ISO 27002:2022, Kontrol 6.7 – Fjernarbejde

Attributter tabel

Attributter bruges til at kategorisere kontroller. Du kan med det samme matche din kontrolmulighed med udbredte brancheudtryk og specifikationer ved at bruge attributter.

Attributter for kontrol 6.7 er som vist nedenfor.

Hvad er formålet med kontrol 6.7?

Formålet med Kontrol 6.7 er at sikre, at personale, der arbejder eksternt, har tilstrækkelig adgangskontrol på plads for at beskytte fortroligheden, integriteten og tilgængeligheden af ​​følsomme eller proprietære oplysninger, processer og systemer mod uautoriseret adgang eller videregivelse af uautoriserede personer.

For at sikre informationssikkerheden, når personalet arbejder eksternt, bør organisationer udstede en emnespecifik politik om fjernarbejde, der definerer de relevante betingelser og begrænsninger for informationssikkerhed. Politikken bør distribueres til alle medarbejdere og indeholde vejledning i, hvordan de kan bruge fjernadgangsteknologier sikkert og sikkert.

En emnespecifik politik som denne vil sandsynligvis dække:

• De omstændigheder, hvorunder fjernarbejde er tilladt.
• De processer, der bruges til at sikre, at fjernmedarbejdere har tilladelse til at få adgang til fortrolige oplysninger.
• Procedurerne for at sikre, at information er beskyttet, når den transmitteres mellem forskellige fysiske lokationer.

Ud over disse grundlæggende krav er det også vigtigt at have en klart defineret procedure for rapportering af hændelser, herunder de relevante kontaktoplysninger. Dette kan hjælpe med at reducere risikoen for, at brud eller andre typer sikkerhedshændelser opstår i første omgang.

Politikken skal muligvis også løse problemer såsom kryptering, firewalls og antivirussoftwareopdateringer samt medarbejderuddannelse om, hvordan man bruger fjernforbindelse sikkert.

Hvad er involveret, og hvordan man opfylder kravene

For at opfylde kravene til kontrol 6.7 bør organisationer, der tillader fjernarbejdsaktiviteter, udstede en emnespecifik politik om fjernarbejde, der definerer de relevante betingelser og restriktioner.

Politikken bør revideres regelmæssigt, især når der er ændringer i teknologi eller lovgivning.

Politikken bør kommunikeres til alle medarbejdere, entreprenører og andre parter, der er involveret i fjernarbejde.

Politikken bør dokumenteres og gøres tilgængelig for enhver relevant tredjepart, herunder regulatorer og revisorer.

Organisationer skal også sikre, at de har tilstrækkelige foranstaltninger på plads til at beskytte følsomme eller fortrolige oplysninger, der transmitteres eller opbevares elektronisk under fjernarbejde.

I overensstemmelse med bestemmelserne i kontrol 6.7 bør følgende forhold overvejes:

• Den eksisterende eller foreslåede fysiske sikkerhed på fjernarbejdspladsen, under hensyntagen til den fysiske sikkerhed på stedet og det lokale miljø, herunder de forskellige jurisdiktioner, hvor personalet befinder sig.
• Regler og sikkerhedsmekanismer for det fjerntliggende fysiske miljø såsom aflåselige arkivskabe, sikker transport mellem lokationer og regler for fjernadgang, clear desk, udskrivning og bortskaffelse af information og andre tilknyttede aktiver og informationssikkerhedshændelsesrapportering.
• De forventede fysiske fjernarbejdsmiljøer.
• Kommunikationssikkerhedskravene, under hensyntagen til behovet for fjernadgang til organisationens systemer, følsomheden af ​​de oplysninger, der skal tilgås og videregives via kommunikationsforbindelsen og følsomheden af ​​systemerne og applikationerne.
• Brugen af ​​fjernadgang såsom virtuel desktop-adgang, der understøtter behandling og lagring af information på privatejet udstyr.
• Truslen om uautoriseret adgang til information eller ressourcer fra andre personer på fjernarbejdspladsen (f.eks. familie og venner).
• Truslen om uautoriseret adgang til information eller ressourcer fra andre personer på offentlige steder.
• Brugen af ​​hjemmenetværk og offentlige netværk og krav eller begrænsninger for konfigurationen af ​​trådløse netværkstjenester.
• Brug af sikkerhedsforanstaltninger, såsom firewalls og beskyttelse mod malware.
• Sikre mekanismer til fjernimplementering og initialisering af systemer.
• Sikre mekanismer til godkendelse og aktivering af adgangsrettigheder under hensyntagen til sårbarheden af ​​enkeltfaktorautentificeringsmekanismer, hvor fjernadgang til organisationens netværk er tilladt.

De retningslinjer og foranstaltninger, der skal overvejes, bør omfatte:

1. Tilvejebringelse af passende udstyr og opbevaringsmøbler til fjernarbejdsaktiviteter, hvor brug af privatejet udstyr, der ikke er under organisationens kontrol, ikke er tilladt.
2. En definition af det tilladte arbejde, klassificeringen af ​​oplysninger, der kan opbevares, og de interne systemer og tjenester, som fjernarbejderen har tilladelse til at få adgang til.
3. Uddannelse af dem, der arbejder på afstand, og dem, der yder støtte. Dette bør omfatte, hvordan man driver forretning på en sikker måde, mens man arbejder eksternt.
4. Tilvejebringelse af passende kommunikationsudstyr, herunder metoder til sikring af fjernadgang, såsom krav til enhedsskærmlåse og inaktivitetstimere.
5. Aktivering af enhedens placeringssporing.
6. Installation af fjernsletningsfunktioner.
7. Fysisk sikkerhed.
8. Regler og vejledning om familie og besøgendes adgang til udstyr og information.
9. Levering af hardware og software support og vedligeholdelse.
10. Tilvejebringelse af forsikring.
11. Procedurerne for backup og forretningskontinuitet.
12. Revision og sikkerhedsovervågning.
13. Tilbagekaldelse af autoritet og adgangsrettigheder og tilbagelevering af udstyr, når fjernarbejdsaktiviteterne er afsluttet.

Ændringer og forskelle fra ISO 27002:2013

Kontrol 6.7 i ISO 27002:2022 er en modificeret version af kontrol 6.2.2 i ISO 27002:2013 og er ikke en ny kontrol.

Selvom disse to kontroller har mange karakteristika, adskiller de sig noget i nomenklatur og formuleringer. Kontrolnavnet er for eksempel ikke det samme. Kontrol 6.2.2 i ISO 27002:2013 omtales som fjernarbejde. Kontrol 6.7 omtaler det som fjernarbejde. Samtidig blev fjernarbejde erstattet af fjernarbejde i den nye version af standarden.

I kontrol 6.7, ISO 27002:2022, definerer standarden, hvad fjernarbejde er, og hvilke typer arbejde, der kan kvalificeres som fjernarbejde. Dette inkluderer fjernarbejde, som er det originale kontrolnavn i 2013-versionen af ​​standarden.

Retningslinjerne for implementering er noget ens, selvom sproget og termerne er forskellige. Version 2022 brugte meget brugervenligt sprog for at sikre, at brugerne af standarden kan forstå, hvad de laver.

Når det er sagt, blev nogle punkter tilføjet i kontrol 6.7 og nogle fjernet fra kontrol 6.2.2.

Tilføjet til Control 6.7 Remote Working

• regler og sikkerhedsmekanismer for det fjerntliggende fysiske miljø såsom aflåselige arkivskabe, sikker transport mellem lokationer og regler for fjernadgang, clear desk, udskrivning og bortskaffelse af information og andre tilknyttede aktiver og informationssikkerhedshændelsesrapportering.
• de forventede fysiske fjernarbejdsmiljøer.
• truslen om uautoriseret adgang til information eller ressourcer fra andre personer på offentlige steder.
• sikre mekanismer til fjernimplementering og initialisering af systemer.
• sikre mekanismer til godkendelse og aktivering af adgangsprivilegier under hensyntagen til sårbarheden af ​​enkeltfaktorautentificeringsmekanismer, hvor fjernadgang til organisationens netværk er tilladt.

Fjernet fra kontrol 6.2.2 Fjernarbejde

• Brugen af ​​hjemmenetværk og krav eller begrænsninger for konfigurationen af ​​trådløse netværkstjenester.
• Politikker og procedurer til at forhindre tvister om rettigheder til intellektuel ejendom udviklet på privatejet udstyr.
• Adgang til privatejet udstyr (for at verificere maskinens sikkerhed eller under en undersøgelse), som kan være forhindret af lovgivning.
• Softwarelicensaftaler, der er sådan, at organisationer kan blive ansvarlige for licensering af klientsoftware på arbejdsstationer, der ejes privat af medarbejdere eller eksterne brugere.

Ydermere giver ISO 27002 version 2022 erklæringer om formål og attributtabeller for hver kontrol, som hjælper brugerne med bedre at forstå og implementere kontrollerne.

2013-versionen har ikke disse to dele.

Hvem er ansvarlig for denne proces?

Det primære ansvar for at skabe en informationssikkerhedspolitik for fjernmedarbejdere ligger hos organisationens informationssikkerhedsansvarlige. Andre interessenter bør dog også inddrages i processen.

Dette omfatter it-chefer, som er ansvarlige for at implementere og vedligeholde politikken, samt HR-chefer, som er ansvarlige for at sikre, at medarbejderne forstår den og overholder den.

Hvis du har et leverandørstyringsprogram, så vil svaret afhænge af, hvem der er ansvarlig for at administrere entreprenører og leverandører generelt. I de fleste tilfælde vil denne person også være ansvarlig for at skabe en informationssikkerhedspolitik for fjernmedarbejdere i den pågældende afdeling.

Hvad betyder disse ændringer for dig?

ISO 27002 blev ikke ændret væsentligt, så du behøver ikke gøre meget udover at kontrollere, at dine informationssikkerhedsprocesser er i overensstemmelse med opgraderingen.

Den vigtigste ændring var at ændre nogle af kontrollerne og at præcisere nogle af kravene. Hovedeffekten med hensyn til kontrol 6.7 er, at hvis du outsourcer nogen af ​​dine operationer til en tredjepart eller har folk, der arbejder eksternt, skal du sikre dig, at de har et passende niveau af sikkerhedskontrol på plads.

Hvis du har en eksisterende ISO 27001-certificering, så vil din nuværende proces til styring af informationssikkerhed opfylde de nye krav.

Det betyder, at hvis du ønsker at forny din nuværende ISO 27001-certificering, behøver du ikke at gøre noget som helst. Du skal blot sikre dig, at dine processer stadig stemmer overens med den nye standard.

Hvis du derimod starter fra bunden, så skal du tænke lidt over, hvordan din virksomhed kan være forberedt på cyberangreb og andre trusler mod dets informationsaktiver.

Det vigtigste er, at det er vigtigt at behandle cyberrisici seriøst nok, så de styres som en del af din overordnede forretningsstrategi i stedet for at blive behandlet som et separat problem af it- eller sikkerhedsafdelinger alene.

Hvordan ISMS.Online hjælper

ISMS.Online-platformen hjælper med alle aspekter af implementering af ISO 27002, lige fra styring af risikovurderingsaktiviteter til udvikling af politikker, procedurer og retningslinjer for overholdelse af standardens krav.

Det giver en måde at dokumentere dine resultater og kommunikere dem med dine teammedlemmer online. ISMS.Online giver dig også mulighed for at oprette og gemme tjeklister for alle de opgaver, der er involveret i implementeringen af ​​ISO 27002, så du nemt kan spore fremskridtene i din organisations sikkerhedsprogram.

Med sit automatiserede værktøjssæt gør ISMS.Online det nemt for organisationer at demonstrere overholdelse af ISO 27002-standarden.

Kontakt os i dag for planlæg en demo.