Kontrol 7.1 i den nye ISO 27002:2022 dækker organisationers behov for at definere og indstille sikkerhedsperimetre og bruge disse parametre til at beskytte områder, der indeholder information og andre tilknyttede aktiver.
Information kan defineres som enhver data, information eller viden, der har værdi for din organisation eller virksomhed. Dette inkluderer alle data indsamlet om enkeltpersoner, kunder, partnere, medarbejdere og andre interessenter.
Informationssikkerhedsaktiver kan groft opdeles i:
Data forveksles ofte med information, men der er forskel på data og information. Data er rå, ubearbejdet og ofte ubrugelig i dens nuværende tilstand, hvorimod information er data, der er blevet behandlet til brugbare oplysninger såsom en e-mailadresse eller et telefonnummer.
Infrastruktur refererer til alle de komponenter, der udgør et netværk, inklusive servere og andre enheder såsom printere og routere osv.
Infrastruktur kan også omfatte software såsom operativsystemer og applikationer, der bør beskyttes mod cyberangreb lige så meget som hardware gør, da begge skal holdes opdateret med patches og rettelser til sårbarheder opdaget af hackere, så de ikke kan udnyttet af ondsindede hackere, der ønsker at få adgang til følsomme data.
Fysisk sikkerhed refererer til alle de fysiske foranstaltninger, der beskytter en organisations faciliteter og aktiver. Fysisk sikkerhed er den mest basale og vigtige del af informationssikkerhed. Det handler ikke kun om at låse døren, men også at vide, hvem der har adgang til hvad, hvornår, hvor og hvordan.
Fysiske sikkerhedsomkredse bruges til at identificere de fysiske grænser for en bygning eller et område og kontrollere adgangen til den. Fysiske sikkerhedsomkredse kan omfatte hegn, mure, porte og andre barrierer, der forhindrer uautoriseret adgang for personer eller køretøjer. Ud over fysiske barrierer kan elektronisk overvågningsudstyr såsom lukkede tv-kameraer bruges til at overvåge aktivitet uden for anlægget.
Fysiske sikkerhedsomkredse giver en første forsvarslinje mod ubudne gæster, der kan forsøge at komme ind i dit computersystem gennem netværkskablet eller den trådløse forbindelse i en organisation. De bruges ofte sammen med andre typer informationssikkerhedskontroller såsom identitetsstyring, adgangskontrol og indtrængendetekteringssystemer.
Attributter er en måde at klassificere kontroller på. Attributter giver dig mulighed for hurtigt at matche dit kontrolvalg med typiske branchespecifikationer og terminologi. Følgende kontroller er tilgængelige i kontrol 7.1.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Fysisk sikkerhed | #Beskyttelse |
Kontrol 7.1 sikrer, at en organisation kan demonstrere, at den har tilstrækkelige fysiske sikkerhedsperimeter på plads for at forhindre uautoriseret fysisk adgang til information og andre tilknyttede aktiver.
Dette omfatter forebyggelse af:
Fysiske sikkerhedsomkredse kan implementeres gennem følgende to kategorier:
Fysisk adgangskontrol: Giver kontrol over adgangen til faciliteter og bygninger, samt bevægelsen indenfor dem. Disse kontroller omfatter låsning af døre, brug af alarmer på døre, brug af hegn eller barrierer omkring faciliteter osv.
Hardwaresikkerhed: Giver kontrol over fysisk udstyr (f.eks. computere), der bruges af en organisation til at behandle data såsom printere og scannere, der kan indeholde følsomme oplysninger.
Implementering af denne kontrol kan også omfatte uautoriseret brug af facilitetsplads, udstyr og forsyninger for at beskytte information og andre tilknyttede aktiver, såsom fortrolige dokumenter, optegnelser og udstyr.
Følgende retningslinjer bør overvejes og implementeres, hvor det er relevant for fysiske sikkerhedsomkredse:
Du kan få mere information om, hvad der ligger i at opfylde kravene til kontrollen i ISO 27002:2022 standarddokumentet.
Den nye 2022-revision af ISO 27002 blev offentliggjort den 15. februar 2022 og er en opgradering af ISO 27002:2013.
11 nye kontroller blev føjet til denne version af ISO 27002. Kontrol 7.1 er dog ikke en ny kontrol, men det er en modificeret version af kontrol 11.1.1 i 2013-versionen af ISO 27002. Den største forskel mellem 2013 og 2022 version er ændringen af kontrolnummeret.
Kontrolnummeret 11.1.1 blev erstattet med 7.1. Bortset fra det er konteksten og betydningen stort set ens, selvom den fraseologi er anderledes.
En anden forskel mellem de to kontroller er, at implementeringskravene blev reduceret i 2022-versionen.
Følgende krav, som er tilgængelige i kontrol 11.1.1 i ISO 27002:2013, mangler i kontrol 7.1:
Disse udeladelser gør på ingen måde den nye standard mindre effektiv, i stedet blev de fjernet for at gøre den nye kontrol mere brugervenlig.
Informationschefen er den ansvarlige for informationssikkerheden. Denne person er ansvarlig for at implementere politikker og procedurer for at beskytte virksomhedens data og systemer. CIO'en arbejder typisk sammen med andre ledere, såsom økonomichefen og administrerende direktør, for at sikre, at sikkerhedsforanstaltninger tages i betragtning under forretningsbeslutninger.
Økonomichefen er også involveret i at træffe beslutninger vedrørende fysiske sikkerhedsomkredse. Han eller hun arbejder sammen med andre medlemmer af C-suiten - inklusive CIO'en - for at bestemme, hvor mange penge der skal allokeres til fysiske sikkerhedsforanstaltninger som overvågningskameraer, adgangskontrol og alarmer.
Den nye ISO 27002:2022 er ikke en større revision. Derfor behøver du ikke implementere nogen seriøse ændringer for at overholde den seneste version af ISO 27002.
Du bør dog overveje at gennemgå din nuværende implementering og sikre dig, at den stemmer overens med de nye krav. Især hvis du har foretaget ændringer siden den forrige version blev offentliggjort i 2013. Det er værd at se på disse ændringer igen for at se, om de stadig er gyldige, eller om de skal ændres.
Når det er sagt, kan du få mere information om, hvordan den nye ISO 27002 vil påvirke dine informationssikkerhedsprocesser og ISO 27001 certificering ved at læse vores ISO 27002:2022 guide.
ISMS.online kan også hjælpe med at demonstrere ISO 27002-overensstemmelse ved at give dig et online system, der giver dig mulighed for at gemme alle dine dokumenter ét sted og gøre dem tilgængelige for alle, der har brug for dem. Systemet giver dig også mulighed for at oprette tjeklister for hvert dokument, så det er nemt for alle involverede i at foretage ændringer eller gennemgå dokumenter for at se, hvad der skal gøres næste gang, og hvornår det skal gøres.
Vil du se, hvordan det fungerer?
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
