Brug af lagringsmedieenheder såsom solid-state-drev (SSD'er), USB-sticks, eksterne drev og mobiltelefoner er afgørende for mange kritiske informationsbehandlingsoperationer såsom sikkerhedskopiering af data, datalagring og informationsoverførsel.
Men opbevaring af følsomme og kritiske oplysninger om disse enheder indebærer risici for integriteten, fortrolighed og tilgængelighed af informationsaktiver. Disse risici kan omfatte tab eller tyveri af lagringsmedier, der indeholder følsomme oplysninger, spredning af malware til alle virksomhedens computernetværk via lagringsmediet og svigt og forringelse af lagringsmedieenheder, der bruges til sikkerhedskopiering af data.
Kontrol 7.10 omhandler, hvordan organisationer kan etablere passende procedurer, politikker og kontroller for at opretholde sikkerheden for lagringsmedier i hele dets livscyklus, fra dets erhvervelse til dets bortskaffelse.
Kontrol 7.10 gør det muligt for organisationer at eliminere og mindske risici for uautoriseret adgang til, brug, sletning, ændring og overførsel af følsomme oplysninger, der er hostet på lagermedieenheder, ved at fastlægge procedurer for håndtering af lagermedier i hele dets livscyklus.
Kontrol 7.10 er en forebyggende form for kontrol, der kræver, at organisationer oprette, implementere og vedligeholde procedurer og foranstaltninger for at sikre sikkerheden af lagringsmedieenheder fra deres erhvervelse til deres bortskaffelse.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Fysisk sikkerhed # Asset Management | #Beskyttelse |
Kontrol 7.10 gælder både for digitale og fysiske lagringsmedier. For eksempel opbevaring af oplysninger på fysiske filer er også omfattet af kontrol 7.10.
Ud over de flytbare lagermedier er faste lagermedier såsom harddiske desuden underlagt kontrol 7.10.
Kontrol 7.10 kræver, at organisationer opretter og implementerer passende procedurer, tekniske kontroller og organisationsdækkende politikker for brugen af lagringsmedier baseret på organisationens eget klassifikationssystem og dens datahåndteringskrav, såsom juridiske og kontraktlige forpligtelser.
I betragtning af dette bør informationssikkerhedsansvarlige være ansvarlige for hele overholdelsesprocessen.
Selvom flytbare lagringsmedier er afgørende for mange forretningsaktiviteter, og de almindeligvis bruges af de fleste medarbejdere, udgør de den højeste grad af risiko for de følsomme oplysninger.
Kontrol 7.10 angiver ti krav, som organisationer skal overholde til styring af flytbare lagermedier gennem hele dets livscyklus:
Kontrol 7.10 giver separat vejledning om sikker genbrug og bortskaffelse af lagringsmedier, så organisationer kan mindske og eliminere risici for kompromittering af oplysningernes fortrolighed.
Kontrol 7.10 fremhæver, at organisationer bør definere og anvende procedurer for genbrug og bortskaffelse af lagringsmedier under hensyntagen til følsomhedsniveauet for information indeholdt i lagringsmediet.
Ved etablering af disse procedurer bør organisationer overveje følgende:
Sidst, men ikke mindst, kræver Control 7.10, at organisationer udfører en risikovurdering af beskadiget udstyr, der opbevarer fortrolige oplysninger at beslutte, om udstyret skal destrueres i stedet for at blive repareret.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
27002:2022/7.10 erstatter 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Der er fire vigtige forskelle, der skal fremhæves:
Hvorimod 2013-versionen indeholdt tre separate kontrol med ledelsen af medier, bortskaffelse af medier og fysisk medieoverførsel, kombinerer 2022-versionen disse tre kontroller under kontrol 7.10.
I modsætning til 2013-versionen, der kun omhandlede sikker bortskaffelse af lagringsmedier, omhandler 2022-versionen også sikker genbrug af lagringsmedier.
2013-versionen indebar mere omfattende krav til fysisk overførsel af lagermedier. For eksempel indeholdt 2013-versionen regler om ID-bekræftelse for kurerer og emballagestandarder.
Kontrol 7.10 i 2022-versionen sagde på den anden side kun, at organisationer skulle handle med omhu, når de vælger tjenesteudbydere såsom kurerer.
Mens 2022- og 2013-versionerne i høj grad ligner hinanden med hensyn til krav til flytbare lagringsmedier, introducerer 2022-versionen kravet om at etablere en emnespecifik politik for flytbare lagringsmedier. 2013-versionen dækkede derimod ikke dette krav.
ISMS.online platform bruger en risikobaseret tilgang kombineret med brancheførende bedste praksis og skabeloner for at hjælpe dig med at identificere de risici, din organisation står over for, og de kontroller, der er nødvendige for at håndtere disse risici. Dette giver dig mulighed for systematisk at reducere både din risikoeksponering og dine complianceomkostninger.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Vi er omkostningseffektive og hurtige