ISO 27002, Kontrol 7.4 - Fysisk sikkerhedsovervågning

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Formål med kontrol 7.4

Kontrol 7.4 er en ny type kontrol, der kræver, at organisationer opdager og forebygger eksternt og internt ubudne gæster, der kommer ind på afspærrede fysiske områder uden tilladelse ved at sætte passende overvågningsværktøjer på plads.

Disse overvågningsværktøjer overvåger og registrerer konstant adgangsbegrænsede områder og beskytter organisationen mod risici, der kan opstå som følge af uautoriseret adgang, herunder men ikke begrænset til:

Tyveri af følsomme data.
Tab af informationsaktiver.
Økonomisk skade.
Tyveri af flytbare medieaktiver til ondsindet brug.
Infektion af it-aktiver med malware.
Ransomware-angreb, der kan udføres af en ubuden gæst.

Attributtabel med kontrolelementer 7.4

Kontrol 7.4 er detektiv og forebyggende. Det gør det muligt for organisationer at bevare integriteten, fortroligheden, tilgængeligheden og sikkerhed for følsomme data og kritiske informationsaktiver ved løbende at overvåge adgangen til afspærrede lokaler.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Fysisk sikkerhed	#Beskyttelse
#Detektiv	#Integritet	#Opdage		#Forsvar
	#Tilgængelighed

Ejerskab af kontrol 7.4

Overholdelse af kontrol 7.4 kræver identifikation af alle områder med begrænsninger og bestemmelse af overvågningsværktøjer, der er passende for det relevante fysiske område.

Derfor bør sikkerhedschefer være ansvarlige for korrekt implementering, vedligeholdelse, styring og gennemgang af overvågningssystemer.

Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Generel vejledning om, hvordan man overholder

Kontrol 7.4 kræver, at organisationer implementerer disse tre trin for at opdage og forhindre uautoriseret adgang til faciliteter, der er vært for kritiske informationsaktiver:

Trin 1: Indsæt et videoovervågningssystem

Organisationer bør have et videoovervågningssystem, f.eks. et CCTV-kamera, på plads til løbende at overvåge adgangen til begrænsede områder, som er vært for kritiske informationsaktiver. Desuden bør dette overvågningssystem føre et register over alle indrejser til de fysiske lokaler.

Trin 2: Installer detektorer for at udløse en alarm

Udløs en alarm, når en ubuden gæst får adgang til fysiske lokaler, gør det muligt for sikkerhedsteamet at reagere hurtigt på sikkerhedsbrud. Ydermere kan det også være effektivt til at afskrække ubuden gæst.

Organisationer bør bruge bevægelses-, lyd- og kontaktdetektorer, der udløser en alarm, når der opdages en usædvanlig aktivitet i de fysiske lokaler.

Især:

Der skal installeres en kontaktdetektor, og den skal udløse en alarm, når en ukendt genstand/person kommer i kontakt med en genstand eller bryder kontakten med en genstand. For eksempel kan en kontaktdetektor konfigureres til at udløse en alarm, når et vindue eller en dør bliver kontaktet.
Bevægelsesdetektorer kan programmeres til at starte en alarm, når bevægelsen af et objekt registreres inden for deres synsfelt.
Lyddetektorer såsom knuseglasdetektorer kan aktiveres, når der detekteres en lyd.
Trin 3: Konfiguration af alarmer for at beskytte alle interne lokaler

Det tredje overholdelsestrin kræver konfiguration af alarmsystemet for at sikre, at alle følsomme områder, herunder alle udvendige døre, vinduer, ubesatte områder og computerrum er inden for alarmsystemets rækkevidde, så der ikke er en sårbarhed, der kan udnyttes.

For eksempel, hvis lokaler som rygeområder eller endda indgange til fitnesscentre ikke er overvåget, kan disse blive brugt som angrebsvektorer af ubudne gæster.

Typer af overvågningssystemer

Selvom Control 7.4 ikke angiver, at organisationer skal vælge og implementere et specifikt overvågningssystem frem for andre alternativer, oplister den en række overvågningsværktøjer, der kan bruges separat eller i kombination med andre:

CCTV-kameraer
Sikkerhedsvagter
Sikkerhedsalarmer til ubudne gæster
Software værktøjer til fysisk sikkerhedsstyring

Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo

Supplerende vejledning om kontrol 7.4

Kontrol 7.4 fremhæver, at organisationer bør tage følgende i betragtning, når de implementerer fysiske sikkerhedsovervågningssystemer:

Overvågningssystemernes design og indre funktion bør holdes fortroligt.
Passende foranstaltninger bør gennemføres for at forhindre offentliggørelse af overvågning aktiviteter og videofeeds til uautoriserede parter og for at eliminere risikoen for fjerndeaktivering af overvågningssystemerne af ondsindede parter.
Alarmcentralerne bør placeres i en alarmzone, og der skal være en sikker og nem udgangsvej for den, der udløser alarmen.
Alle anvendte detektorer og de anvendte alarmcentraler skal være manipulationssikre.
Overvågning og registrering af enkeltpersoner via overvågningssystemer, selv når det er til legitime formål, bør være i overensstemmelse med alle gældende love og regler, især databeskyttelseslove. For eksempel EU og UK GDPR kan kræve, at organisationer foretager en konsekvensanalyse, inden de udsendes CCTV-kameraer. Desuden bør optagelsen af videofeeds overholde de dataopbevaringsperioder, der er fastsat i den gældende lokale lovgivning.

Ændringer og forskelle fra ISO 27002:2013

Kontrol 7.4 er a ny kontrol der ikke blev behandlet i ISO 27002:2013 i enhver kapacitet.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISMS.online platform leverer en række kraftfulde værktøjer, der forenkler den måde, hvorpå du kan dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27002.

Den omfattende pakke af værktøjer giver dig ét centralt sted, hvor du kan skabe et skræddersyet sæt politikker og procedurer, der stemmer overens med din organisations specifikke risici og behov. Det giver også mulighed for samarbejde mellem kolleger såvel som eksterne partnere såsom leverandører eller tredjepartsrevisorer.

Kontakt i dag for book en demo.

ISO 27002:2022 – Kontrol 7.4 – Fysisk sikkerhedsovervågning