ISO 27001:2022 Bilag A Kontrol 7.5

Beskyttelse mod fysiske og miljømæssige trusler

Book en demo

interiør, af, moderne, multi floor, business, center, med, store, vinduer, og

Organisationer skal tage hensyn til de risici, som fysiske trusler mod deres informationsaktiver udgør.

Sådanne trusler kan omfatte miljøskader, tyveri, ødelæggelse og kompromittering af data. Disse problemer kan alle føre til tab af information og muligheden for, at følsomme data bliver afsløret.

Naturlige begivenheder som jordskælv, oversvømmelser og naturbrande samt menneskeskabte katastrofer som civile uroligheder og kriminelle handlinger udgør trusler.

ISO 27001: 2022 Bilag A 7.5 kræver, at organisationer vurderer, anerkender og reducerer risiciene for vital fysisk infrastruktur fra fysiske og miljømæssige farer.

Formål med ISO 27001:2022 bilag A 7.5

ISO 27001:2022 Annex A 7.5 gør det muligt for organisationer at vurdere de potentielle risici, som miljømæssige og fysiske trusler udgør, og at reducere eller eliminere disse risici ved at implementere passende foranstaltninger.

Ejerskab af bilag A 7.5

ISO 27001: 2022 Bilag A 7.5 nødvendiggør, at organisationer udfører en omfattende risikovurdering, inden de udfører fysiske operationer, og implementerer passende foranstaltninger i forhold til den identificerede risiko.

Sikkerhedschefer er ansvarlige for at skabe, styre, implementere og vurdere hele processen.

Gå til emne

Vejledning om ISO 27001:2022 Bilag A 7.5 Overholdelse

ISO 27001:2022 Bilag A 7.5 skitserer en tredelt strategi til genkendelse og fjernelse af potentielle farer fra fysiske og miljømæssige kilder.

Trin 1 – Gennemfør en risikovurdering

Organisationer bør udføre en risikovurdering at identificere eventuelle fysiske og miljømæssige farer, der kan finde sted på deres lokaler, og derefter måle de mulige virkninger af disse identificerede fysiske og miljømæssige risici.

I betragtning af de mange forskellige miljøforhold og fysiske risici, som hver enkelt lokalitet og infrastruktur kan stå over for, vil typen af ​​trussel og det identificerede risikoniveau variere afhængigt af placeringen.

En ejendom kan være særligt sårbar over for naturbrande, mens en anden kan være beliggende i et område, der er udsat for jordskælv.

Det er væsentligt, at der udføres en risikovurdering, før aktiviteter på stedet påbegyndes, jf. bilag A 7.5.

Trin 2 – Etabler og ansæt kontroller

I betragtning af den type trussel og den tilhørende risiko, der blev identificeret i første omgang, bør organisationer implementere de korrekte kontroller med de mulige konsekvenser af miljømæssige og fysiske trusler for øje.

ISO 27001:2022 Bilag A 7.5 giver eksempler på kontroller, der kan implementeres til at bekæmpe forskellige trusler:

  • Organisationer bør installere systemer, der kan advare dem om brande og aktivere brandslukningssystemer for at beskytte digitale medier og informationssystemer mod ødelæggelse.

  • Systemer bør implementeres og opsættes til at identificere oversvømmelser på steder, hvor data er lagret. Derudover bør vandpumper være forberedt til at blive brugt i tilfælde af oversvømmelse.

  • Servere og datahåndteringssystemer skal sikres mod elektriske overspændinger. Regelmæssig vedligeholdelse og beskyttelse er afgørende for optimal ydeevne.

  • Organisationer bør regelmæssig revision og inspicere mennesker, genstande og køretøjer, der kommer ind på kritiske infrastrukturområder.

Trin 3 – Overvågning

Hold styr på fremskridt og foretag justeringer efter behov. Evaluer regelmæssigt resultater og lav ændringer for at sikre, at målene nås. Sørg for at dokumentere eventuelle ændringer til fremtidig reference.

Supplerende vejledning om bilag A 7.5

ISO 27001:2022 Bilag A 7.5 skitserer fire overvejelser, som organisationer bør have i tankerne.

Konsultation med eksperter

Enhver miljømæssig og fysisk trussel, såsom giftigt affald, jordskælv og brand, er adskilt med hensyn til dens karakteristika, den fare, den udgør, og de foranstaltninger, der skal træffes.

Organisationer bør konsultere specialistrådgivning om, hvordan man opdager, reducerer og/eller håndterer risici forbundet med disse trusler.

Valg af beliggenhed for lokaler

At tage det lokale terræn i betragtning, kan vandstanden og den tektoniske aktivitet på et potentielt sted for en bygning hjælpe med at identificere og eliminere potentielle risici tidligt.

Organisationer bør overveje farerne ved menneskeskabte katastrofer i det udvalgte byområde, for eksempel politisk uro og kriminel adfærd.

Ekstra lag af sikkerhed

Brugen af ​​sikre opbevaringsmetoder, såsom pengeskabe, giver et ekstra lag af beskyttelse mod katastrofer som brand og oversvømmelser, ud over de eksisterende sikkerhedsforanstaltninger.

Forebyggelse af kriminalitet gennem miljødesign

ISO 27001:2022 Bilag A 7.5 foreslår, at organisationer overvejer dette koncept, når de indfører kontroller for at styrke lokalernes sikkerhed. Denne tilgang kan bruges til at bekæmpe bytrusler såsom kriminelle aktiviteter, civile uroligheder og terrorisme.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.5 erstatter ISO 27001:2013 Bilag A 11.1.4 i den reviderede standard.

2013-versionen fokuserede på, hvordan organisationer bør indføre forebyggende foranstaltninger mod fysiske og miljømæssige trusler, mens 2022-versionen er mere omfattende og skitserer de specifikke skridt, organisationer bør tage for at overholde.

Afslutningsvis skiller to hovedskel sig ud.

2022-versionen giver råd om mødebestemmelser

2013-udgaven gav ingen vejledning om, hvordan organisationer kunne genkende og reducere risici forårsaget af miljømæssige og fysiske farer.

2022-versionen skitserer en tre-trins proces, som organisationer skal implementere, begyndende med en risikovurdering.

2022-revisionen opfordrer organisationer til at indføre et ekstra lag af foranstaltninger

Den supplerende vejledning for 2022 omfatter brug af pengeskabe og kriminalitetsforebyggelse gennem miljødesign som måder til at øge sikkerheden mod trusler.

I 2013 blev der dog ikke taget ekstra skridt.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online platformen tilbyder en række potente værktøjer til at dokumentere, implementere, bevare og forbedre din informationssikkerhedsstyringssystem (ISMS) og lettere at blive kompatibel med ISO 27001:2022.

Denne omfattende samling af værktøjer giver et enkelt sted, hvor du kan tilpasse et sæt politikker og procedurer, så de matcher din organisations særlige risici og behov.

Kontakt os i dag for arrangere en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere