Når it-udstyr såsom eksterne drev, USB-drev, bærbare computere eller printere ikke længere er nødvendige, destrueres de enten fysisk, returneres tilbage til udlejeren, overføres til en tredjepart, genbruges eller stilles til rådighed for genbrug til at udføre andre forretninger. operationer.
I betragtning af at dette udstyr kan indeholde informationsaktiver og licenseret software, bør organisationer sikre, at al information og licenseret software er uigenkaldeligt slettet eller overskrevet, før bortskaffelsen eller genbrugen finder sted. Dette vil hjælpe med at opretholde fortroligheden af oplysningerne i dette udstyr.
Hvis en organisation f.eks. bruger en ekstern udbyder af bortskaffelse af it-aktiver og overfører gamle bærbare computere, printere og eksterne drev til denne udbyder, kan denne tjenesteudbyder få uautoriseret adgang til oplysninger, der er hostet på dette udstyr.
Kontrol 7.14 omhandler hvordan organisationer kan opretholde fortroligheden af de lagrede oplysninger på det udstyr, der skal bortskaffes eller genbruges ved at implementere passende sikkerhedsforanstaltninger og -procedurer.
Kontrol 7.14 gør det muligt for organisationer at forhindre uautoriseret adgang til følsomme oplysninger ved at bekræfte, at alle oplysninger og licenseret software, der er gemt på udstyr, slettes eller overskrives irreversibelt, før udstyret bortskaffes eller leveres til tredjeparter for at blive genbrugt.
Kontrol 7.14 er en forebyggende form for kontrol, der kræver, at organisationer opretholder oplysningernes fortrolighed hostes på det udstyr, der vil blive bortskaffet eller indsat for at blive genbrugt ved at etablere og anvende passende procedurer og foranstaltninger til bortskaffelse og genbrug.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed | #Beskytte | #Fysisk sikkerhed # Asset Management | #Beskyttelse |
Overholdelse af kontrol 7.14 kræver etablering af en organisationsdækkende procedure for databortskaffelse-genbrug, identifikation af alt udstyr og implementering af passende tekniske bortskaffelsesmekanismer og genbrugsproces.
Derfor bør Chief Information Officer være ansvarlig for etablering, implementering og vedligeholdelse af udstyrsbortskaffelse og genbrugsprocedurer og -mekanismer.
Kontrol 7.14 angiver fire vigtige overvejelser, som organisationer bør tage i betragtning for overholdelse:
Inden bortskaffelse finder sted eller udstyret stilles til rådighed for genbrug, skal organisationer bekræfte, om udstyret indeholder evt informationsaktiver og licenseret software og bør sikre, at sådanne oplysninger eller software slettes permanent.
Kontrol 7.14 angiver to metoder, hvorved oplysningerne i udstyret kan fjernes sikkert og permanent:
Komponenter af udstyret og oplysningerne i det kan have etiketter og markeringer, der identificerer organisationen, eller som afslører navnet på aktivejeren, netværket eller det tildelte informationsklassifikationsniveau.
Alle disse etiketter og markeringer bør destrueres uigenkaldeligt.
Under hensyntagen til følgende betingelser kan organisationer vælge at afinstallere alle sikkerhedskontroller såsom adgangsbegrænsninger eller overvågningssystemer, når de forlader faciliteter:
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Ud over den generelle vejledning indeholder Kontrol 7.14 tre specifikke anbefalinger til organisationer.
Når beskadiget udstyr, der indeholder information, sendes til reparation, kan det være udsat for risikoen for uautoriseret adgang fra tredjeparter.
Organisationer bør udføre en risikovurdering under hensyntagen til oplysningernes følsomhedsniveau og overvej, om ødelæggelse af udstyret er en mere bæredygtig mulighed end reparation.
Mens krypteringsteknikken på fuld disk i høj grad minimerer risici for fortroligheden af oplysninger, bør den overholde følgende standarder:
Organisationer bør vælge en overskrivningsteknik under hensyntagen til følgende kriterier:
27002:2022/7.14 replaces 27002:2013/(11.2.7)
Control 7.14 ligner stort set dens modstykke i 2013-versionen. Kontrol 7.14 i 2022-versionen indeholder dog mere omfattende krav i den generelle vejledning.
I modsætning til 2013-versionen introducerer 2022-versionen følgende krav:
ISMS.Online er en komplet løsning til ISO 27002 implementering.
Det er et webbaseret system, der giver dig mulighed for at vise, at din informationssikkerhedsstyringssystem (ISMS) er i overensstemmelse med de godkendte standarder ved hjælp af gennemtænkte processer og procedurer og tjeklister.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |