ISO 27001:2022 Bilag A Kontrol 7.7

Clear Desk og Clear Screen

Book en demo

tæt,op,på,hænder,på,en,sort,afrikansk,amerikansk,mand

ISO 27001: 2022 Bilag A 7.7 diskuterer, hvordan organisationer kan beskytte og opretholde fortroligheden af ​​følsomme oplysninger på digitale skærme og papir ved at implementere klare skrivebords- og klare skærmregler.

En medarbejder, der forlader sin arbejdsstation uden opsyn, risikerer uautoriseret adgang, tab af fortrolighed og beskadigelse af de følsomme oplysninger indeholdt i digitale og fysiske materialer.

For eksempel kan ondsindede parter udnytte muligheden for at stjæle og misbruge følsomme helbredsdata, hvis en medarbejder efterlader sin computer uden opsyn i en frokostpause, mens han bruger et værktøj til håndtering af kunderelationer.

Hvad er formålet med ISO 27001:2022 Annex A 7.7?

ISO 27001:2022 Bilag A 7.7 giver organisationer en metode til at eliminere og/eller mindske risikoen for uautoriseret adgang, brug, beskadigelse eller tab af følsomme oplysninger på medarbejdernes arbejdsstations skærme og dokumenter, når de ikke er til stede.

Ejerskab af ISO 27001:2022 Bilag A 7.7

I overensstemmelse med bilag 7.7 skal organisationer vedtage og implementere en organisationsdækkende politik vedrørende klare skriveborde og skærme. Informationssikkerhedsansvarlige bør være ansvarlige for at producere, vedligeholde og håndhæve klare skrivebords- og skærmpolitikker i hele organisationen.

Gå til emne
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 7.7

Bilag A 7.7 anbefaler at skabe og håndhæve en emnespecifik politik, der skitserer regler for overskuelige skriveborde og klare skærme.

Desuden specificerer bilag A 7.7 syv specifikke krav, som organisationer bør overveje, når de etablerer og håndhæver politikker for clear desk og clear screen:

  • Digitale og fysiske aktiver, der indeholder følsomme eller kritiske oplysninger, bør låses sikkert, når de ikke er i brug, eller når arbejdsstationen, der hoster dem, er tom. For eksempel bør papirjournaler, bærbare computere og printere opbevares i sikre møbler såsom skuffer eller skabe med låse.

  • Medarbejderbrugte enheder, såsom bærbare computere, scannere, printere og notebooks, bør beskyttes med nøglelåse, når de ikke er i brug eller efterlades uden opsyn.

  • Medarbejdere bør efterlade deres enheder logget af, når de forlader deres arbejdsområde og efterlade dem uden opsyn. Genaktivering af enheden bør kun være mulig med brugergodkendelse. Alle endpoint-medarbejderenheder, såsom computere, bør have automatiske timeout- og log-out-funktioner.

  • Printeren bør udformes, så udskrifter straks kan afhentes af den person, der har printet dem (ophavsmand). Desuden bør kun ophavsmanden have lov til at indsamle udskrifterne gennem en robust godkendelsesmekanisme.

  • Materiale, der indeholder følsomme oplysninger, herunder flytbare medier, skal til enhver tid opbevares sikkert. Når du ikke længere har brug for dem, skal de bortskaffes på en sikker måde.

  • Det er vigtigt for organisationer at skabe regler for visning af pop-ups på skærme og at kommunikere disse regler til alle relevante medarbejdere. For eksempel kan pop op-vinduer (såsom e-mail-meddelelser), der indeholder følsomme oplysninger, kompromittere fortroligheden af ​​følsomme oplysninger, hvis de vises under en præsentation eller i et offentligt rum.

  • Whiteboards bør slettes, når følsomme eller kritiske oplysninger ikke længere er nødvendige.

Supplerende vejledning om bilag A 7.7

ISO 27001 bilag A 7.7 advarer organisationer om risici i forbindelse med forladte faciliteter. Fysiske og digitale materialer, der tidligere er lagret i en facilitet, bør fjernes sikkert, når en organisation forlader for at forhindre tab af følsomme oplysninger.

Derfor fastsætter bilag A 7.7, at organisationer bør etablere procedurer for ferie af faciliteter for at sikre, at følsomme informationsaktiver bortskaffes på sikker vis. Et sidste sweep kan udføres for at sikre, at ingen følsomme oplysninger efterlades ubeskyttede.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001:2022 Bilag A 7.7 erstatter ISO 27001:2013 Bilag A 11.2.9 ('Ryd skrivebords- og skærmpolitik').

Der er to bemærkelsesværdige forskelle mellem ISO 27001:2022 og ISO 27001:2013 versionerne:

  • ISO 27001:2022-versionen indeholder ikke kriterier, der skal tages i betragtning, når der etableres og implementeres clear desk og clear screen politikker.

Mens 2013-versionen specificerer, at organisationer bør overveje hele organisationen informationsklassificering niveauer, juridiske og kontraktmæssige krav og de typer risici, de står over for, når de etablerer en klar skrivebords- og klar skærmpolitik.

ISO 27001:2022-versionen nævner dog ikke disse elementer. ISO 27001:2022-standarden introducerer nye og mere omfattende krav til overskuelige skriveborde og klare skærme.

ISO 27001:2022-versionen specificerer følgende krav, som organisationer skal tage i betragtning, når de etablerer klare skrivebords- og klare skærmpolitikker:

  • Organisationer bør bevare fortroligheden af ​​følsomme oplysninger ved at oprette specifikke retningslinjer på pop-up-skærme.

  • Fjern de følsomme oplysninger skrevet på en tavle, hvis du ikke længere har brug for dem.

  • Computere og andre slutpunktsenheder, der bruges af medarbejdere, bør beskyttes med nøglelåse, når de ikke er i brug eller uden opsyn.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISO 27001:2022 implementering og overholdelse er enkel med vores trin-for-trin tjekliste, der guider dig gennem hele processen.

Din komplet compliance-løsning for ISO/IEC 27001:2022:

  • Op til 81 % fremgang fra det øjeblik, du logger ind.

  • Enkel og total overholdelsesløsning til ISO 27001:2022.

Til planlæg en demo, kontakt i dag.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opnå din første ISO 27001

Download vores gratis guide til hurtig og bæredygtig certificering

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere