ISO 27002:2022, Kontrol 7.4 – Fysisk sikkerhedsovervågning

ISO 27002:2022 Reviderede kontroller

Book en demo

kulturel, blanding, af, unge, mennesker, der arbejder, i, en, virksomhed

Uautoriseret adgang til begrænsede fysiske områder såsom serverrum og it-udstyrsrum kan resultere i tab af fortrolighed, tilgængelighed, integritet og sikkerhed for informationsaktiver.

Kontrol 7.4 omhandler implementering af passende overvågningssystemer til forhindre uautoriseret adgang af ubudne gæster til følsomme fysiske lokaler.

Formål med kontrol 7.4

Kontrol 7.4 er en ny type kontrol, der kræver, at organisationer opdager og forebygger eksternt og internt ubudne gæster, der kommer ind på afspærrede fysiske områder uden tilladelse ved at sætte passende overvågningsværktøjer på plads.

Disse overvågningsværktøjer overvåger og registrerer konstant adgangsbegrænsede områder og beskytter organisationen mod risici, der kan opstå som følge af uautoriseret adgang, herunder men ikke begrænset til:

  • Tyveri af følsomme data.
  • Tab af informationsaktiver.
  • Økonomisk skade.
  • Tyveri af flytbare medieaktiver til ondsindet brug.
  • Infektion af it-aktiver med malware.
  • Ransomware-angreb, der kan udføres af en ubuden gæst.

Attributter tabel

Kontrol 7.4 er detektiv og forebyggende. Det gør det muligt for organisationer at bevare integriteten, fortroligheden, tilgængeligheden og sikkerhed for følsomme data og kritiske informationsaktiver ved løbende at overvåge adgangen til afspærrede lokaler.

Kontrol typeInformationssikkerhedsegenskaberCybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende
#Detektiv 		#Fortrolighed
#Integritet
#Tilgængelighed		#Beskytte
#Opdage		#Fysisk sikkerhed#Beskyttelse
#Forsvar

Ejerskab af kontrol 7.4

Overholdelse af kontrol 7.4 kræver identifikation af alle områder med begrænsninger og bestemmelse af overvågningsværktøjer, der er passende for det relevante fysiske område.

Derfor bør sikkerhedschefer være ansvarlige for korrekt implementering, vedligeholdelse, styring og gennemgang af overvågningssystemer.

Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Generel vejledning om, hvordan man overholder

Kontrol 7.4 kræver, at organisationer implementerer disse tre trin for at opdage og forhindre uautoriseret adgang til faciliteter, der er vært for kritiske informationsaktiver:

  • Trin 1: Indsæt et videoovervågningssystem

Organisationer bør have et videoovervågningssystem, f.eks. et CCTV-kamera, på plads til løbende at overvåge adgangen til begrænsede områder, som er vært for kritiske informationsaktiver. Desuden bør dette overvågningssystem føre et register over alle indrejser til de fysiske lokaler.

  • Trin 2: Installer detektorer for at udløse en alarm

Udløs en alarm, når en ubuden gæst får adgang til fysiske lokaler, gør det muligt for sikkerhedsteamet at reagere hurtigt på sikkerhedsbrud. Ydermere kan det også være effektivt til at afskrække ubuden gæst.

Organisationer bør bruge bevægelses-, lyd- og kontaktdetektorer, der udløser en alarm, når der opdages en usædvanlig aktivitet i de fysiske lokaler.

Især:

  • Der skal installeres en kontaktdetektor, og den skal udløse en alarm, når en ukendt genstand/person kommer i kontakt med en genstand eller bryder kontakten med en genstand. For eksempel kan en kontaktdetektor konfigureres til at udløse en alarm, når et vindue eller en dør bliver kontaktet.

  • Bevægelsesdetektorer kan programmeres til at starte en alarm, når bevægelsen af ​​et objekt registreres inden for deres synsfelt.

  • Lyddetektorer såsom knuseglasdetektorer kan aktiveres, når der detekteres en lyd.
  • Trin 3: Konfiguration af alarmer for at beskytte alle interne lokaler

Det tredje overholdelsestrin kræver konfiguration af alarmsystemet for at sikre, at alle følsomme områder, herunder alle udvendige døre, vinduer, ubesatte områder og computerrum er inden for alarmsystemets rækkevidde, så der ikke er en sårbarhed, der kan udnyttes.

For eksempel, hvis lokaler som rygeområder eller endda indgange til fitnesscentre ikke er overvåget, kan disse blive brugt som angrebsvektorer af ubudne gæster.

Vores seneste succes med at opnå ISO 27001, 27017 & 27018 certificering skyldtes i høj grad ISMS.online.

Karen Burton
Sikkerhedsanalytiker, Trives med sundhed

Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Typer af overvågningssystemer

Selvom Control 7.4 ikke angiver, at organisationer skal vælge og implementere et specifikt overvågningssystem frem for andre alternativer, oplister den en række overvågningsværktøjer, der kan bruges separat eller i kombination med andre:

  • CCTV-kameraer
  • Sikkerhedsvagter
  • Sikkerhedsalarmer til ubudne gæster
  • Software værktøjer til fysisk sikkerhedsstyring

Supplerende vejledning om kontrol 7.4

Kontrol 7.4 fremhæver, at organisationer bør tage følgende i betragtning, når de implementerer fysiske sikkerhedsovervågningssystemer:

  • Overvågningssystemernes design og indre funktion bør holdes fortroligt.

  • Passende foranstaltninger bør gennemføres for at forhindre offentliggørelse af overvågning aktiviteter og videofeeds til uautoriserede parter og for at eliminere risikoen for fjerndeaktivering af overvågningssystemerne af ondsindede parter.

  • Alarmcentralerne bør placeres i en alarmzone, og der skal være en sikker og nem udgangsvej for den, der udløser alarmen.

  • Alle anvendte detektorer og de anvendte alarmcentraler skal være manipulationssikre.

  • Overvågning og registrering af enkeltpersoner via overvågningssystemer, selv når det er til legitime formål, bør være i overensstemmelse med alle gældende love og regler, især databeskyttelseslove. For eksempel EU og UK GDPR kan kræve, at organisationer foretager en konsekvensanalyse, inden de udsendes CCTV-kameraer. Desuden bør optagelsen af ​​videofeeds overholde de dataopbevaringsperioder, der er fastsat i den gældende lokale lovgivning.

Ændringer og forskelle fra ISO 27002:2013

Kontrol 7.4 er a ny kontrol der ikke blev behandlet i ISO 27002:2013 i enhver kapacitet.

Hvordan ISMS.online hjælper

ISMS.online platform leverer en række kraftfulde værktøjer, der forenkler den måde, hvorpå du kan dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27002.

Den omfattende pakke af værktøjer giver dig ét centralt sted, hvor du kan skabe et skræddersyet sæt politikker og procedurer, der stemmer overens med din organisations specifikke risici og behov. Det giver også mulighed for samarbejde mellem kolleger såvel som eksterne partnere såsom leverandører eller tredjepartsrevisorer.

Kontakt i dag for book en demo.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere