Uautoriseret adgang til begrænsede fysiske områder såsom serverrum og it-udstyrsrum kan resultere i tab af fortrolighed, tilgængelighed, integritet og sikkerhed for informationsaktiver.
Kontrol 7.4 omhandler implementering af passende overvågningssystemer til forhindre uautoriseret adgang af ubudne gæster til følsomme fysiske lokaler.
Kontrol 7.4 er en ny type kontrol, der kræver, at organisationer opdager og forebygger eksternt og internt ubudne gæster, der kommer ind på afspærrede fysiske områder uden tilladelse ved at sætte passende overvågningsværktøjer på plads.
Disse overvågningsværktøjer overvåger og registrerer konstant adgangsbegrænsede områder og beskytter organisationen mod risici, der kan opstå som følge af uautoriseret adgang, herunder men ikke begrænset til:
Kontrol 7.4 er detektiv og forebyggende. Det gør det muligt for organisationer at bevare integriteten, fortroligheden, tilgængeligheden og sikkerhed for følsomme data og kritiske informationsaktiver ved løbende at overvåge adgangen til afspærrede lokaler.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende #Detektiv | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte #Opdage | #Fysisk sikkerhed | #Beskyttelse #Forsvar |
Overholdelse af kontrol 7.4 kræver identifikation af alle områder med begrænsninger og bestemmelse af overvågningsværktøjer, der er passende for det relevante fysiske område.
Derfor bør sikkerhedschefer være ansvarlige for korrekt implementering, vedligeholdelse, styring og gennemgang af overvågningssystemer.
Kontrol 7.4 kræver, at organisationer implementerer disse tre trin for at opdage og forhindre uautoriseret adgang til faciliteter, der er vært for kritiske informationsaktiver:
Organisationer bør have et videoovervågningssystem, f.eks. et CCTV-kamera, på plads til løbende at overvåge adgangen til begrænsede områder, som er vært for kritiske informationsaktiver. Desuden bør dette overvågningssystem føre et register over alle indrejser til de fysiske lokaler.
Udløs en alarm, når en ubuden gæst får adgang til fysiske lokaler, gør det muligt for sikkerhedsteamet at reagere hurtigt på sikkerhedsbrud. Ydermere kan det også være effektivt til at afskrække ubuden gæst.
Organisationer bør bruge bevægelses-, lyd- og kontaktdetektorer, der udløser en alarm, når der opdages en usædvanlig aktivitet i de fysiske lokaler.
Især:
Det tredje overholdelsestrin kræver konfiguration af alarmsystemet for at sikre, at alle følsomme områder, herunder alle udvendige døre, vinduer, ubesatte områder og computerrum er inden for alarmsystemets rækkevidde, så der ikke er en sårbarhed, der kan udnyttes.
For eksempel, hvis lokaler som rygeområder eller endda indgange til fitnesscentre ikke er overvåget, kan disse blive brugt som angrebsvektorer af ubudne gæster.
Vores seneste succes med at opnå ISO 27001, 27017 & 27018 certificering skyldtes i høj grad ISMS.online.
Selvom Control 7.4 ikke angiver, at organisationer skal vælge og implementere et specifikt overvågningssystem frem for andre alternativer, oplister den en række overvågningsværktøjer, der kan bruges separat eller i kombination med andre:
Kontrol 7.4 fremhæver, at organisationer bør tage følgende i betragtning, når de implementerer fysiske sikkerhedsovervågningssystemer:
Kontrol 7.4 er a ny kontrol der ikke blev behandlet i ISO 27002:2013 i enhver kapacitet.
ISMS.online platform leverer en række kraftfulde værktøjer, der forenkler den måde, hvorpå du kan dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27002.
Den omfattende pakke af værktøjer giver dig ét centralt sted, hvor du kan skabe et skræddersyet sæt politikker og procedurer, der stemmer overens med din organisations specifikke risici og behov. Det giver også mulighed for samarbejde mellem kolleger såvel som eksterne partnere såsom leverandører eller tredjepartsrevisorer.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Vi er omkostningseffektive og hurtige