Kontrol 7.3, Sikring af kontorer, lokaler og faciliteter

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Hvad er kontrol 7.3?

Kontrol 7.3 i den nye ISO 27002:2022 dækker behovet for at designe og implementere fysisk sikkerhed for kontorer, lokaler og faciliteter.

Denne kontrol var designet til at tilskynde organisationer til at have passende foranstaltninger på plads for at forhindre uautoriseret adgang til lokaler, kontorer og faciliteter, især hvor informationssikkerhed håndteres, gennem brug af låse, alarmer, sikkerhedsvagter eller andre passende midler for at forhindre information sikkerhedsproblemer.

Fysisk sikkerhed for kontorer, lokaler og faciliteter forklaret

Fysisk sikkerhed er et kritisk element i informationssikkerhed. De to går hånd i hånd og skal betragtes sammen. Informationssikkerhed er beskyttelsen af informations- og informationssystemer mod uautoriseret adgang, brug, offentliggørelse, afbrydelse, ændring eller ødelæggelse.

Fysisk sikkerhed refererer til beskyttelsesforanstaltninger, der træffes for at beskytte personale, faciliteter, udstyr og andre aktiver mod naturlige eller menneskeskabte farer ved at reducere risici relateret til indbrud, sabotage, terrorisme og andre kriminelle handlinger.

Det første trin i fysisk sikkerhed for informationsfølsomme steder er at afgøre, om du har en. Informationsfølsomme steder er lokaler, kontorer og faciliteter, hvor der er computere, der indeholder følsomme data, eller hvor der er personer, der har adgang til følsomme data.

Fysisk sikkerhed kan bl.a.

Låse og nøgler

Låsning af døre, vinduer og skabe; brug af sikkerhedsforseglinger på bærbare computere og mobile enheder; adgangskodebeskyttelse til computere; kryptering af følsomme data.

CCTV

Tv-kameraer med lukket kredsløb er en glimrende måde at overvåge aktivitet omkring lokaler eller i bestemte områder af en bygning.

Indbrudsalarmer

Disse kan aktiveres ved bevægelse, varme eller lyd og bruges til at advare dig om ubudne gæster eller personer, der ikke burde være i et bestemt område (f.eks. en alarm, der lyder, når nogen forsøger at bryde ind på kontoret).

Attributter Kontroltabel 7.3

Attributter giver dig mulighed for hurtigt at matche dit kontrolvalg med typiske branchespecifikationer og terminologi. Følgende kontroller er tilgængelige i kontrol 7.3.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Sikkerhed for leverandørforhold	#Governance og økosystem
	#Integritet			#Beskyttelse
	#Tilgængelighed

Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Hvad er formålet med kontrol 7.3?

Formålet med Kontrol 7.3 er at forhindre uautoriseret fysisk adgang, beskadigelse og indgreb i organisationens informationer og andre tilhørende aktiver i kontorer, lokaler og faciliteter.

Hovedformålet med Kontrol 7.3 er at reducere risikoniveauet for uautoriseret fysisk adgang til kontorer, lokaler og faciliteter til et acceptabelt niveau ved at:

Forhindring af uautoriseret fysisk adgang til kontorer, lokaler og faciliteter af andre personer end autoriseret personale.
Forebyg skader eller indgreb i organisationens informationer og andre tilknyttede aktiver inde i kontorer, lokaler og faciliteter.
Sikring af, at ethvert informationssikkerhedsfølsomt område ikke er påtrængende for at gøre det svært for folk at bestemme deres formål.
Minimering af risikoen for tyveri eller tab af ejendom i kontorer, lokaler og faciliteter.
Sikre, at personer, der har autoriseret fysisk adgang, identificeres (dette kan opnås ved at bruge en kombination af ensartede badges, elektroniske døradgangssystemer og besøgskort).
Hvor det er muligt, bør CCTV eller andre overvågningsenheder bruges til at give sikkerhedsovervågning over nøgleområder såsom ind-/udgange.

Kontrol 7.3 gælder for alle bygninger, der anvendes af organisationen til kontorer eller administrative funktioner. Det gælder også lokaler, hvor fortrolige oplysninger opbevares eller behandles, herunder mødelokaler, hvor følsomme diskussioner finder sted.

Den gælder ikke for receptionsområder eller andre offentlige områder i en organisations lokaler, medmindre de anvendes til administrative formål (f.eks. et receptionsområde, der fungerer som kontor).

Hvad er involveret, og hvordan man opfylder kravene

Styringen 7.3 specificerer, at lokaler og faciliteter skal sikres. Følgende sikkerhedsforanstaltninger kan træffes i henhold til kontrolretningslinjerne i ISO 27002:2022 for at sikre, at lokaler og faciliteter er sikre:

Placering af kritiske faciliteter for at undgå adgang for offentligheden.
Hvor det er relevant, skal det sikres, at bygninger er diskrete og giver mindst mulig indikation af deres formål, uden tydelige tegn uden for eller inde i bygningen, der identificerer tilstedeværelsen af informationsbehandlingsaktiviteter.
Konfiguration af faciliteter for at forhindre fortrolig information eller aktiviteter i at være synlige og hørbare udefra. Elektromagnetisk afskærmning bør også overvejes efter behov.
Ikke at gøre telefonbøger, interne telefonbøger og online tilgængelige kort, der identificerer placeringer af fortrolige informationsbehandlingsfaciliteter, let tilgængelige for enhver uautoriseret person.

Du kan få mere information om, hvad der ligger i at opfylde kravene til kontrollen i ISO 27002:2022 standarddokumentet.

Ændringer og forskelle fra ISO 27002:2013

Oprindeligt udgivet i 2013, blev den reviderede 2022-revision af ISO 27002 udgivet den 15. februar 2022.

Kontrol 7.3 er ikke en ny kontrol. Det henviser til en modificeret version af kontrol 11.1.3 i ISO 27002. En væsentlig forskel mellem 2013 og 2022 versionerne er ændringen i kontrolnummeret. Kontrolnummeret 11.1.3 blev erstattet med 7.3. Bortset fra det er konteksten og betydningen stort set den samme, selvom sætningen er anderledes.

En anden forskel mellem begge kontroller er, at 2022-versionen kommer med en attributtabel og formålserklæring. Disse sektioner er ikke tilgængelige i 2013-versionen.

Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo

Hvem er ansvarlig for denne proces?

Den første, der skal tages i betragtning, når det kommer til sikring af kontorer, lokaler og faciliteter, er den person, der har mest kontrol over den fysiske bygning og dens indhold. Denne person er typisk facility manager eller direktør.

Så er der sikkerhedschefen. Sikkerhedschefen er ansvarlig for at sikre, at alle områder er sikre, herunder kontorpladser og faciliteter. Sikkerhedschefen er også ansvarlig for at holde styr på alle medarbejdere, der har adgang til disse områder, og sørge for, at de bruger deres adgang korrekt.

I nogle tilfælde deler flere personer imidlertid ansvaret for sikkerheden. For eksempel, når en person har adgang til følsomme oplysninger, der kan bruges mod din virksomheds interesser eller andre ansattes personlige liv, er det vigtigt at have flere personer involveret i deres beskyttelse.

En HR-afdeling kan håndtere medarbejderforsikringer og ydelser, mens IT håndterer computersystemer og netværk; begge afdelinger kan være med til at håndtere fysisk sikkerhed såvel som cybersikkerhedsproblemer som phishing-svindel og uautoriserede adgangsforsøg.

Hvad betyder disse ændringer for dig?

Der kræves ingen større ændringer for at overholde den seneste version af ISO 27002.

Du bør dog vurdere din nuværende informationssikkerhedsløsning for at sikre, at den overholder den reviderede standard. Hvis du har foretaget ændringer siden den sidste udgave blev udgivet i 2013, er det værd at gense disse justeringer for at afgøre, om de stadig er relevante, eller om de skal opdateres.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.Online hjælper

Vores platform er udviklet specifikt til dem, der er nye inden for informationssikkerhed eller har brug for en nem måde at lære om ISO 27002 uden at skulle bruge tid på at lære fra bunden eller gennemlæse lange dokumenter.

ISMS.Online er udstyret med alle de værktøjer, der er nødvendige for at opnå overholdelse, inklusive dokumentskabeloner, tjeklister og politikker, som kan tilpasses efter dine behov.

Vil du se, hvordan det fungerer?

Kontakt i dag for book en demo.

ISO 27002:2022 – Kontrol 7.3 – Sikring af kontorer, lokaler og faciliteter