt at indtage en proaktiv holdning

Forud for bortskaffelse eller genbrug skal organisationer konstatere, om udstyret indeholder evt informationsaktiver og licenseret software og sikre, at disse slettes permanent.

Fysisk ødelæggelse eller uigenkaldelig sletning af data

ISO 27001:2022 Annex A 7.14 angiver, at der kan tages to tilgange til at sikre sikker og permanent sletning af information om udstyr:

  1. Udstyr, der rummer lagringsmedieenheder, der indeholder information, bør destrueres fysisk.

  2. Organisationer bør henvise til bilag A 7.10 og bilag A 8.10 vedr Storage Media og informationssletning, henholdsvis for at sikre, at alle data, der er lagret på udstyr, slettes, overskrives eller destrueres på en måde, der udelukker genfinding af ondsindede parter.

Alle etiketter og markeringer bør fjernes

Udstyrskomponenter og de data, de indeholder, kan mærkes eller mærkes for at identificere organisationen eller afsløre aktivets ejer, netværk eller klassifikationsniveau for oplysningerne. Alle disse etiketter og markeringer bør destrueres permanent.

Fjernelse af kontroller

Organisationer kan overveje at afinstallere sikkerhedskontroller, såsom adgangsbegrænsninger eller overvågningssystemer, når de forlader faciliteter under følgende forhold:

  • Lejeaftalen fastsætter kravene til tilbagelevering af ejendommen.

  • Det er vigtigt at mindske risikoen for enhver uautoriseret adgang til følsomme oplysninger fra den fremtidige lejer.

  • Kan de nuværende styringer udnyttes på det kommende anlæg.

Supplerende vejledning om bilag A 7.14

Ud over den generelle vejledning giver ISO 27001:2022 Annex A 7.14 tre specifikke anbefalinger til organisationer.

Beskadiget udstyr

Når udstyr, der indeholder data, sendes til reparation, kan det være sårbart over for uautoriseret adgang fra tredjeparter.

Organisationer bør udføre en risikoevaluering under hensyntagen til følsomhedsniveauet af dataene og overveje, om ødelæggelse af udstyret ville være et mere holdbart valg end reparation.

Fuld-disk kryptering

At sikre fuld-disk kryptering opfylder de højeste standarder er afgørende for at sikre fortroligheden af ​​data. Det skal bemærkes, at følgende skal overholdes:

  • Kryptering er pålidelig og beskytter alle aspekter af disken, inklusive resterende plads.

  • Kryptografiske nøgler skal have tilstrækkelig længde til at forhindre brute force-angreb.

  • Organisationer bør beskytte hemmeligholdelsen af ​​deres kryptografiske nøgler. For eksempel bør krypteringsnøglen ikke gemmes på den samme harddisk.

Overskrivningsværktøjer

Organisationer bør vælge en overskrivningstilgang under hensyntagen til følgende kriterier:

  • Informationsaktivet har fået en vis klassifikationsgrad.

  • Den type lagringsmedie, hvor oplysningerne opbevares, er kendt.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.14 erstatter ISO 27001:2013 Annex A 11.2.7 i den reviderede standard. ISO 27001:2022-versionen erstatter ISO 27001:2013-versionen af ​​standarden, med den seneste version inklusive opdateringer til Annex A 7.14.

ISO 27001:2022 Annex A 7.14 ligner meget dets 2013-ækvivalent. 2022-versionen har dog mere omfattende krav i den generelle vejledning.

I sammenligning med ISO 27001:2013 stiller 2022-versionen disse krav:

  • Organisationer bør slette alle skilte og tags, der angiver deres organisation, netværk og klassifikationsniveau.

  • Organisationer bør overveje at fjerne enhver kontrol, de har etableret på en facilitet, når de rejser.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.Online giver en omfattende tilgang til ISO 27001:2022 implementering. Det tilbyder en strømlinet proces, der giver brugerne mulighed for hurtigt og effektivt at opfylde standarderne for den internationale sikkerhedsstandard. Med sin brugervenlige grænseflade gør det det nemt for organisationer at etablere og vedligeholde en robust Informationssikkerhedsstyringssystem.

Dette webbaserede system giver dig mulighed for at demonstrere, at dit ISMS opfylder de specificerede kriterier, gennem effektive processer, procedurer og tjeklister.

Kontakt os nu for at arrangere en demonstration.

Vores seneste succes med at opnå ISO 27001, 27017 & 27018 certificering skyldtes i høj grad ISMS.online.

Karen Burton
Sikkerhedsanalytiker, Trives med sundhed

Book din demo

Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere