It-udstyr såsom servere, bærbare computere, netværksenheder og printere er afgørende for mange informationsbehandlingsoperationer såsom lagring, brug og overførsel af informationsaktiver.
Men hvis dette udstyr ikke vedligeholdes under hensyntagen til produktspecifikationer og miljørisici, kan det forringes i kvalitet og ydeevne. Denne mangel på vedligeholdelse kan resultere i kompromittering af tilgængelighed, integritet og fortrolighed af informationsaktiver opbevaret på dette udstyr.
For eksempel, hvis en organisation ikke udfører regelmæssig vedligeholdelse af serverhardware, kan den muligvis ikke genkende, at diskpladsen er fuld. Dette kan resultere i tab af data, der overføres til eller ud af serveren.
Ydermere kan medarbejdere eller eksterne tjenesteudbydere få adgang til it-udstyr som en del af vedligeholdelsesproceduren, og dette kan også udgøre en risiko for fortroligheden af følsomme oplysninger.
For eksempel kan en ekstern vedligeholdelsestjenesteudbyder få adgang til følsomme oplysninger gemt på bærbare computere eller installere malware i enheder.
Kontrol 7.13 omhandler, hvordan organisationer kan etablere og implementere passende procedurer og foranstaltninger til korrekt vedligeholdelse af udstyr, således at informationsaktiver opbevaret på dette udstyr er ikke kompromitteret.
Kontrol 7.13 gør det muligt for organisationer at indføre nødvendige tekniske foranstaltninger og procedurer for at udføre korrekte vedligeholdelsesaktiviteter på udstyr, der bruges til at opbevare informationsaktiver.
Disse foranstaltninger og procedurer giver sikkerhed for, at informationsaktiver ikke går tabt eller beskadiges, og de er ikke udsat for risikoen for kompromittering, såsom uautoriseret adgang.
Kontrol 7.13 er en forebyggende form for kontrol, der kræver, at organisationer tager en proaktiv tilgang til udstyrsvedligeholdelse.
Det indebærer opdagelse af risici, der kan opstå på grund af manglende vedligeholdelse, etablering af udstyrsvedligeholdelsesprocedurer under hensyntagen til hvert udstyrs specifikationer og anvendelse af passende kontroller, der vil beskytte informationsaktiver hostes på dette udstyr mod kompromis.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Fysisk sikkerhed # Asset Management | #Beskyttelse #Modstandsdygtighed |
Overholdelse af kontrol 7.13 indebærer oprettelse af en liste over udstyr, at foretage en risikovurdering baseret på miljøfaktorer og produktspecifikationer og etablering og implementering af passende procedurer og foranstaltninger til korrekt vedligeholdelse.
Mens rollen for personer, der håndterer dette udstyr på daglig basis, er kritisk, bør informationssikkerhedschefen bære ansvaret for overholdelse af kontrol 7.13.
Kontrol 7.13 lister 11 specifikke anbefalinger, som organisationer skal overveje:
Kontrol 7.13 angiver, at følgende betragtes som udstyr og falder ind under kontrol 7.13:s anvendelsesområde:
27002: 2022 / 7.13 erstatter 27002:2013/(11.2.4)
Sammenlignet med 2013-versionen stiller Control 7.13 i 2022-versionen mere omfattende krav. Mens 2013-versionen kun anførte seks specifikke krav, indeholder Control 7.13 11 krav.
Kontrol 7.13 introducerer de fem følgende krav, som ikke blev behandlet i 2013-versionen:
I den supplerende vejledning definerer kontrol 7.13, hvad der falder ind under 'Udstyr'. I modsætning hertil henviste 2013-versionen ikke til betydningen af "udstyr".
ISMS.Online giver dig mulighed for at:
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |