Sikring af sikker og kompatibel udstyrsvedligeholdelse under ISO 27002 kontrol 7.13
It-udstyr såsom servere, bærbare computere, netværksenheder og printere er afgørende for mange informationsbehandlingsoperationer såsom lagring, brug og overførsel af informationsaktiver.
Men hvis dette udstyr ikke vedligeholdes under hensyntagen til produktspecifikationer og miljørisici, kan det forringes i kvalitet og ydeevne. Denne mangel på vedligeholdelse kan resultere i kompromittering af tilgængelighed, integritet og fortrolighed af informationsaktiver opbevaret på dette udstyr.
For eksempel, hvis en organisation ikke udfører regelmæssig vedligeholdelse af serverhardware, kan den muligvis ikke genkende, at diskpladsen er fuld. Dette kan resultere i tab af data, der overføres til eller ud af serveren.
Ydermere kan medarbejdere eller eksterne tjenesteudbydere få adgang til it-udstyr som en del af vedligeholdelsesproceduren, og dette kan også udgøre en risiko for fortroligheden af følsomme oplysninger.
For eksempel kan en ekstern vedligeholdelsestjenesteudbyder få adgang til følsomme oplysninger gemt på bærbare computere eller installere malware i enheder.
Kontrol 7.13 omhandler, hvordan organisationer kan etablere og implementere passende procedurer og foranstaltninger til korrekt vedligeholdelse af udstyr, således at informationsaktiver opbevaret på dette udstyr er ikke kompromitteret.
Formål med kontrol 7.13
Kontrol 7.13 gør det muligt for organisationer at indføre nødvendige tekniske foranstaltninger og procedurer for at udføre korrekte vedligeholdelsesaktiviteter på udstyr, der bruges til at opbevare informationsaktiver.
Disse foranstaltninger og procedurer giver sikkerhed for, at informationsaktiver ikke går tabt eller beskadiges, og de er ikke udsat for risikoen for kompromittering, såsom uautoriseret adgang.
Attributter Kontroltabel 7.13
Kontrol 7.13 er en forebyggende form for kontrol, der kræver, at organisationer tager en proaktiv tilgang til udstyrsvedligeholdelse.
Det indebærer opdagelse af risici, der kan opstå på grund af manglende vedligeholdelse, etablering af udstyrsvedligeholdelsesprocedurer under hensyntagen til hvert udstyrs specifikationer og anvendelse af passende kontroller, der vil beskytte informationsaktiver hostes på dette udstyr mod kompromis.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Fysisk sikkerhed | #Beskyttelse |
| #Integritet | # Asset Management | #Modstandsdygtighed | ||
| #Tilgængelighed |
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af kontrol 7.13
Overholdelse af kontrol 7.13 indebærer oprettelse af en liste over udstyr, at foretage en risikovurdering baseret på miljøfaktorer og produktspecifikationer og etablering og implementering af passende procedurer og foranstaltninger til korrekt vedligeholdelse.
Mens rollen for personer, der håndterer dette udstyr på daglig basis, er kritisk, bør informationssikkerhedschefen bære ansvaret for overholdelse af kontrol 7.13.
Generel vejledning om overholdelse
Kontrol 7.13 lister 11 specifikke anbefalinger, som organisationer skal overveje:
- Vedligeholdelsesprocedurer skal være i overensstemmelse med udstyrsproducentens specifikationer, såsom anbefalet servicefrekvens.
- Organisationer bør etablere og anvende et vedligeholdelsesprogram for alt udstyr.
- Kun autoriseret personale eller tredjeparter bør have tilladelse til at udføre vedligeholdelsesaktiviteter eller reparationer på udstyr.
- Organisationer bør oprette og vedligeholde en fortegnelse over alt udstyrsfejl og fejl. Desuden bør denne registrering også omfatte alle vedligeholdelsesaktiviteter udført på udstyr.
- Organisationer bør anvende passende foranstaltninger under udførelsen af vedligeholdelsen, i betragtning af om vedligeholdelsen udføres af en medarbejder eller en tredjepartstjenesteudbyder. Desuden skal det relevante personale underskrive en fortrolighedsaftale.
- Personale, der udfører vedligeholdelsesarbejdet, bør altid være under opsyn.
- Fjernvedligeholdelsesarbejde bør være underlagt strenge adgangs- og godkendelsesprocedurer.
- Hvis udstyr tages ud af lokaler til vedligeholdelsesarbejde, bør organisationer anvende passende sikkerhedsforanstaltninger i overensstemmelse med kontrol 7.9.
- Organisationer bør overholde alle krav, som stilles af forsikringsudbydere om, hvordan man udfører vedligeholdelse.
- Organisationer bør inspicere udstyr, der har gennemgået vedligeholdelsesarbejde, for at sikre, at det ikke bliver pillet ved og fungerer korrekt.
- Hvis udstyret skal bortskaffes eller genbruges, bør organisationer etablere og implementere passende foranstaltninger og procedurer under hensyntagen til kravene i kontrol 7.14.
Supplerende vejledning om kontrol 7.14
Kontrol 7.13 angiver, at følgende betragtes som udstyr og falder ind under kontrol 7.13:s anvendelsesområde:
- Tekniske komponenter i informationsbehandlingsfaciliteter
- Batterier
- Brandslukkere
- Lifte
- Strømomformere
- Klimaanlæg
- Lignende aktiver
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002: 2022 / 7.13 erstatter 27002:2013/(11.2.4)
2022-versionen indeholder mere omfattende krav
Sammenlignet med 2013-versionen stiller Control 7.13 i 2022-versionen mere omfattende krav. Mens 2013-versionen kun anførte seks specifikke krav, indeholder Control 7.13 11 krav.
Kontrol 7.13 introducerer de fem følgende krav, som ikke blev behandlet i 2013-versionen:
- Organisationer bør etablere og anvende et vedligeholdelsesprogram for alt udstyr.
- Personale, der udfører vedligeholdelsesarbejdet, bør altid være under opsyn.
- Fjernvedligeholdelsesarbejde bør være underlagt strenge adgangs- og godkendelsesprocedurer.
- Hvis udstyret skal bortskaffes eller genbruges, bør organisationer etablere og implementere passende foranstaltninger og procedurer i overensstemmelse med kontrol 7.14.
- Hvis udstyr tages ud af lokaler til vedligeholdelsesarbejde, bør organisationer anvende passende sikkerhedsforanstaltninger i overensstemmelse med kontrol 7.9.
2022-versionen definerer "udstyr"
I den supplerende vejledning definerer kontrol 7.13, hvad der falder ind under 'Udstyr'. I modsætning hertil henviste 2013-versionen ikke til betydningen af "udstyr".
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
ISMS.Online giver dig mulighed for at:
- Dokumenter dine processer. Denne intuitive grænseflade giver dig mulighed for at dokumentere dine processer uden at installere software på din computer eller netværk.
- Automatiser din risikovurderingsproces.
- Demonstrer nemt overholdelse med online rapporter og tjeklister.
- Hold et register over fremskridt, mens du arbejder hen imod certificering.
- ISMS.Online tilbyder et komplet udvalg af funktioner til at hjælpe organisationer og virksomheder med at opnå overholdelse af industristandard ISO 27001 og/eller ISO 27002 ismer.
Kontakt i dag for book en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
