Beskyttelse af din organisation mod fysiske og miljømæssige trusler
Trusler mod informationsaktiver er ikke kun digitale: En organisations kritiske fysiske infrastruktur, der hoster informationsaktiver, er også udsat for miljømæssige og fysiske trusler, der kan resultere i tab, ødelæggelse, tyveri og kompromittering af informationsaktiver og følsomme data.
Disse trusler kan omfatte naturbegivenheder såsom jordskælv, oversvømmelser og naturbrande. De kan også omfatte menneskeskabte katastrofer såsom civile uroligheder og kriminelle aktiviteter.
Kontrol 7.5 omhandler, hvordan organisationer kan vurdere, identificere og afbøde risici for kritisk fysisk infrastruktur på grund af fysiske og miljømæssige trusler.
Formål med kontrol 7.5
Kontrol 7.5 gør det muligt for organisationer at måle potentielle negative virkninger af miljømæssige og fysiske trusler og at afbøde og/eller eliminere disse virkninger ved at indføre passende foranstaltninger.
Attributter Kontroltabel 7.5
Kontrol 7.5 er en forebyggende form for kontrol, der kræver, at organisationer eliminerer og/eller afbøder konsekvenserne som sandsynligvis vil opstå som følge af eksterne risici såsom naturkatastrofer og menneskeskabte hændelser.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Fysisk sikkerhed | #Beskyttelse |
| #Integritet | ||||
| #Tilgængelighed |
Ejerskab af kontrol 7.5
Kontrol 7.5 kræver, at organisationer foretage en dybdegående risikovurdering før påbegyndelse af operationer på en fysisk lokalitet og for at implementere nødvendige foranstaltninger, der står i et rimeligt forhold til det identificerede risikoniveau.
Sikkerhedschefer bør derfor være ansvarlige for oprettelse, styring, implementering og gennemgang af hele processen.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om overholdelse
Kontrol 7.5 specificerer en tre-trins proces til at identificere og eliminere risici på grund af fysiske og miljømæssige trusler:
- Trin 1: Gennemfør en risikovurdering
Organisationer bør foretage en risikovurdering at identificere potentielle fysiske og miljømæssige katastrofer, der kan forekomme på hver specifik fysisk forudsætning, og derefter måle de virkninger, der sandsynligvis vil opstå som følge af de identificerede fysiske og miljømæssige trusler.
I betragtning af, at hver fysisk lokalitet og infrastruktur deri vil være underlagt forskellige miljøforhold og fysiske risikofaktorer, vil typen af trussel og risikoniveauet, der identificeres, variere afhængigt af hver lokalitet og dens placering.
For eksempel, mens en lokalitet kan være mest sårbar over for naturbrande, kan en anden lokalitet være placeret i et område, hvor jordskælv forekommer hyppigt.
Et andet kritisk krav, som er opstillet af kontrol 7.5, er, at denne risikovurdering skal udføres inden igangsætning af operationer på en fysisk forudsætning.
- Trin 2: Identificer og implementer kontroller
Baseret på typen af trussel og risikoniveauet identificeret i det første trin, bør organisationer indføre passende kontroller under hensyntagen til de sandsynlige konsekvenser af de miljømæssige og fysiske trusler.
For at illustrere giver Kontrol 7.5 eksempler på kontroller, der kan sættes på plads for følgende trusler:
Fire: Organisationer bør implementere systemer til at udløse alarmer, når en brand opdages, eller for at aktivere brandslukningssystemer, der er i stand til at beskytte lagermedier og informationssystemer mod skader.
Oversvømmelse: Systemer bør implementeres og konfigureres til at detektere oversvømmelser i områder, hvor informationsaktiver er lagret. Ydermere bør værktøj såsom vandpumper være klar til brug i tilfælde af oversvømmelse.
Elektriske overspændinger: Servere og kritiske informationsstyringssystemer skal vedligeholdes og beskyttes mod strømafbrydelser.
Sprængstoffer og våben: Organisationer bør foretage stikprøvekontrol og inspektioner af alle personer, genstande og køretøjer, der kommer ind i lokaler, der er vært for kritisk infrastruktur.
- Trin 3: Overvågning
I betragtning af, at typen af trusler og risikoniveauet kan ændre sig over tid, bør organisationer løbende overvåge risikovurderingerne og genoverveje de kontroller, de implementerede, hvis det er nødvendigt.
Supplerende vejledning
Kontrol 7.5 opregner fire specifikke overvejelser, som organisationer bør tage højde for.
Konsultation med eksperter
Hver specifik type miljømæssig og fysisk trussel, hvad enten det er giftigt affald, jordskælv eller brand, er unik med hensyn til dens natur, de risici, den udgør og de modforanstaltninger, den kræver.
Derfor bør organisationer søge ekspertrådgivning om, hvordan man identificerer eliminering og/eller mindsker risici, der opstår som følge af disse trusler.
Valg af beliggenhed for lokaler
Under hensyntagen til den lokale topografi kan vandstanden og tektoniske bevægelser af den potentielle placering af lokaler hjælpe med at identificere og eliminere risici tidligt.
Endvidere bør organisationer overveje risikoen for menneskeskabte katastrofer i det valgte byområde, såsom politisk uro og kriminel aktivitet.
Ekstra lag af sikkerhed
Ud over de specifikke kontroller, der er implementeret, sikker opbevaring af oplysninger metoder såsom pengeskabe kan tilføje et ekstra lag af sikkerhed mod diasters såsom brand og oversvømmelser.
Forebyggelse af kriminalitet gennem miljødesign
Kontrol 7.5 anbefaler, at organisationer overvejer dette koncept, når de implementerer kontroller for at øge sikkerheden i lokaler. Denne metode kan bruges til at eliminere bytrusler såsom kriminelle aktiviteter, civile uroligheder og terrorisme.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Mens 2013-versionen omhandlede, hvordan organisationer skal indføre passende forebyggende foranstaltninger mod fysiske og miljømæssige trusler, er 2022-versionen meget mere omfattende med hensyn til specifikke overholdelsestrin, som organisationer bør tage.
Overordnet set er der to vigtige forskelle:
- 2022-versionen giver vejledning om overholdelse
2013-versionen indeholdt ingen vejledning om, hvordan organisationer bør identificere og eliminere risici på grund af miljømæssige og fysiske trusler.
2022-versionen beskriver i kontrakt en proces i tre trin, som organisationer skal følge, herunder at udføre en risikovurdering.
- 2022-versionen anbefaler, at organisationer overvejer at implementere et ekstra lag af foranstaltninger
I den supplerende vejledning refererer 2022-versionen til foranstaltninger såsom brug af pengeskabe og kriminalitetsforebyggelse gennem miljødesignkoncepter, der kan bruges til at øge beskyttelsen mod trusler.
2013-versionen omhandlede derimod ikke sådanne yderligere foranstaltninger.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
ISMS.online platform leverer en række kraftfulde værktøjer, der forenkler den måde, hvorpå du kan dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27002.
Den omfattende pakke af værktøjer giver dig ét centralt sted, hvor du kan skabe et skræddersyet sæt af politikker og procedurer, der stemmer overens med dine organisationens specifikke risici og behov.
Kontakt i dag for book en demo.
