ISO 27001:2022 Bilag A Kontrol 7.3

Sikring af kontorer, lokaler og faciliteter

Book en demo

gruppe,af,unge,virksomheder,mennesker,arbejder,sammen,i,moderne

Hvad er ISO 27001:2022 Annex A 7.3?

ISO 27001: 2022 Bilag A 7.3 skitserer kravet om konstruktion og udførelse af fysisk sikkerhed for kontorer, kamre og spillesteder.

Denne kontrol tilskynder organisationer til at indføre passende foranstaltninger for at sikre mod uautoriseret adgang til lokaler, kontorer og faciliteter, især når beskæftiger sig med informationssikkerhed. Sådanne foranstaltninger kan omfatte låse, alarmer, sikkerhedsvagter eller andre egnede midler til at beskytte mod informationssikkerhedsproblemer.

Fysisk sikkerhed for kontorer, lokaler og faciliteter forklaret

Fysisk sikkerhed er en væsentlig komponent i informationssikkerhed. De to skal tages i betragtning sammen. Informationssikkerhed er sikring af data og systemer mod uautoriseret adgang, brug, offentliggørelse, afbrydelse, ændring eller ødelæggelse.

Fysisk sikkerhed indebærer at træffe foranstaltninger til at beskytte personale, faciliteter, udstyr og andre aktiver mod potentielle farer, såsom indbrud, sabotage, terrorisme og andre kriminelle aktiviteter, ved at reducere de tilknyttede risici.

At afgøre, om du har et informationsfølsomt sted, er det første skridt fysisk sikkerhed. Det kan være kontorer, lokaler eller faciliteter med computere, der indeholder sarte data, eller dem med personale, der har adgang til delikat information.

Låse og nøgler

Sikre alle døre, vinduer og skabe; fastgør sikkerhedsforseglinger til bærbare computere og mobile enheder; installere adgangskodebeskyttelse til computere; kryptere følsomme data.

CCTV

Kameraer med lukket kredsløb giver et effektivt middel til at overvåge aktivitet på grunden eller i bestemte områder af en struktur.

Indbrudsalarmer

Bevægelse, varme eller lyd kan udløse disse alarmer, som advarer dig om eventuelle ubudne gæster eller uautoriserede personer i et område (f.eks. en sikkerhedsalarm, der går, hvis nogen forsøger at bryde ind på kontoret).

Gå til emne
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Hvad er formålet med ISO 27001:2022 Annex A 7.3?

Målet ISO 27001:2022 Bilag A Kontrol 7.3 er at beskytte organisationens information og andre tilknyttede aktiver i kontorer, lokaler og faciliteter mod uautoriseret fysisk adgang, beskadigelse og interferens.

Det primære formål med ISO 27001:2022 bilag A 7.3 er at reducere risikoen for uautoriseret fysisk adgang til kontorer, lokaler og faciliteter til et acceptabelt niveau ved at:

  • Det er vigtigt at forhindre uautoriserede personer i at komme ind på kontorer, lokaler og faciliteter. Alt personale skal være autoriseret, før de kan få adgang.

  • Forebyg skade eller forstyrrelse af organisationens data og andre relaterede aktiver inden for arbejdspladsområder, lokaler og faciliteter.

  • Sørg for, at informationssikkerhedsfølsomme områder er diskrete, så det er svært at gennemskue deres formål.

  • Minimerer risikoen for tyveri eller tab af ejendom i kontorer, værelser og faciliteter.

  • Sikre identifikation af personale autoriseret til fysisk adgang via en kombination af uniformer, elektroniske dørindgangssystemer og besøgskort.

  • Hvor det er muligt, bør CCTV eller andre overvågningssystemer implementeres for at sikre sikkerhed i vitale områder såsom døre/udgange.

Bilag A 7.3 vedrører alle strukturer, der anvendes af organisationen til kontorer eller administrative operationer. Det dækker også rum, hvor fortrolige data opbevares eller behandles, herunder områder, hvor følsomme samtaler forekommer.

Dette omfatter ikke receptionsområder eller andre offentlige dele af en organisations lokaler, medmindre de anvendes til administrative formål, såsom når et receptionsområde fungerer som kontor.

Hvad er involveret, og hvordan man opfylder kravene

Bilag A 7.3 i ISO 27001:2022 foreskriver, at lokaler og faciliteter skal sikres. For at opfylde disse krav skal følgende sikkerhedsforanstaltninger træffes:

  • Lokalisering af kritiske faciliteter for at forhindre offentlig adgang.

  • Sørg for, at bygninger ikke er påtrængende og demonstrerer minimal indikation af deres formål, uden tydelige skilte hverken inde i eller uden for bygningen, der viser, at informationsbehandlingsaktiviteter finder sted.

  • Opsæt systemer til at beskytte fortrolige data og aktiviteter mod at blive hørt eller set udefra. Elektromagnetisk afskærmning kan være nødvendig.

  • Sørg for, at telefonbøger, interne telefonbøger og onlinekort, der viser opholdsstedet for fortrolige informationsbehandlingsfaciliteter, er tilgængelige for enhver uautoriseret person.

For yderligere detaljer om at nå den kontrol, der er fastsat i ISO 27001:2022 standarden, se dokumentet.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.3 erstatter ISO 27001:2013 Bilag A 11.1.3 i den reviderede 2022-standard.

Bilag A 7.3 er ikke en ny kontrol. Det er en modificeret version af bilag A 11.1.3 i ISO 27001:2013. Den vigtigste forskel mellem 2013- og 2022-versionerne er, at bilag A-kontrolnummeret er blevet ændret. Bortset fra denne justering forbliver konteksten og den generelle betydning uændret på trods af omformuleringen.

2022 Annex A-kontrollen indeholder en attributtabel og formålserklæring, som er fraværende i 2013-versionen.

Hvem er ansvarlig for denne proces?

Den første person, der konsulterer, når der skal arrangeres kontorer, lokaler og faciliteter, er normalt lederen eller direktøren med ansvar for bygningen og dens indhold.

Sikkerhedschefen fører tilsyn med sikkerheden på alle områder, herunder kontorer og faciliteter. Han/hun holder øje med alt personale med adgang til disse områder og sikrer, at deres brug er passende.

I visse tilfælde kan flere personer være ansvarlige for sikkerheden. For eksempel, hvor en person har adgang til følsomme oplysninger, der kan være til skade for virksomheden eller andre medarbejderes privatliv, er det væsentligt at have flere personer involveret i deres sikkerhed.

HR-afdelingen er ansvarlig for medarbejderforsikringer og ydelser, mens IT administrerer computersystemer og netværk. Begge afdelinger er involveret i styring af fysisk sikkerhed, såvel som cybersikkerhedsproblemer såsom phishing-svindel og uautoriserede adgangsforsøg.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvad betyder disse ændringer for dig?

Ingen væsentlige ændringer er nødvendige for at overholde den mest opdaterede version af ISO 27001:2022.

Evaluer din eksisterende informationssikkerhedsløsning for at sikre, at den lever op til den fornyede standard. Hvis du har ændret noget siden 2013, da den sidste udgave blev udgivet, kan du overveje at gennemgå disse ændringer for at afgøre, om de stadig er gældende eller skal revideres.

Hvordan ISMS.Online Hjælp

Vores platformen er perfekt for begyndere inden for informationssikkerhed eller dem, der hurtigt ønsker at få en forståelse af ISO 27001:2022 uden at skulle investere tid i at studere fra begyndelsen eller gennemgå lange dokumenter.

ISMS.online er udstyret med alle de værktøjer, der er nødvendige for at overholde overholdelse, inklusive personlige dokumentskabeloner, tjeklister og politikker.

Kontakt os nu for at planlægge en demonstration.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Metode med sikre resultater
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere