Kontrol 7.3 i den nye ISO 27002:2022 dækker behovet for at designe og implementere fysisk sikkerhed for kontorer, lokaler og faciliteter.
Denne kontrol var designet til at tilskynde organisationer til at have passende foranstaltninger på plads for at forhindre uautoriseret adgang til lokaler, kontorer og faciliteter, især hvor informationssikkerhed håndteres, gennem brug af låse, alarmer, sikkerhedsvagter eller andre passende midler for at forhindre information sikkerhedsproblemer.
Fysisk sikkerhed er et kritisk element i informationssikkerhed. De to går hånd i hånd og skal betragtes sammen. Informationssikkerhed er beskyttelsen af informations- og informationssystemer mod uautoriseret adgang, brug, offentliggørelse, afbrydelse, ændring eller ødelæggelse.
Fysisk sikkerhed refererer til beskyttelsesforanstaltninger, der træffes for at beskytte personale, faciliteter, udstyr og andre aktiver mod naturlige eller menneskeskabte farer ved at reducere risici relateret til indbrud, sabotage, terrorisme og andre kriminelle handlinger.
Det første trin i fysisk sikkerhed for informationsfølsomme steder er at afgøre, om du har en. Informationsfølsomme steder er lokaler, kontorer og faciliteter, hvor der er computere, der indeholder følsomme data, eller hvor der er personer, der har adgang til følsomme data.
Fysisk sikkerhed kan bl.a.
Låsning af døre, vinduer og skabe; brug af sikkerhedsforseglinger på bærbare computere og mobile enheder; adgangskodebeskyttelse til computere; kryptering af følsomme data.
Tv-kameraer med lukket kredsløb er en glimrende måde at overvåge aktivitet omkring lokaler eller i bestemte områder af en bygning.
Disse kan aktiveres ved bevægelse, varme eller lyd og bruges til at advare dig om ubudne gæster eller personer, der ikke burde være i et bestemt område (f.eks. en alarm, der lyder, når nogen forsøger at bryde ind på kontoret).
Attributter giver dig mulighed for hurtigt at matche dit kontrolvalg med typiske branchespecifikationer og terminologi. Følgende kontroller er tilgængelige i kontrol 7.3.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Sikkerhed for leverandørforhold | #Governance og økosystem #Beskyttelse |
Formålet med Kontrol 7.3 er at forhindre uautoriseret fysisk adgang, beskadigelse og indgreb i organisationens informationer og andre tilhørende aktiver i kontorer, lokaler og faciliteter.
Hovedformålet med Kontrol 7.3 er at reducere risikoniveauet for uautoriseret fysisk adgang til kontorer, lokaler og faciliteter til et acceptabelt niveau ved at:
Kontrol 7.3 gælder for alle bygninger, der anvendes af organisationen til kontorer eller administrative funktioner. Det gælder også lokaler, hvor fortrolige oplysninger opbevares eller behandles, herunder mødelokaler, hvor følsomme diskussioner finder sted.
Den gælder ikke for receptionsområder eller andre offentlige områder i en organisations lokaler, medmindre de anvendes til administrative formål (f.eks. et receptionsområde, der fungerer som kontor).
Styringen 7.3 specificerer, at lokaler og faciliteter skal sikres. Følgende sikkerhedsforanstaltninger kan træffes i henhold til kontrolretningslinjerne i ISO 27002:2022 for at sikre, at lokaler og faciliteter er sikre:
Du kan få mere information om, hvad der ligger i at opfylde kravene til kontrollen i ISO 27002:2022 standarddokumentet.
Oprindeligt udgivet i 2013, blev den reviderede 2022-revision af ISO 27002 udgivet den 15. februar 2022.
Kontrol 7.3 er ikke en ny kontrol. Det henviser til en modificeret version af kontrol 11.1.3 i ISO 27002. En væsentlig forskel mellem 2013 og 2022 versionerne er ændringen i kontrolnummeret. Kontrolnummeret 11.1.3 blev erstattet med 7.3. Bortset fra det er konteksten og betydningen stort set den samme, selvom sætningen er anderledes.
En anden forskel mellem begge kontroller er, at 2022-versionen kommer med en attributtabel og formålserklæring. Disse sektioner er ikke tilgængelige i 2013-versionen.
Den første, der skal tages i betragtning, når det kommer til sikring af kontorer, lokaler og faciliteter, er den person, der har mest kontrol over den fysiske bygning og dens indhold. Denne person er typisk facility manager eller direktør.
Så er der sikkerhedschefen. Sikkerhedschefen er ansvarlig for at sikre, at alle områder er sikre, herunder kontorpladser og faciliteter. Sikkerhedschefen er også ansvarlig for at holde styr på alle medarbejdere, der har adgang til disse områder, og sørge for, at de bruger deres adgang korrekt.
I nogle tilfælde deler flere personer imidlertid ansvaret for sikkerheden. For eksempel, når en person har adgang til følsomme oplysninger, der kan bruges mod din virksomheds interesser eller andre ansattes personlige liv, er det vigtigt at have flere personer involveret i deres beskyttelse.
En HR-afdeling kan håndtere medarbejderforsikringer og ydelser, mens IT håndterer computersystemer og netværk; begge afdelinger kan være med til at håndtere fysisk sikkerhed såvel som cybersikkerhedsproblemer som phishing-svindel og uautoriserede adgangsforsøg.
Der kræves ingen større ændringer for at overholde den seneste version af ISO 27002.
Du bør dog vurdere din nuværende informationssikkerhedsløsning for at sikre, at den overholder den reviderede standard. Hvis du har foretaget ændringer siden den sidste udgave blev udgivet i 2013, er det værd at gense disse justeringer for at afgøre, om de stadig er relevante, eller om de skal opdateres.
Vores platform er udviklet specifikt til dem, der er nye inden for informationssikkerhed eller har brug for en nem måde at lære om ISO 27002 uden at skulle bruge tid på at lære fra bunden eller gennemlæse lange dokumenter.
ISMS.Online er udstyret med alle de værktøjer, der er nødvendige for at opnå overholdelse, inklusive dokumentskabeloner, tjeklister og politikker, som kan tilpasses efter dine behov.
Vil du se, hvordan det fungerer?
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
