Kontrol 6.7, Remote Working er en kontrol i den reviderede ISO 27002:2022. Det anbefaler, at organisationer bør have en politik for fjernarbejde samt et informationssikkerhedsstyringssystem, der omfatter procedurer til sikring af fjernadgang til informationssystemer og netværk.
Fjernarbejde er blevet mere almindeligt i takt med at teknologien har udviklet sig, og det er nu muligt for medarbejdere at arbejde hjemmefra uden at skade produktiviteten eller effektiviteten. Det kan dog også rejse nogle bekymringer om datasikkerhed.
Hvis du er virksomhedsejer, vil du gerne vide, hvordan du beskytter din intellektuelle ejendom mod cyberkriminelle og sikrer, at dine data er sikre mod hackere.
Her er nogle informationssikkerhedsimplikationer af fjernarbejde:
Fjernarbejde kan være fordelagtigt, da det giver lettere adgang til følsomme oplysninger og systemer. Fjernarbejde har dog flere sikkerhedsmæssige konsekvenser.
Fjernarbejde, hvis det ikke administreres korrekt, kan være modtageligt for sikkerhedsrisici, såsom hacking, malware-angreb, uautoriseret adgang og andre. Dette gælder især, når medarbejderne ikke fysisk befinder sig i sikre omgivelser.
Fjernarbejde kan også påvirke den fysiske sikkerhed i en virksomhed. Dette skyldes, at det kan betyde, at medarbejderne ikke længere er fysisk placeret på et kontor eller en bygning, og derfor måske ikke er lige så tilbøjelige til at se eller høre mistænkelig aktivitet.
Fjernarbejde kan også udgøre nogle risici med hensyn til fortrolighed. For eksempel kan medarbejdere få fjernadgang til fortrolige oplysninger og få adgang til dem uden virksomhedens samtykke.
Medarbejderne kan også nemt få adgang til følsomme virksomhedsoplysninger på det offentlige internet. Faktisk er der endda websteder, hvor medarbejdere kan uploade følsomme oplysninger, så alle kan se.
Fjernarbejde kan også påvirke en organisations privatliv. For eksempel, hvis medarbejdere arbejder hjemmefra, kan de være mere tilbøjelige til at efterlade deres personlige ejendele liggende.
Disse ejendele kan indeholde følsomme oplysninger, der kan kompromittere en virksomheds privatliv.
Fjernarbejde kan også udgøre en risiko for en virksomheds data. For eksempel kan medarbejdere få fjernadgang til virksomhedsdata, som kan gemmes på en række forskellige steder.
Dette kan omfatte data på computere, servere og mobile enheder. Hvis medarbejderen forlader kontoret og tager enheden, kan det være sværere at gendanne dataene.
Medarbejderen kan også lave en fejl eller gøre noget ondsindet med enheden, som kan kompromittere dataene.
Attributter bruges til at kategorisere kontroller. Du kan med det samme matche din kontrolmulighed med udbredte brancheudtryk og specifikationer ved at bruge attributter.
Attributter for kontrol 6.7 er som vist nedenfor.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | # Asset Management #Informationsbeskyttelse #Fysisk sikkerhed #System- og netværkssikkerhed | #Beskyttelse |
Formålet med Kontrol 6.7 er at sikre, at personale, der arbejder eksternt, har tilstrækkelig adgangskontrol på plads for at beskytte fortroligheden, integriteten og tilgængeligheden af følsomme eller proprietære oplysninger, processer og systemer mod uautoriseret adgang eller videregivelse af uautoriserede personer.
For at sikre informationssikkerheden, når personalet arbejder eksternt, bør organisationer udstede en emnespecifik politik om fjernarbejde, der definerer de relevante betingelser og begrænsninger for informationssikkerhed. Politikken bør distribueres til alle medarbejdere og indeholde vejledning i, hvordan de kan bruge fjernadgangsteknologier sikkert og sikkert.
En emnespecifik politik som denne vil sandsynligvis dække:
Ud over disse grundlæggende krav er det også vigtigt at have en klart defineret procedure for rapportering af hændelser, herunder de relevante kontaktoplysninger. Dette kan hjælpe med at reducere risikoen for, at brud eller andre typer sikkerhedshændelser opstår i første omgang.
Politikken skal muligvis også løse problemer såsom kryptering, firewalls og antivirussoftwareopdateringer samt medarbejderuddannelse om, hvordan man bruger fjernforbindelse sikkert.
For at opfylde kravene til kontrol 6.7 bør organisationer, der tillader fjernarbejdsaktiviteter, udstede en emnespecifik politik om fjernarbejde, der definerer de relevante betingelser og restriktioner.
Politikken bør revideres regelmæssigt, især når der er ændringer i teknologi eller lovgivning.
Politikken bør kommunikeres til alle medarbejdere, entreprenører og andre parter, der er involveret i fjernarbejde.
Politikken bør dokumenteres og gøres tilgængelig for enhver relevant tredjepart, herunder regulatorer og revisorer.
Organisationer skal også sikre, at de har tilstrækkelige foranstaltninger på plads til at beskytte følsomme eller fortrolige oplysninger, der transmitteres eller opbevares elektronisk under fjernarbejde.
I overensstemmelse med bestemmelserne i kontrol 6.7 bør følgende forhold overvejes:
De retningslinjer og foranstaltninger, der skal overvejes, bør omfatte:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Kontrol 6.7 i ISO 27002:2022 er en modificeret version af kontrol 6.2.2 i ISO 27002:2013 og er ikke en ny kontrol.
Selvom disse to kontroller har mange karakteristika, adskiller de sig noget i nomenklatur og formuleringer. Kontrolnavnet er for eksempel ikke det samme. Kontrol 6.2.2 i ISO 27002:2013 omtales som fjernarbejde. Kontrol 6.7 omtaler det som fjernarbejde. Samtidig blev fjernarbejde erstattet af fjernarbejde i den nye version af standarden.
I kontrol 6.7, ISO 27002:2022, definerer standarden, hvad fjernarbejde er, og hvilke typer arbejde, der kan kvalificeres som fjernarbejde. Dette inkluderer fjernarbejde, som er det originale kontrolnavn i 2013-versionen af standarden.
Retningslinjerne for implementering er noget ens, selvom sproget og termerne er forskellige. Version 2022 brugte meget brugervenligt sprog for at sikre, at brugerne af standarden kan forstå, hvad de laver.
Når det er sagt, blev nogle punkter tilføjet i kontrol 6.7 og nogle fjernet fra kontrol 6.2.2.
Ydermere giver ISO 27002 version 2022 erklæringer om formål og attributtabeller for hver kontrol, som hjælper brugerne med bedre at forstå og implementere kontrollerne.
2013-versionen har ikke disse to dele.
Det primære ansvar for at skabe en informationssikkerhedspolitik for fjernmedarbejdere ligger hos organisationens informationssikkerhedsansvarlige. Andre interessenter bør dog også inddrages i processen.
Dette omfatter it-chefer, som er ansvarlige for at implementere og vedligeholde politikken, samt HR-chefer, som er ansvarlige for at sikre, at medarbejderne forstår den og overholder den.
Hvis du har et leverandørstyringsprogram, så vil svaret afhænge af, hvem der er ansvarlig for at administrere entreprenører og leverandører generelt. I de fleste tilfælde vil denne person også være ansvarlig for at skabe en informationssikkerhedspolitik for fjernmedarbejdere i den pågældende afdeling.
ISO 27002 blev ikke ændret væsentligt, så du behøver ikke gøre meget udover at kontrollere, at dine informationssikkerhedsprocesser er i overensstemmelse med opgraderingen.
Den vigtigste ændring var at ændre nogle af kontrollerne og at præcisere nogle af kravene. Hovedeffekten med hensyn til kontrol 6.7 er, at hvis du outsourcer nogen af dine operationer til en tredjepart eller har folk, der arbejder eksternt, skal du sikre dig, at de har et passende niveau af sikkerhedskontrol på plads.
Hvis du har en eksisterende ISO 27001-certificering, så vil din nuværende proces til styring af informationssikkerhed opfylde de nye krav.
Det betyder, at hvis du ønsker at forny din nuværende ISO 27001-certificering, behøver du ikke at gøre noget som helst. Du skal blot sikre dig, at dine processer stadig stemmer overens med den nye standard.
Hvis du derimod starter fra bunden, så skal du tænke lidt over, hvordan din virksomhed kan være forberedt på cyberangreb og andre trusler mod dets informationsaktiver.
Det vigtigste er, at det er vigtigt at behandle cyberrisici seriøst nok, så de styres som en del af din overordnede forretningsstrategi i stedet for at blive behandlet som et separat problem af it- eller sikkerhedsafdelinger alene.
ISMS.Online-platformen hjælper med alle aspekter af implementering af ISO 27002, lige fra styring af risikovurderingsaktiviteter til udvikling af politikker, procedurer og retningslinjer for overholdelse af standardens krav.
Det giver en måde at dokumentere dine resultater og kommunikere dem med dine teammedlemmer online. ISMS.Online giver dig også mulighed for at oprette og gemme tjeklister for alle de opgaver, der er involveret i implementeringen af ISO 27002, så du nemt kan spore fremskridtene i din organisations sikkerhedsprogram.
Med sit automatiserede værktøjssæt gør ISMS.Online det nemt for organisationer at demonstrere overholdelse af ISO 27002-standarden.
Kontakt os i dag for planlæg en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |