Hvad er kontrol 7.1?
Kontrol 7.1 i den nye ISO 27002:2022 dækker organisationers behov for at definere og indstille sikkerhedsperimetre og bruge disse parametre til at beskytte områder, der indeholder information og andre tilknyttede aktiver.
Informations- og informationssikkerhedsaktiver forklaret
Information kan defineres som enhver data, information eller viden, der har værdi for din organisation eller virksomhed. Dette inkluderer alle data indsamlet om enkeltpersoner, kunder, partnere, medarbejdere og andre interessenter.
Informationssikkerhedsaktiver kan groft opdeles i:
Data
Data forveksles ofte med information, men der er forskel på data og information. Data er rå, ubearbejdet og ofte ubrugelig i dens nuværende tilstand, hvorimod information er data, der er blevet behandlet til brugbare oplysninger såsom en e-mailadresse eller et telefonnummer.
Infrastruktur
Infrastruktur refererer til alle de komponenter, der udgør et netværk, inklusive servere og andre enheder såsom printere og routere osv.
Infrastruktur kan også omfatte software såsom operativsystemer og applikationer, der bør beskyttes mod cyberangreb lige så meget som hardware gør, da begge skal holdes opdateret med patches og rettelser til sårbarheder opdaget af hackere, så de ikke kan udnyttet af ondsindede hackere, der ønsker at få adgang til følsomme data.
Fysiske sikkerhedsomkredse forklaret
Fysisk sikkerhed refererer til alle de fysiske foranstaltninger, der beskytter en organisations faciliteter og aktiver. Fysisk sikkerhed er den mest basale og vigtige del af informationssikkerhed. Det handler ikke kun om at låse døren, men også at vide, hvem der har adgang til hvad, hvornår, hvor og hvordan.
Fysiske sikkerhedsomkredse bruges til at identificere de fysiske grænser for en bygning eller et område og kontrollere adgangen til den. Fysiske sikkerhedsomkredse kan omfatte hegn, mure, porte og andre barrierer, der forhindrer uautoriseret adgang for personer eller køretøjer. Ud over fysiske barrierer kan elektronisk overvågningsudstyr såsom lukkede tv-kameraer bruges til at overvåge aktivitet uden for anlægget.
Fysiske sikkerhedsomkredse giver en første forsvarslinje mod ubudne gæster, der kan forsøge at komme ind i dit computersystem gennem netværkskablet eller den trådløse forbindelse i en organisation. De bruges ofte sammen med andre typer informationssikkerhedskontroller såsom identitetsstyring, adgangskontrol og indtrængendetekteringssystemer.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Attributter Kontroltabel 7.1
Attributter er en måde at klassificere kontroller på. Attributter giver dig mulighed for hurtigt at matche dit kontrolvalg med typiske branchespecifikationer og terminologi. Følgende kontroller er tilgængelige i kontrol 7.1.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Fysisk sikkerhed | #Beskyttelse |
| #Integritet | ||||
| #Tilgængelighed |
Kontrol 7.1 sikrer, at en organisation kan demonstrere, at den har tilstrækkelige fysiske sikkerhedsperimeter på plads for at forhindre uautoriseret fysisk adgang til information og andre tilknyttede aktiver.
Dette omfatter forebyggelse af:
- Uautoriseret adgang til bygninger, rum eller områder, der indeholder informationsaktiver;
- Uautoriseret fjernelse af aktiver fra lokaler;
- Uautoriseret brug af aktiver i lokaler (f.eks. computere og computerrelaterede enheder); og
- Uautoriseret adgang til elektronisk kommunikationsudstyr såsom telefoner, faxmaskiner og computerterminaler (f.eks. uautoriseret manipulation).
Fysiske sikkerhedsomkredse kan implementeres gennem følgende to kategorier:
Fysisk adgangskontrol: Giver kontrol over adgangen til faciliteter og bygninger, samt bevægelsen indenfor dem. Disse kontroller omfatter låsning af døre, brug af alarmer på døre, brug af hegn eller barrierer omkring faciliteter osv.
Hardwaresikkerhed: Giver kontrol over fysisk udstyr (f.eks. computere), der bruges af en organisation til at behandle data såsom printere og scannere, der kan indeholde følsomme oplysninger.
Implementering af denne kontrol kan også omfatte uautoriseret brug af facilitetsplads, udstyr og forsyninger for at beskytte information og andre tilknyttede aktiver, såsom fortrolige dokumenter, optegnelser og udstyr.
Hvad er involveret, og hvordan man opfylder kravene
Følgende retningslinjer bør overvejes og implementeres, hvor det er relevant for fysiske sikkerhedsomkredse:
- Definition af sikkerhedsperimetre og placeringen og styrken af hver af perimetrene i overensstemmelse med informationssikkerhedskravene relateret til aktiverne inden for perimeteren.
- At have fysisk forsvarlige perimeter for en bygning eller et sted, der indeholder informationsbehandlingsfaciliteter (dvs. der bør ikke være huller i perimeteren eller områder, hvor der let kan ske indbrud).
- De udvendige tage, vægge, lofter og gulve på stedet skal være af solid konstruktion, og alle udvendige døre skal være passende beskyttet mod uautoriseret adgang med kontrolmekanismer (f.eks. sprosser, alarmer, låse).
- Døre og vinduer bør låses, når de er uden opsyn, og udvendig beskyttelse bør overvejes for vinduer, især i jordhøjde; ventilationspunkter bør også overvejes.
Du kan få mere information om, hvad der ligger i at opfylde kravene til kontrollen i ISO 27002:2022 standarddokumentet.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27002:2013
Den nye 2022-revision af ISO 27002 blev offentliggjort den 15. februar 2022 og er en opgradering af ISO 27002:2013.
11 nye kontroller blev føjet til denne version af ISO 27002. Kontrol 7.1 er dog ikke en ny kontrol, men det er en modificeret version af kontrol 11.1.1 i 2013-versionen af ISO 27002. Den største forskel mellem 2013 og 2022 version er ændringen af kontrolnummeret.
Kontrolnummeret 11.1.1 blev erstattet med 7.1. Bortset fra det er konteksten og betydningen stort set ens, selvom den fraseologi er anderledes.
En anden forskel mellem de to kontroller er, at implementeringskravene blev reduceret i 2022-versionen.
Følgende krav, som er tilgængelige i kontrol 11.1.1 i ISO 27002:2013, mangler i kontrol 7.1:
- Et bemandet receptionsområde eller andre midler til at kontrollere den fysiske adgang til stedet eller bygningen bør være på plads.
- Adgang til steder og bygninger bør kun begrænses til autoriseret personale.
- Fysiske barrierer bør, hvor det er relevant, bygges for at forhindre uautoriseret fysisk adgang og miljøforurening.
- Egnede indbrudsdetektionssystemer bør installeres i henhold til nationale, regionale eller internationale standarder og regelmæssigt testes for at dække alle udvendige døre og tilgængelige vinduer.
- Ubesatte områder bør til enhver tid være alarmeret.
- Der bør også være dækning til andre områder, f.eks. computerrum eller kommunikationsrum.
- Informationsbehandlingsfaciliteter, der administreres af organisationen, bør være fysisk adskilt fra dem, der administreres af eksterne parter.
Disse udeladelser gør på ingen måde den nye standard mindre effektiv, i stedet blev de fjernet for at gøre den nye kontrol mere brugervenlig.
Hvem er ansvarlig for denne proces?
Informationschefen er den ansvarlige for informationssikkerheden. Denne person er ansvarlig for at implementere politikker og procedurer for at beskytte virksomhedens data og systemer. CIO'en arbejder typisk sammen med andre ledere, såsom økonomichefen og administrerende direktør, for at sikre, at sikkerhedsforanstaltninger tages i betragtning under forretningsbeslutninger.
Økonomichefen er også involveret i at træffe beslutninger vedrørende fysiske sikkerhedsomkredse. Han eller hun arbejder sammen med andre medlemmer af C-suiten - inklusive CIO'en - for at bestemme, hvor mange penge der skal allokeres til fysiske sikkerhedsforanstaltninger som overvågningskameraer, adgangskontrol og alarmer.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad betyder disse ændringer for dig?
Den nye ISO 27002:2022 er ikke en større revision. Derfor behøver du ikke implementere nogen seriøse ændringer for at overholde den seneste version af ISO 27002.
Du bør dog overveje at gennemgå din nuværende implementering og sikre dig, at den stemmer overens med de nye krav. Især hvis du har foretaget ændringer siden den forrige version blev offentliggjort i 2013. Det er værd at se på disse ændringer igen for at se, om de stadig er gyldige, eller om de skal ændres.
Når det er sagt, kan du få mere information om, hvordan den nye ISO 27002 vil påvirke dine informationssikkerhedsprocesser og ISO 27001 certificering ved at læse vores ISO 27002:2022 guide.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.Online hjælper
ISMS.online kan også hjælpe med at demonstrere ISO 27002-overensstemmelse ved at give dig et online system, der giver dig mulighed for at gemme alle dine dokumenter ét sted og gøre dem tilgængelige for alle, der har brug for dem. Systemet giver dig også mulighed for at oprette tjeklister for hvert dokument, så det er nemt for alle involverede i at foretage ændringer eller gennemgå dokumenter for at se, hvad der skal gøres næste gang, og hvornår det skal gøres.
Vil du se, hvordan det fungerer?
Kontakt i dag for book en demo.
