Kontrol 7.14, Sikker bortskaffelse eller genbrug af udstyr

Sikring af sikker bortskaffelse og genbrug af udstyr: ISO 27002 kontrol 7.14 Forklaret

Når it-udstyr såsom eksterne drev, USB-drev, bærbare computere eller printere ikke længere er nødvendige, destrueres de enten fysisk, returneres tilbage til udlejeren, overføres til en tredjepart, genbruges eller stilles til rådighed for genbrug til at udføre andre forretninger. operationer.

I betragtning af at dette udstyr kan indeholde informationsaktiver og licenseret software, bør organisationer sikre, at al information og licenseret software er uigenkaldeligt slettet eller overskrevet, før bortskaffelsen eller genbrugen finder sted. Dette vil hjælpe med at opretholde fortroligheden af oplysningerne i dette udstyr.

Hvis en organisation f.eks. bruger en ekstern udbyder af bortskaffelse af it-aktiver og overfører gamle bærbare computere, printere og eksterne drev til denne udbyder, kan denne tjenesteudbyder få uautoriseret adgang til oplysninger, der er hostet på dette udstyr.

Kontrol 7.14 omhandler hvordan organisationer kan opretholde fortroligheden af de lagrede oplysninger på det udstyr, der skal bortskaffes eller genbruges ved at implementere passende sikkerhedsforanstaltninger og -procedurer.

Formål med kontrol 7.14

Kontrol 7.14 gør det muligt for organisationer at forhindre uautoriseret adgang til følsomme oplysninger ved at bekræfte, at alle oplysninger og licenseret software, der er gemt på udstyr, slettes eller overskrives irreversibelt, før udstyret bortskaffes eller leveres til tredjeparter for at blive genbrugt.

Attributter Kontroltabel 7.14

Kontrol 7.14 er en forebyggende form for kontrol, der kræver, at organisationer opretholder oplysningernes fortrolighed hostes på det udstyr, der vil blive bortskaffet eller indsat for at blive genbrugt ved at etablere og anvende passende procedurer og foranstaltninger til bortskaffelse og genbrug.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Fysisk sikkerhed	#Beskyttelse
			# Asset Management

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo

Ejerskab af kontrol 7.14

Overholdelse af kontrol 7.14 kræver etablering af en organisationsdækkende procedure for databortskaffelse-genbrug, identifikation af alt udstyr og implementering af passende tekniske bortskaffelsesmekanismer og genbrugsproces.

Derfor bør Chief Information Officer være ansvarlig for etablering, implementering og vedligeholdelse af udstyrsbortskaffelse og genbrugsprocedurer og -mekanismer.

Generel vejledning om overholdelse

Kontrol 7.14 angiver fire vigtige overvejelser, som organisationer bør tage i betragtning for overholdelse:

Der bør anlægges en proaktiv tilgang

Inden bortskaffelse finder sted eller udstyret stilles til rådighed for genbrug, skal organisationer bekræfte, om udstyret indeholder evt informationsaktiver og licenseret software og bør sikre, at sådanne oplysninger eller software slettes permanent.

Fysisk ødelæggelse eller uigenkaldelig sletning af oplysninger

Kontrol 7.14 angiver to metoder, hvorved oplysningerne i udstyret kan fjernes sikkert og permanent:

Udstyr, der hoster lagermedieenheder, der indeholder information, bør destrueres fysisk.
Oplysninger, der er gemt på udstyret, skal slettes, overskrives eller destrueres på en måde, der ikke kan genfindes, så ondsindede parter ikke kan få adgang til oplysninger. Organisationer anbefales at se nærmere på kontrol 7.10 på lagermedier og kontrol 8.10 om sletning af oplysninger.

Fjernelse af alle etiketter og markeringer

Komponenter af udstyret og oplysningerne i det kan have etiketter og markeringer, der identificerer organisationen, eller som afslører navnet på aktivejeren, netværket eller det tildelte informationsklassifikationsniveau.

Alle disse etiketter og markeringer bør destrueres uigenkaldeligt.

Fjernelse af kontroller

Under hensyntagen til følgende betingelser kan organisationer vælge at afinstallere alle sikkerhedskontroller såsom adgangsbegrænsninger eller overvågningssystemer, når de forlader faciliteter:

Lejeaftalens vilkår vedrørte betingelser, hvorpå det skal returneres.
Eliminere og mindske risikoen for uautoriseret adgang til følsomme oplysninger af den næste lejer.
Om de eksisterende styringer kan genbruges på næste anlæg.

Supplerende vejledning om kontrol 7.14

Ud over den generelle vejledning indeholder Kontrol 7.14 tre specifikke anbefalinger til organisationer.

Beskadiget udstyr

Når beskadiget udstyr, der indeholder information, sendes til reparation, kan det være udsat for risikoen for uautoriseret adgang fra tredjeparter.

Organisationer bør udføre en risikovurdering under hensyntagen til oplysningernes følsomhedsniveau og overvej, om ødelæggelse af udstyret er en mere bæredygtig mulighed end reparation.

Fuld-disk kryptering

Mens krypteringsteknikken på fuld disk i høj grad minimerer risici for fortroligheden af oplysninger, bør den overholde følgende standarder:

Kryptering er robust, og den dækker alle dele af disken, inklusive slap plads.
Kryptografiske nøgler skal være lange nok til at forhindre brute force-angreb.
Organisationer bør bevare fortroligheden af kryptografiske nøgler. For eksempel bør krypteringsnøglen ikke gemmes på den samme disk.

Overskrivningsværktøjer

Organisationer bør vælge en overskrivningsteknik under hensyntagen til følgende kriterier:

Niveau af informationsklassificering, der er tildelt informationsaktivet.
Type lagringsmedie, hvorpå oplysningerne er gemt.

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.14 replaces 27002:2013/(11.2.7)

Control 7.14 ligner stort set dens modstykke i 2013-versionen. Kontrol 7.14 i 2022-versionen indeholder dog mere omfattende krav i den generelle vejledning.

I modsætning til 2013-versionen introducerer 2022-versionen følgende krav:

Organisationer bør fjerne alle markeringer og etiketter, der identificerer organisationen, netværket og klassifikationsniveauet.
Organisationer bør overveje at fjerne kontroller, der er implementeret på en facilitet, når de forlader denne facilitet.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.7	NY	Trusselsintelligens
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.30	NY	IKT-parathed til forretningskontinuitet
7.4	NY	Fysisk sikkerhedsovervågning
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.16	NY	Overvågning af aktiviteter
8.23	NY	Webfiltrering
8.28	NY	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	NY	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	5.30	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	NY	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	NY	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	NY	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	NY	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISMS.Online er en komplet løsning til ISO 27002 implementering.

Det er et webbaseret system, der giver dig mulighed for at vise, at din informationssikkerhedsstyringssystem (ISMS) er i overensstemmelse med de godkendte standarder ved hjælp af gennemtænkte processer og procedurer og tjeklister.

Kontakt i dag for book en demo.

Vi er førende inden for vores felt