ISO 27002:2022, Kontrol 7.10, Lagermedier

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Sikker lagringsmediestyring: Beskyttelse af følsomme oplysninger

Brug af lagringsmedieenheder såsom solid-state-drev (SSD'er), USB-sticks, eksterne drev og mobiltelefoner er afgørende for mange kritiske informationsbehandlingsoperationer såsom sikkerhedskopiering af data, datalagring og informationsoverførsel.

Men opbevaring af følsomme og kritiske oplysninger om disse enheder indebærer risici for integriteten, fortrolighed og tilgængelighed af informationsaktiver. Disse risici kan omfatte tab eller tyveri af lagringsmedier, der indeholder følsomme oplysninger, spredning af malware til alle virksomhedens computernetværk via lagringsmediet og svigt og forringelse af lagringsmedieenheder, der bruges til sikkerhedskopiering af data.

Kontrol 7.10 omhandler, hvordan organisationer kan etablere passende procedurer, politikker og kontroller for at opretholde sikkerheden for lagringsmedier i hele dets livscyklus, fra dets erhvervelse til dets bortskaffelse.

Formål med kontrol 7.10

Kontrol 7.10 gør det muligt for organisationer at eliminere og mindske risici for uautoriseret adgang til, brug, sletning, ændring og overførsel af følsomme oplysninger, der er hostet på lagermedieenheder, ved at fastlægge procedurer for håndtering af lagermedier i hele dets livscyklus.

Attributter Kontroltabel 7.10

Kontrol 7.10 er en forebyggende form for kontrol, der kræver, at organisationer oprette, implementere og vedligeholde procedurer og foranstaltninger for at sikre sikkerheden af lagringsmedieenheder fra deres erhvervelse til deres bortskaffelse.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Fysisk sikkerhed	#Beskyttelse
	#Integritet		# Asset Management
	#Tilgængelighed

Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Hvilket lagermedie dækker Control 7.10?

Kontrol 7.10 gælder både for digitale og fysiske lagringsmedier. For eksempel opbevaring af oplysninger på fysiske filer er også omfattet af kontrol 7.10.

Ud over de flytbare lagermedier er faste lagermedier såsom harddiske desuden underlagt kontrol 7.10.

Ejerskab af kontrol 7.10

Kontrol 7.10 kræver, at organisationer opretter og implementerer passende procedurer, tekniske kontroller og organisationsdækkende politikker for brugen af lagringsmedier baseret på organisationens eget klassifikationssystem og dens datahåndteringskrav, såsom juridiske og kontraktlige forpligtelser.

I betragtning af dette bør informationssikkerhedsansvarlige være ansvarlige for hele overholdelsesprocessen.

Generel vejledning om overholdelse

Aftageligt lagringsmedie

Selvom flytbare lagringsmedier er afgørende for mange forretningsaktiviteter, og de almindeligvis bruges af de fleste medarbejdere, udgør de den højeste grad af risiko for de følsomme oplysninger.

Kontrol 7.10 angiver ti krav, som organisationer skal overholde til styring af flytbare lagermedier gennem hele dets livscyklus:

Organisationer bør etablere en emnespecifik politik for erhvervelse, godkendelse, brug og bortskaffelse af flytbare lagermedier. Denne politik bør kommunikeres til alt personale og til alle relevante parter.
Hvis det er praktisk og nødvendigt, bør organisationer indføre godkendelsesprocedurer for, hvordan flytbare lagermedier kan tages ud af virksomhedens lokaler. Ydermere bør organisationer føre logoptegnelser over fjernelse af lagermedier til revisionssporformål.
Alle flytbare lagringsmedier bør opbevares i et sikkert område, såsom et pengeskab, under hensyntagen til det informationsklassificeringsniveau, der er tildelt informationen, og de miljømæssige og fysiske trusler mod lagringsmedier.
Hvis fortrolighed og integritet af oplysninger indeholdt på flytbare lagermedier er af afgørende betydning, bør kryptografiske teknikker anvendes til at beskytte lagermedierne mod uautoriseret adgang.
I modsætning til risikoen for nedbrydning af flytbare lagermedier og tab af information lagret på mediet, bør informationen overføres til en ny lagermedieenhed, før en sådan risiko opstår.
Kritiske og følsomme oplysninger bør kopieres og opbevares på flere lagringsmedier for at minimere risikoen for tab af kritisk information.
For at mindske risikoen for fuldstændigt tab af information kan registrering af flytbare lagermedieenheder være en mulighed at overveje.
Medmindre der er en forretningsrelateret grund til at bruge flytbare lagringsmedieporte såsom USB-porte eller SD-kortpladser, bør de ikke tillades.
Der skal være en overvågningsmekanisme på plads til overførsel af information til flytbare lagermedieenheder.
Når oplysninger indeholdt i fysiske medier såsom papirer overføres via kurer eller post, er der en høj risiko for uautoriseret adgang til disse oplysninger. Der bør derfor træffes passende foranstaltninger.

Vejledning om sikker genbrug og bortskaffelse af lagermedier

Kontrol 7.10 giver separat vejledning om sikker genbrug og bortskaffelse af lagringsmedier, så organisationer kan mindske og eliminere risici for kompromittering af oplysningernes fortrolighed.

Kontrol 7.10 fremhæver, at organisationer bør definere og anvende procedurer for genbrug og bortskaffelse af lagringsmedier under hensyntagen til følsomhedsniveauet for information indeholdt i lagringsmediet.

Ved etablering af disse procedurer bør organisationer overveje følgende:

Hvis et lagringsmedie vil blive genbrugt af en intern part i en organisation, skal de følsomme oplysninger, der er hostet på det lagringsmedie, slettes irreversibelt eller omformateres, før det godkendes til genbrug.
Lagermedier, der hoster følsomme oplysninger, bør destrueres på en sikker måde, når det ikke længere er nødvendigt. For eksempel kan papirdokumenter makuleres, og digitalt udstyr kan fysisk ødelægges.
Der bør være en procedure for identifikation af lagermedieelementer, der skal bortskaffes.
Når organisationer vælger at samarbejde med en ekstern part om at håndtere indsamling og bortskaffelse af lagermedier, bør de forholde sig pga omhu for at sikre, at den valgte leverandør er kompetent og den implementerer passende kontroller.
Vedligeholdelse af en fortegnelse over alle bortskaffede genstande til revisionsspor.
Når flere lagringsmedier skal bortskaffes sammen, bør akkumuleringseffekten tages i betragtning: Kombination af forskellige informationsstykker fra hvert lagringsmedie kan omdanne ikke-følsomme oplysninger til følsomme oplysninger.

Sidst, men ikke mindst, kræver Control 7.10, at organisationer udfører en risikovurdering af beskadiget udstyr, der opbevarer fortrolige oplysninger at beslutte, om udstyret skal destrueres i stedet for at blive repareret.

Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.10 erstatter 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Der er fire vigtige forskelle, der skal fremhæves:

Strukturelle ændringer

Hvorimod 2013-versionen indeholdt tre separate kontrol med ledelsen af medier, bortskaffelse af medier og fysisk medieoverførsel, kombinerer 2022-versionen disse tre kontroller under kontrol 7.10.

2022-versionen indeholder krav til genbrug af lagermedier

I modsætning til 2013-versionen, der kun omhandlede sikker bortskaffelse af lagringsmedier, omhandler 2022-versionen også sikker genbrug af lagringsmedier.

2013-versionen indeholder mere omfattende krav til fysisk overførsel af lagermedier

2013-versionen indebar mere omfattende krav til fysisk overførsel af lagermedier. For eksempel indeholdt 2013-versionen regler om ID-bekræftelse for kurerer og emballagestandarder.

Kontrol 7.10 i 2022-versionen sagde på den anden side kun, at organisationer skulle handle med omhu, når de vælger tjenesteudbydere såsom kurerer.

2022-versionen kræver en emnespecifik politik for flytbare lagermedier

Mens 2022- og 2013-versionerne i høj grad ligner hinanden med hensyn til krav til flytbare lagringsmedier, introducerer 2022-versionen kravet om at etablere en emnespecifik politik for flytbare lagringsmedier. 2013-versionen dækkede derimod ikke dette krav.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISMS.online platform bruger en risikobaseret tilgang kombineret med brancheførende bedste praksis og skabeloner for at hjælpe dig med at identificere de risici, din organisation står over for, og de kontroller, der er nødvendige for at håndtere disse risici. Dette giver dig mulighed for systematisk at reducere både din risikoeksponering og dine complianceomkostninger.

Kontakt i dag for book en demo.

ISO 27002:2022 – Kontrol 7.10 – Lagermedier