ISO 27001:2022 Bilag A Kontrol 7.4

Fysisk sikkerhedsovervågning

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

I tilfælde af, at der gives uautoriseret adgang til begrænsede fysiske områder såsom serverrum og it-udstyrsrum, informationsaktiver kan blive kompromitteret med hensyn til fortrolighed, tilgængelighed, integritet og sikkerhed.

I ISO 27001:2022 bilag A 7.4 forhindres ubudne gæster i at komme ind i følsomme fysiske lokaler uden tilladelse.

Formålet med ISO 27001:2022 bilag A 7.4?

Bilag A Kontrol 7.4 kræver, at organisationer implementerer passende overvågningsværktøjer. Dette er for at opdage og forhindre eksterne og interne ubudne gæster i at komme ind på afspærrede fysiske områder uden tilladelse.

Overvågningsværktøjer, der er i stand til at overvåge og registrere adgangsbegrænsede områder, beskytter mod risici som følge af uautoriseret adgang til begrænsede områder, herunder men ikke begrænset til:

  • Datatyveri.

  • Tabet af informationsaktiver.

  • Økonomisk skade.

  • Fjernelse af flytbare medieaktiver til ondsindede formål.

  • Malwareinfektion af it-aktiver.

  • Angreb udføres af en ubuden gæst ved hjælp af ransomware.

Hvem har ejerskab til bilag A 7.4?

I henhold til ISO 27001 Bilag A Kontrol 7.4, overholdelse af denne kontrol kræver identifikation af alle spærrede områder. Det kræver også identifikation af overvågningsværktøjer, der er egnede til det specifikke fysiske område, der skal overvåges.

Derfor skal den øverste sikkerhedsofficer være ansvarlig for implementering, vedligeholdelse, styring og gennemgang af overvågningssystemer på en effektiv måde.

Gå til emne

Vejledning om, hvordan man overholder ISO 27001:2022 Bilag A 7.4

I henhold til ISO 27001 Annex A Kontrol 7.4 skal organisationer implementere følgende tre trin for at opdage og forhindre uautoriseret adgang til faciliteter, der rummer kritiske informationsaktiver, og forhindre dem i at blive kompromitteret.

Indsæt et videoovervågningssystem for at holde øje med situationen

For løbende at overvåge adgangen til begrænsede områder, der er vært for kritiske informationsaktiver, bør en organisation have et videoovervågningssystem, såsom CCTV-kameraer. Dette er et eksempel på et sådant system. Desuden er det også afgørende, at dette overvågningssystem fører en registrering af alle ind- og udgange i lokalerne.

Installation af detektorer til at udløse en alarm

Muligheden for at udløse en alarm, når en ubuden gæst kommer ind i de fysiske lokaler, gør det muligt for sikkerhedsteamet at reagere hurtigt på ethvert sikkerhedsbrud. Det kan også være en effektiv måde at afskrække ubudne gæster fra at komme ind i dit hjem.

Det anbefales, at organisationer køber bevægelses-, lyd- og kontaktdetektorer, der vil advare dem, når der registreres unormal aktivitet i organisationens fysiske lokaler.

Dette inkluderer, men er ikke begrænset til:

  • En kontaktdetektor bør installeres i miljøet. Når et ukendt objekt eller individ kommer i kontakt med en bestemt genstand eller bryder kontakten med en bestemt genstand, bør en alarm aktiveres. En kontaktdetektor kan f.eks. konfigureres til at udløse en alarm, når kontaktdetektoren kontakter et vindue eller dør.

  • Bevægelsesdetektorerne kan konfigureres til at advare dig, hvis de registrerer bevægelse inden for deres synsfelt af et objekt, der bevæger sig i deres synsfelt.

  • En lyddetektor, såsom en knuseglasdetektor, kan aktiveres, når den registrerer en lyd, hvilket kan være med til at forhindre bilulykker.

Konfiguration af alarmer for alle interne lokaler

Det er bydende nødvendigt at sikre, at alarmsystemet er konfigureret korrekt. Dette vil sikre, at alle følsomme områder, inklusive alle udvendige døre, vinduer, ubesatte områder og computerrum, er inden for alarmsystemets rækkevidde. Dette vil forhindre eventuelle sårbarheder i at blive udnyttet.

For eksempel kan ubudne gæster bruge rygeområder eller indgange til fitnesscenter som angrebsvektorer, hvis de ikke overvåges.

De tilgængelige typer overvågningssystemer

Skønt ISO 27001 Bilag A Kontrol 7.4 giver ikke mandat til, at organisationer vælger et overvågningssystem frem for et andet, det angiver flere overvågningsværktøjer, der kan bruges separat eller i kombination med andre, herunder:

  • CCTV kameraer.

  • Sikkerhedsvagter.

  • Indbrudsalarmsystemer.

  • Fysisk sikkerhedsstyringssoftware.

ISO 27001:2022 Bilag A 7.4 Supplerende vejledning

Følgende overvejelser bør tages i betragtning ved implementering af fysiske sikkerhedsovervågningssystemer i henhold til bilag A Kontrol 7.4:

  • Bevarelse af fortrolighed om overvågningssystemers design og indre funktion er afgørende.

  • For at eliminere risikoen for fjerndeaktivering af overvågningssystemer af ondsindede parter bør passende foranstaltninger implementeres. Disse foranstaltninger bør implementeres for at forhindre offentliggørelse af overvågningsaktiviteter, og videofeeds til uautoriserede parter.

  • Det er vigtigt, at alarmcentralen er placeret i et alarmudstyret område. Derudover er det væsentligt, at den, der udløser alarmen, har sikker og nem adgang til at forlade området.

  • Der skal anvendes en manipulationssikker detektor og et alarmkontrolpanel.

  • Enkeltpersoner bør kun overvåges og registreres ved hjælp af overvågningssystemer til legitime formål. Denne overvågning og registrering bør overholde alle gældende love og regler, herunder love om databeskyttelse. For eksempel EU og Storbritannien GDPR kan kræve, at organisationer foretager en konsekvensanalyse, før de indsætter CCTV-kameraer. Desuden bør optagelsen af ​​videofeeds overholde de dataopbevaringsperioder, der er fastsat af gældende lokal lovgivning.

Hvad er ændringerne fra ISO 27001:2013?

Det er relevant at bemærke, at kontrol 7.4 er en helt ny bilag A-kontrol, der ikke er behandlet i ISO 27001:2013.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Fordelene ved ISMS.online

ISMS.online tilbyder en bred vifte af kraftfulde værktøjer, der forenkler implementering, vedligeholdelse og forbedring af dit informationssikkerhedsstyringssystem (ISMS) for at opfylde ISO 27001-kravene.

Ud over at levere omfattende værktøjer, ISMS.online giver dig mulighed for at oprette skræddersyede politikker og procedurer skræddersyet til din organisations risici og krav. Det giver også mulighed for samarbejde mellem kolleger og eksterne partnere såsom leverandører eller tredjepartsrevisorer.

Kontakt i dag for book en demo.

Se vores platform
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere