ISO 27002:2022, Kontrol 7.12 – Kablingssikkerhed

ISO 27002:2022 Reviderede kontroller

Book en demo

img bygning 1020x680 1

De fleste moderne teknologier ville ikke fungere ordentligt uden kabler som fiber, netværk eller strømkabler.

Mens kabler er afgørende for transmissionen af informationsaktiver, og for leveringen af ​​informationstjenester, udsætter de risici for tilgængeligheden og fortroligheden af ​​informationsaktiver og også for kontinuiteten i forretningsdriften.

Disse risici kan opstå som følge af beskadigelse af, aflytning eller interferens med disse kabler. Desuden kan personale med adgang til disse kabler ved et uheld forårsage skade.

For eksempel kan cyberkriminelle med adgang til fiberkabler bruge simple teknikker som 'bøjning af fiberen' for at afbryde al netværkstrafik, hvilket resulterer i tab af tilgængelighed af information.

Kontrol 7.12 omhandler hvordan organisationer kan opretholde sikkerheden for informationsaktiver overføres via kabler ved at implementere passende foranstaltninger.

Formål med kontrol 7.12

Kontrol 7.12 gør det muligt for organisationer at opnå to forskellige formål:

  • Beskyttelse af informationsaktiver, der føres via kabler, mod uautoriseret adgang, brug, beskadigelse eller ødelæggelse ved at implementere passende foranstaltninger;

  • Sikring af kontinuitet i forretningsdriften ved at opretholde sikkerheden for kabler, der bærer informationsaktiver, strøm og elektricitet.

Attributter tabel

Kontrol 7.12 er af forebyggende karakter kræver, at organisationer anvender sikkerhedsforanstaltninger mod risiciene for tilgængeligheden og fortroligheden af ​​oplysninger og andre kritiske aktiver, der føres gennem kabler.

Kontrol type InformationssikkerhedsegenskaberCybersikkerhedskoncepterOperationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed
#Tilgængelighed		#Beskytte#Fysisk sikkerhed#Beskyttelse
Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Ejerskab af kontrol 7.12

Overholdelse af kontrol 7.12 kræver oprettelse af en opgørelse over alle kabler, identifikation af passende sikkerhedsforanstaltninger, udførelse af en risikovurdering og opretholdelse af sikkerheden af kabler.

Mens Facility Management-teamets rolle og indsats er kritisk, bør informationssikkerhedschefen bære ansvaret for overholdelse af Kontrol 7.12.

Generel vejledning om overholdelse

Kontrol 7.12 anbefaler, at organisationer tager hensyn til følgende fire kriterier for overholdelse:

  1. Telekommunikations- og strømkabler forbundet til informationsbehandlingsfaciliteterne bør placeres under jorden i det omfang, det er muligt. Ydermere bør kabler nedlagt i undergrunden beskyttes mod utilsigtede overskæringer ved hjælp af passende teknikker såsom pansrede ledninger. Hvis det ikke er muligt at placere kablerne under jorden, kan organisationer overveje at implementere alternative beskyttelsesforanstaltninger såsom gulvkabelbeskyttere og forsyningsstænger.

  2. Strøm- og kommunikationskabler bør adskilles for at eliminere risikoen for interferens.

  3. I betragtning af at kabler forbundet til kritiske informationssystemer udgør en højere risiko for de følsomme informationsaktiver og for forretningsdriften, bør organisationer overveje at indføre følgende kontroller:

    • Brug af pansret kanal, installation af aflåste rum & bokse og opsætning af alarmsystemer både ved inspektion og terminalpunkter.

    • Anvendelse af elektromagnetisk afskærmningsteknik for at forhindre beskadigelse af kabler.

    • Kabler bør underkastes inspektioner med jævne mellemrum og teknisk gennemgang for at sikre, at ingen uautoriseret enhed tilsluttes kablerne.

    • Etablering adgangskontrol procedurer og foranstaltninger for adgang til kabelrum og patchpaneler.

    • Brug af fiberoptiske kabler.
  4. Kilde- og destinationsdetaljerne for hvert kabel skal være mærket ved både start- og slutpunkterne af kablet, så kablet let kan identificeres og inspiceres.

Endvidere rådes organisationer også til at søge ekspertrådgivning om, hvordan man håndterer risici, der kan opstå som følge af kabelfejl.

Sidst, men ikke mindst, bør organisationer overveje de risici, der er forbundet med brugen af ​​kommunikations- og strømkabler af mere end én organisation, når de er i fælles lokaler.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.12 replaces 27002:2013/(11.2.3)

Mens kontrol 7.12 i høj grad ligner sin 2013-modpart, introducerer kontrol 7.12 følgende krav i den generelle vejledning:

  • Kilde- og destinationsdetaljerne for hvert kabel skal være mærket ved både start- og slutpunkterne af kablet, så kablet let kan identificeres og inspiceres.

Hvordan ISMS.online hjælper

ISMS.Online er en komplet løsning til ISO 27002 implementering.

Det er et webbaseret system, der giver dig mulighed for at vise, at din informationssikkerhedsstyringssystem (ISMS) er i overensstemmelse med de godkendte standarder ved hjælp af gennemtænkte processer og procedurer og tjeklister.

Kontakt i dag for book en demo.

Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.

Emmie Cooney
Driftsleder, Amigo

Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest
Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere