ISO 27002:2022, Kontrol 7.10 – Lagermedier

ISO 27002:2022 Reviderede kontroller

Book en demo

beskåret,billede,af,professionel,forretningskvinde,arbejder,på,hende,kontor,via

Brug af lagringsmedieenheder såsom solid-state-drev (SSD'er), USB-sticks, eksterne drev og mobiltelefoner er afgørende for mange kritiske informationsbehandlingsoperationer såsom sikkerhedskopiering af data, datalagring og informationsoverførsel.

Men opbevaring af følsomme og kritiske oplysninger om disse enheder indebærer risici for integriteten, fortrolighed og tilgængelighed af informationsaktiver. Disse risici kan omfatte tab eller tyveri af lagringsmedier, der indeholder følsomme oplysninger, spredning af malware til alle virksomhedens computernetværk via lagringsmediet og svigt og forringelse af lagringsmedieenheder, der bruges til sikkerhedskopiering af data.

Kontrol 7.10 omhandler, hvordan organisationer kan etablere passende procedurer, politikker og kontroller for at opretholde sikkerheden for lagringsmedier i hele dets livscyklus, fra dets erhvervelse til dets bortskaffelse.

Formål med kontrol 7.10

Kontrol 7.10 gør det muligt for organisationer at eliminere og mindske risici for uautoriseret adgang til, brug, sletning, ændring og overførsel af følsomme oplysninger, der er hostet på lagermedieenheder, ved at fastlægge procedurer for håndtering af lagermedier i hele dets livscyklus.

Attributter tabel

Kontrol 7.10 er en forebyggende form for kontrol, der kræver, at organisationer oprette, implementere og vedligeholde procedurer og foranstaltninger for at sikre sikkerheden af ​​lagringsmedieenheder fra deres erhvervelse til deres bortskaffelse.

Kontrol typeInformationssikkerhedsegenskaberCybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende#Fortrolighed
#Integritet
#Tilgængelighed		#Beskytte#Fysisk sikkerhed
# Asset Management 		#Beskyttelse
Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Hvilket lagermedie dækker Control 7.10?

Kontrol 7.10 gælder både for digitale og fysiske lagringsmedier. For eksempel opbevaring af oplysninger på fysiske filer er også omfattet af kontrol 7.10.

Ud over de flytbare lagermedier er faste lagermedier såsom harddiske desuden underlagt kontrol 7.10.

Ejerskab af kontrol 7.10

Kontrol 7.10 kræver, at organisationer opretter og implementerer passende procedurer, tekniske kontroller og organisationsdækkende politikker for brugen af ​​lagringsmedier baseret på organisationens eget klassifikationssystem og dens datahåndteringskrav, såsom juridiske og kontraktlige forpligtelser.

I betragtning af dette bør informationssikkerhedsansvarlige være ansvarlige for hele overholdelsesprocessen.

Generel vejledning om overholdelse

Aftageligt lagringsmedie

Selvom flytbare lagringsmedier er afgørende for mange forretningsaktiviteter, og de almindeligvis bruges af de fleste medarbejdere, udgør de den højeste grad af risiko for de følsomme oplysninger.

Kontrol 7.10 angiver ti krav, som organisationer skal overholde til styring af flytbare lagermedier gennem hele dets livscyklus:

  1. Organisationer bør etablere en emnespecifik politik for erhvervelse, godkendelse, brug og bortskaffelse af flytbare lagermedier. Denne politik bør kommunikeres til alt personale og til alle relevante parter.

  2. Hvis det er praktisk og nødvendigt, bør organisationer indføre godkendelsesprocedurer for, hvordan flytbare lagermedier kan tages ud af virksomhedens lokaler. Ydermere bør organisationer føre logoptegnelser over fjernelse af lagermedier til revisionssporformål.

  3. Alle flytbare lagringsmedier bør opbevares i et sikkert område, såsom et pengeskab, under hensyntagen til det informationsklassificeringsniveau, der er tildelt informationen, og de miljømæssige og fysiske trusler mod lagringsmedier.

  4. Hvis fortrolighed og integritet af oplysninger indeholdt på flytbare lagermedier er af afgørende betydning, bør kryptografiske teknikker anvendes til at beskytte lagermedierne mod uautoriseret adgang.

  5. I modsætning til risikoen for nedbrydning af flytbare lagermedier og tab af information lagret på mediet, bør informationen overføres til en ny lagermedieenhed, før en sådan risiko opstår.

  6. Kritiske og følsomme oplysninger bør kopieres og opbevares på flere lagringsmedier for at minimere risikoen for tab af kritisk information.

  7. For at mindske risikoen for fuldstændigt tab af information kan registrering af flytbare lagermedieenheder være en mulighed at overveje.

  8. Medmindre der er en forretningsrelateret grund til at bruge flytbare lagringsmedieporte såsom USB-porte eller SD-kortpladser, bør de ikke tillades.

  9. Der skal være en overvågningsmekanisme på plads til overførsel af information til flytbare lagermedieenheder.

  10. Når oplysninger indeholdt i fysiske medier såsom papirer overføres via kurer eller post, er der en høj risiko for uautoriseret adgang til disse oplysninger. Der bør derfor træffes passende foranstaltninger.

Vejledning om sikker genbrug og bortskaffelse af lagermedier

Kontrol 7.10 giver separat vejledning om sikker genbrug og bortskaffelse af lagringsmedier, så organisationer kan mindske og eliminere risici for kompromittering af oplysningernes fortrolighed.

Kontrol 7.10 fremhæver, at organisationer bør definere og anvende procedurer for genbrug og bortskaffelse af lagringsmedier under hensyntagen til følsomhedsniveauet for information indeholdt i lagringsmediet.

Ved etablering af disse procedurer bør organisationer overveje følgende:

  1. Hvis et lagringsmedie vil blive genbrugt af en intern part i en organisation, skal de følsomme oplysninger, der er hostet på det lagringsmedie, slettes irreversibelt eller omformateres, før det godkendes til genbrug.

  2. Lagermedier, der hoster følsomme oplysninger, bør destrueres på en sikker måde, når det ikke længere er nødvendigt. For eksempel kan papirdokumenter makuleres, og digitalt udstyr kan fysisk ødelægges.

  3. Der bør være en procedure for identifikation af lagermedieelementer, der skal bortskaffes.

  4. Når organisationer vælger at samarbejde med en ekstern part om at håndtere indsamling og bortskaffelse af lagermedier, bør de forholde sig pga omhu for at sikre, at den valgte leverandør er kompetent og den implementerer passende kontroller.

  5. Vedligeholdelse af en fortegnelse over alle bortskaffede genstande til revisionsspor.

  6. Når flere lagringsmedier skal bortskaffes sammen, bør akkumuleringseffekten tages i betragtning: Kombination af forskellige informationsstykker fra hvert lagringsmedie kan omdanne ikke-følsomme oplysninger til følsomme oplysninger.

Sidst, men ikke mindst, kræver Control 7.10, at organisationer udfører en risikovurdering af beskadiget udstyr, der opbevarer fortrolige oplysninger at beslutte, om udstyret skal destrueres i stedet for at blive repareret.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.10 erstatter 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Der er fire vigtige forskelle, der skal fremhæves:

  • Strukturelle ændringer

Hvorimod 2013-versionen indeholdt tre separate kontrol med ledelsen af medier, bortskaffelse af medier og fysisk medieoverførsel, kombinerer 2022-versionen disse tre kontroller under kontrol 7.10.

  • 2022-versionen indeholder krav til genbrug af lagermedier

I modsætning til 2013-versionen, der kun omhandlede sikker bortskaffelse af lagringsmedier, omhandler 2022-versionen også sikker genbrug af lagringsmedier.

  • 2013-versionen indeholder mere omfattende krav til fysisk overførsel af lagermedier

2013-versionen indebar mere omfattende krav til fysisk overførsel af lagermedier. For eksempel indeholdt 2013-versionen regler om ID-bekræftelse for kurerer og emballagestandarder.

Kontrol 7.10 i 2022-versionen sagde på den anden side kun, at organisationer skulle handle med omhu, når de vælger tjenesteudbydere såsom kurerer.

  • 2022-versionen kræver en emnespecifik politik for flytbare lagermedier

Mens 2022- og 2013-versionerne i høj grad ligner hinanden med hensyn til krav til flytbare lagringsmedier, introducerer 2022-versionen kravet om at etablere en emnespecifik politik for flytbare lagringsmedier. 2013-versionen dækkede derimod ikke dette krav.

Hvordan ISMS.online hjælper

ISMS.online platform bruger en risikobaseret tilgang kombineret med brancheførende bedste praksis og skabeloner for at hjælpe dig med at identificere de risici, din organisation står over for, og de kontroller, der er nødvendige for at håndtere disse risici. Dette giver dig mulighed for systematisk at reducere både din risikoeksponering og dine complianceomkostninger.

Kontakt i dag for book en demo.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere