ISO 27001:2022 Bilag A Kontrol 7.9

Sikkerhed af aktiver uden for lokalerne

Book en demo

img bygning 1020x680 1

Når enheder, der indeholder værdifulde informationsaktiver, fjernes fra organisationens fysiske placering, er de mere modtagelige for skade, tyveri, tab, ødelæggelse eller brud.

Fysisk sikkerhedskontrol inden for en organisations faciliteter vil ikke være effektiv, hvilket efterlader dens off-site aktiver udsat for trusler som fysiske risici og ondsindede personer, der forsøger at få uautoriseret adgang.

Medarbejdere arbejder eksternt kan tage virksomhedscomputere med fortrolige data væk fra virksomheden, arbejde på en café, hotellobby osv., forbinde til usikret offentlig Wi-Fi og efterlade deres enheder uovervåget. Disse handlinger udgør en risiko for sikkerheden, fortroligheden, integriteten og tilgængeligheden af ​​de oplysninger, der opbevares på enhederne.

Organisationer bør sikre, at enheder, der tages uden for lokalerne, forbliver sikre.

ISO 27001:2022 Bilag A 7.9 skitserer, hvordan organisationer kan sikre sikkerheden for enheder, der er placeret væk fra hovedstedet, og som hoster informationsaktiver. De skal etablere passende kontroller og procedurer for at opnå dette.

Formål med ISO 27001:2022 bilag A 7.9

ISO 27001: 2022 Bilag A 7.9 giver organisationer mulighed for at beskytte sikkerheden for informationsaktiver, der er indeholdt i hardware, ved at forhindre to forskellige risici:

  • Minimerer risikoen for, at dataaktiver i eksterne enheder går tabt, beskadiget, ødelagt eller afsløret.

  • Undgå afbrydelse af virksomhedens databehandling operationer fra brud på eksterne enheder.

Ejerskab af bilag A 7.9

ISO 27001:2022 Annex A 7.9 nødvendiggør, at organisationer opsætter og implementerer protokoller og regler, der dækker alle enheder, der ejes eller bruges på vegne af virksomheden. Derudover er det afgørende for den effektive beskyttelse af eksterne enheder, at der oprettes en aktivopgørelse, og at den øverste ledelse godkender brugen af ​​personlige enheder.

Informationssikkerhedschef bør rådføre sig med ledelsen og ejerne af aktiver og være ansvarlig for at udvikle, udføre og opretholde procedurer og foranstaltninger for at sikre sikkerheden af ​​enheder, der tages væk fra virksomhedens lokaler.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 7.9 Overholdelse

Bilag A 7.9 beskriver seks fornødenheder, som organisationer skal overholde, når de konstruerer og anvender foranstaltninger og protokoller til beskyttelse af aktiver, der fjernes fra lokalerne:

  1. Computere, USB'er, harddiske og skærme, som virksomheden har taget off-site, bør aldrig efterlades uden opsyn i offentlige områder som f.eks. caféer eller på et usikkert sted.

  2. Overhold altid enhedsproducentens instruktioner og specifikationer vedrørende fysisk beskyttelse af enheden. Følg f.eks. deres instruktioner om afskærmning af enheden mod vand, varme, elektromagnetiske felter og støv.

  3. Medarbejdere og andre organisationer, der tager computerudstyr uden for virksomhedens lokaler, bør føre en log, der beskriver varetægtskæden. Denne log bør som minimum indeholde navnene på de personer, der er ansvarlige for enheden, og deres organisation.

  4. Hvis en organisation finder, at autorisation er nødvendig og praktisk til at fjerne udstyr fra virksomhedens lokaler, bør de etablere en procedure. Denne procedure bør dække overtagelsen af ​​bestemt udstyr off-site og føre en fortegnelse over alle fjernelseshandlinger for at give organisationen en revisionsspor.

  5. Det er vigtigt at tage de nødvendige skridt for at afværge faren for ikke-godkendt visning af data på offentlige transportskærme.

  6. Organisationen bør installere placeringssporingsværktøjer og aktivere fjernadgang, så enhedens placering kan overvåges, og om nødvendigt kan alle data, der er gemt på enheden, fjernslettes.

Supplerende vejledning om bilag A 7.9

ISO 27001:2022 Bilag A 7.9 opstiller krav til beskyttelse af udstyr, der er installeret uden for en virksomheds område på permanent basis.

Dette udstyr kan bestå af antenner og pengeautomater.

I betragtning af den øgede risiko for beskadigelse og tab af dette udstyr, kræver bilag A 7.9, at organisationer overvejer følgende, når de beskytter det off-site:

  • ISO 27001:2022 Bilag A 7.4, Fysisk sikkerhedsovervågning, bør tages i betragtning.

  • Sørg for, at der tages hensyn til ISO 27001:2022 bilag A 7.5, som er beskyttelse mod miljømæssige og fysiske trusler.

  • Der bør oprettes adgangskontrol, og passende foranstaltninger bør tages for at stoppe interferens.

  • Opret og anvend logiske adgangskontroller.

Bilag A 7.9 råder organisationer til at huske på bilag A 6.7 og bilag A 8.1, når de formulerer og indfører foranstaltninger til at beskytte udstyr og udstyr.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 7.9 erstatter ISO 27001:2013 Bilag A 11.2.6.

Der er tre store forskelle, der bør bemærkes:

ISO 27001:2022 Bilag A Kontrol 7.9 kræver et omfattende sæt instruktioner.

Bilag A 7.9 introducerer to nye krav i forhold til ISO 27001:2013-versionen:

  1. Der bør tages passende foranstaltninger for at forhindre uvedkommende i at se informationen, der er udstillet i offentlig transport.

  2. Placeringsovervågning og fjernadgang bør aktiveres for at muliggøre sporing af enheden og muligheden for at slette oplysninger, der er gemt på enheden, om nødvendigt.

Bilag A 7.9 introducerer nye kriterier for enheder, der er permanent placeret væk fra lokalerne.

Sammenlignet med ISO 27001:2013-versionen giver ISO 27001:2022 Annex A 7.9 klare råd om sikring af udstyr, der er fastgjort på et eksternt sted.

Disse kunne involvere antenner og pengeautomater.

Forbuddet mod fjernarbejde er indført for at reducere risici.

ISO 27001:2013-versionen gjorde det klart, at organisationer kunne forbyde medarbejdere fra fjernarbejde, hvis det var i overensstemmelse med de risikoniveauer, der var blevet identificeret. I modsætning hertil nævner ISO 27001:2022-versionen ikke dette.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online er det perfekte værktøj til styring af en ISO 27001:2022 implementering. Den er skræddersyet til at hjælpe virksomheder med at implementere en informationssikkerhedsstyringssystem (ISMS) der opfylder standarderne i ISO 27001:2022.

Platformen anvender en risikobaseret tilgang sammen med top-of-the-line bedste praksis og skabeloner for at hjælpe med at genkende de risici, din organisation står over for, og de nødvendige kontroller til at styre dem. Ved at gøre det kan du effektivt minimere både din risikoeksponering og overholdelsesomkostninger.

Kontakt os nu for at arrangere en demonstration.

Vi følte, at vi havde
det bedste fra begge verdener. Vi var
kunne bruge vores
eksisterende processer,
& Adopter, Tilpas
indhold gav os nyt
dybde til vores ISMS.

Andrew Bud
Grundlægger, iproov

Book din demo

Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere