Kontrol 7.2 dækker organisationers behov for at beskytte sikre områder ved at bruge passende adgangskontroller og adgangspunkter.
Indgangskontroller og adgangspunkter er en afgørende del af enhver bygnings sikkerhedssystem. Det er dem, der gør det muligt for dig at komme ind og ud af din bygning uden at gå på kompromis med dens sikkerhed, og de kan også forhindre uautoriserede eller uønskede personer i at komme ind.
Entry controls er de enheder, der giver dig adgang til en bygning gennem døre eller porte, såsom tastaturer, kortlæsere, biometriske scannere og fobs. De kan også omfatte andre funktioner såsom låsemekanismer til døre og porte, såvel som drejekors eller drejedøre.
Et adgangspunkt er en elektronisk enhed, der giver sikkerhed i store erhvervsbygninger. Den bruger radiofrekvensidentifikation (RFID) teknologi til at spore al bevægelse ind og ud af anlægget. Adgangspunktet sender data tilbage til hovedkvarteret, så sikkerhedspersonalet kan overvåge, hvornår nogen kommer ind eller forlader anlægget, og hvilke områder de tilgår, mens de er der.
Attributter bruges til at klassificere kontroller. Ved at bruge disse kan du nemt matche dit kontrolvalg med regelmæssigt brugte branchesætninger og krav. Attributterne i kontrol 7.2 er som følger.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Fysisk sikkerhed #Identitets- og adgangsstyring | #Beskyttelse |
Kontrol 7.2 sikrer, at der kun sker autoriseret fysisk adgang til organisationens oplysninger og andre tilknyttede aktiver.
Fysisk sikkerhed er af primær betydning, når man beskytter fortroligheden, integriteten og tilgængeligheden af informationsaktiver. Kontrol 7.2 handler primært om at beskytte information og andre tilknyttede aktiver mod uautoriseret adgang, tyveri eller tab. Til dette formål skal passende adgangskontroller og adgangspunkter være på plads for at sikre, at kun autoriserede personer kan få adgang til sikre områder.
Disse kontroller bør udformes, så de giver en rimelig sikkerhed for, at fysisk adgang er begrænset til autoriserede personer, og at disse personer faktisk er dem, de hævder at være.
Dette omfatter brug af låse og nøgler (både manuelle og elektroniske), sikkerhedsvagter, overvågningssystemer og andre barrierer omkring indgange og adgangspunkter. Adgangskontrolsystemer såsom adgangskoder, kortnøgler eller biometriske enheder kan også bruges til at kontrollere adgangen til følsomme områder i anlægget bør også indsættes.
For at opfylde kravene til kontrol 7.2 implementering er organisationer forpligtet til at kontrollere og om muligt isolere adgangspunkter fra informationsbehandlingsfaciliteter såsom leverings- og lasteområder og andre steder, hvor uvedkommende kan komme ind i lokalerne, for at undgå uautoriseret adgang. Disse områder bør kun være begrænset til autoriseret personale.
Der er en del implementeringsvejledninger i ISO 27002 standarddokumentet under kontrol 7.2, der kan tjene som grundlag for at opfylde kravene til denne kontrol. Disse retningslinjer dækker det generelle personale, besøgende og leveringsfolk. Du kan se implementeringsretningslinjerne, når du får adgang til den reviderede version af ISO 27002:2022.
For det første er kontrol 7.2 i ISO 27002:2022 ikke en ny kontrol, men det er en kombination af kontrol 11.1.2 og 11.1.6 i ISO 27002:2013. Disse to kontroller blev revideret i ISO 27002:2022 for at gøre den mere brugervenlig i forhold til ISO 27002:2013.
Kontrol 11.1.2 – Fysisk adgangskontrol, dækker behovet for, at sikre områder skal beskyttes af passende adgangskontroller for at sikre, at kun autoriseret personale har adgang. Som du kan se, dækker kontrol 11.1.2 dybest set fysisk adgangskontrol, og implementeringsvejledningerne i det afsnit af standarden ser på de trin, organisationer kan tage for at sikre, at kun personer, der er autoriseret, kan tillades til specifikke formål.
Det foreskriver også, at passende foranstaltninger såsom to-faktor-autentificering er nødvendige for at få adgang til informationssikkerhedsfølsomme områder for autoriserede personer. Denne adgang bør også understøttes af en fysisk logbog eller elektronisk revisionsspor.
Kontrol 11.1.6 – Leverings- og læsseområder dækker på den anden side kun adgang til leverings- og læsseområder for autoriserede personer. Det anbefales, at dette område udformes på en sådan måde, at det er isoleret fra driftslokaler, således at leveringspersonale ikke kan få adgang til andre dele af bygningen.
Som du kan se, blev disse to anbefalinger slået sammen til én i kontrol 7.2 i den opdaterede version af ISO 27002.
I sidste ende er kontrol 7.2 og kontrol 11.1.2 og 11.1.6 noget ens i sammenhæng. Den primære forskel er, at 11.1.2 og 11.1.6 blev slået sammen for at give mulighed for forbedret brugervenlighed.
Derudover blev der tilføjet en attributtabel og kontrolformål i 2022-versionen af ISO 27002. Disse to elementer er ikke i kontrolelementerne i 2013-versionen.
Kontrol af fysisk adgang anses for at være blandt de vigtigste sikkerhedsforanstaltninger i en virksomhed eller organisation.
Sikkerhedsafdelingen er ansvarlig for alle aspekter af fysisk sikkerhed, herunder adgangskontrol. De kan dog uddelegere beføjelser til en anden afdeling, hvis de føler, at de mangler den ekspertise eller de ressourcer, der er nødvendige for at varetage denne opgave.
IT-teams spiller også en vigtig rolle i fysisk sikkerhed. De er med til at sikre, at de teknologisystemer, der bruges af fysisk sikkerhed, er opdaterede og sikre. For eksempel, hvis du har et indtrængen detektionssystem (IDS) på plads ved din organisations hoveddør, men dens software ikke er blevet opdateret i flere måneder, så vil det ikke gøre meget godt, når en ubuden gæst forsøger at komme forbi det.
Da ISO 27002-standarden kun blev ændret en smule, behøver din organisation ikke at ændre sin informationssikkerhedspraksis ret meget.
Hvis du allerede har en ISO 27001-certificering, vil du opdage, at din nuværende tilgang til informationssikkerhedsstyring opfylder de nye standarder.
Hvis du starter fra bunden, skal du dog sætte dig ind i oplysningerne i den nye standard.
Se venligst vores nye ISO 27002:2022 guide for at lære mere om, hvordan disse ændringer kan påvirke din organisation.
Vores platform giver brugerne adgang til al nødvendig dokumentation og ressourcer såsom politikker, procedurer, standarder, retningslinjer og information relateret til compliance-processer.
ISMS.online platformen er ideel til virksomheder, der har brug for at:
Vores platform giver dig brugerdefinerbare dashboards, der giver dig overblik over din overholdelsesstatus i realtid.
Du kan overvåge og administrere alle aspekter af din ISO 27002-overholdelsesrejse fra ét sted – revisionsstyring, gapanalyse, træningsstyring, risikovurdering osv.
Det giver en nem at bruge, integreret løsning, der kan tilgås 24/7 via enhver enhed med internetforbindelse. Platformen giver alle medarbejdere mulighed for at arbejde problemfrit og sikkert sammen for at håndtere sikkerhedsrisici og spore organisationens overholdelse, samt rejsen mod ISO 27001-certificering.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
