ISO 27002, Kontrol 7.6, Arbejde i sikre områder

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002 Kontrol 7.6: Sikring af sikre områder

Boliger følsomme informationsaktiver i sikre områder såsom sikre serverrum og implementering af streng adgangskontrol er ikke tilstrækkelig til at opretholde sikkerheden for disse aktiver:

Medarbejdere med adgang til sikre lokaler kan bevidst eller uagtsomt forårsage skade på hardwareudstyr og digitale aktiver, der er opbevaret i sikre områder, eller få adgang til, bruge, ødelægge disse informationsaktiver og faciliteter uden tilladelse.

Kontrol 7.6 omhandler hvordan organisationer kan beskytte informationsaktiver opbevares i sikre områder mod de forskellige risici, som personalet, der arbejder i disse områder, udgør.

Formål med kontrol 7.6

Kontrol 7.6 gør det muligt for organisationer at etablere passende sikkerhedsforanstaltninger der gælder for alt personale, der arbejder i sikre områder, så de ikke kan få adgang til, bruge, ændre, ødelægge, beskadige eller forstyrre informationsaktiver eller informationsfaciliteter uden tilladelse.

Attributter Kontroltabel 7.6

Kontrol 7.6 er af forebyggende karakter kræver, at organisationer opretholder sikkerheden, fortrolighed, integritet og tilgængelighed af informationsaktiver, der er placeret i sikre områder ved at eliminere risici, der kan opstå på grund af personalefejl.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Fysisk sikkerhed	#Beskyttelse
	#Integritet
	#Tilgængelighed

Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Ejerskab af kontrol 7.6

I betragtning af, at Control 7.6 kræver, at organisationer designer og indfører sikkerhedsforanstaltninger, der gælder for alle operationer, der udføres i sikre områder, Information Security Officer (ISO) bør være ansvarlig for at skabe, implementere og vedligeholde passende sikkerhedsforanstaltninger under hensyntagen til risikoniveauet for hvert udpeget sikkert område.

Ved udformning og anvendelse af passende sikkerhedskontroller i sikre områder kan Information Security Officer samarbejde med faciliteternes ledelsesteam og ejere af informationsaktiver for at omsætte de tilrettelagte foranstaltninger i praksis.

Generel vejledning om overholdelse

Kontrol 7.6 fremhæver, at sikkerhedsforanstaltninger bør omfatte alt personale, der arbejder i sikre områder, og bør gælde for alle aktiviteter, der udføres i disse områder.

Mens typen og graden af implementerede sikkerhedsforanstaltninger kan variere afhængigt af risikoniveauet for specifikke informationsaktiver, Kontrol 7.6 angiver seks specifikke krav, som organisationer skal overholde:

Organisationer bør informere deres personale om eksistensen af sikre områder og om de specifikke operationer, der udføres i disse områder på et behov-to-know-grundlag.
Ingen personale må have lov til at udføre aktiviteter uden opsyn i de udpegede sikre områder.
Ubesatte sikre områder bør aflåses og bør underkastes periodiske inspektioner.
Brug af optageudstyr, inklusive dem der bruges til at optage lyd, video og billeder, bør være underlagt strenge autorisationsprocedurer.
Transport og brug af slutpunktsbrugerenheder såsom bærbare computere og smartphones i sikre områder bør være underlagt streng kontrol.
Nødprocedurer bør vises på et sted, der er let tilgængeligt for alt personale, der arbejder i sikre områder.

Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.6 replaces 27002:2013/(11.1.5)

Selvom begge versioner til en vis grad ligner hinanden, 2022-versionen er mere omfattende i forhold til kravene til sikkerhedsforanstaltninger, der skal implementeres.

Især introducerer 2022-versionen to nye krav, som organisationer bør tage højde for, når de implementerer sikkerhedsforanstaltninger for sikre områder:

Transport og brug af endepunkts personaleenheder såsom bærbare computere og smartphones i sikre områder bør kun tillades under streng kontrol.
Nødprocedurer bør vises på et fremtrædende sted, der er let tilgængeligt for alt personale, der arbejder i sikre områder.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trinvise tjekliste, der guider dig gennem hele processen, lige fra at definere omfanget af din ismer gennem risikoidentifikation og kontrolimplementering.

Op til 81 % fremgang fra det øjeblik, du logger ind
Enkelt og komplet compliance løsning
Ekspertstøtte

Kontakt i dag for book en demo.

ISO 27002:2022 – Kontrol 7.6 – Arbejde i sikre områder