Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 7.7 – Clear Desk og Clear Screen

ISO 27002:2022 Kontrol 7.7 fremhæver vigtigheden af ​​klare skrivebords- og skærmpolitikker for at beskytte følsomme oplysninger ved at sikre, at arbejdsområder og enheder er sikret, når de er uden opsyn. Det lægger vægt på opdaterede krav, herunder låsning af materialer, logning af enheder og brug af automatiske time-outs for at forbedre informationssikkerheden.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

ISO 27002 Kontrol 7.7: Styrkelse af sikkerheden med tydelige skrivebords- og skærmpraksis

Når en medarbejder forlader sin arbejdsstation uden opsyn, vil følsom information indeholdt i digitale og fysiske materialer på hans arbejdsområde blive udsat for en øget risiko for uautoriseret adgang, tab af fortrolighed og beskadigelse.

For eksempel, hvis en medarbejder bruger et kundeforholdsstyringsværktøj, der behandler sundhedsjournaler og efterlader sin computer uden opsyn i en frokostpause, kan ondsindede parter udnytte denne mulighed for at stjæle og misbruge følsomme helbredsdata.

Kontrol 7.7 omhandler, hvordan organisationer kan designe og håndhæve klare skrivebords- og skærmregler for at beskytte og opretholde fortroligheden af ​​følsomme oplysninger på digitale skærme og på papirer.

Formål med kontrol 7.7

Kontrol 7.7 gør det muligt for organisationer at eliminere og/eller mindske risikoen for uautoriseret adgang, brug, beskadigelse eller tab af følsomme oplysninger på skærme og på papirer placeret på medarbejdernes arbejdsstationer, når medarbejderne ikke er til stede.

Attributter Kontroltabel 7.7

Kontrol 7.7 er en forebyggende form for kontrol, der kræver, at organisationer opretholder fortroligheden af ​​informationsaktiver ved at beskrive og håndhæve clear desk og klare skærmregler.

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Beskytte #Fysisk sikkerhed #Beskyttelse


ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Et forspring på 81% fra dag ét

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang


Ejerskab af kontrol 7.7

I betragtning af, at Control 7.7 kræver, at organisationer vedtager og implementerer en politik for clear desk og klar skærm for hele organisationen, bør informationssikkerhedsmedarbejdere være ansvarlige for produktion, vedligeholdelse og håndhævelse af clear desk og klare skærmregler, der gælder på tværs af hele organisationen.

Generel vejledning om overholdelse

Kontrol 7.7 fremhæver, at organisationer bør oprette og håndhæve en emnespecifik politik, der opstiller klare skrivebords- og klare skærmregler.

Desuden oplister Control 7.7 syv specifikke krav, som organisationer bør tage hensyn til, når de etablerer og håndhæver clear desk og clear screen-regler:

  1. Følsom eller kritisk informationsaktiver, der er gemt på digitale eller fysiske genstande, bør låses sikkert når de ikke er i brug, eller når arbejdsstationen, der er vært for disse materialer, er forladt. For eksempel bør genstande som papirjournaler, computere og printere opbevares i sikre møbler såsom et låst eller adgangskodebeskyttet skab eller skuffe.
  2. Enheder, der bruges af medarbejdere, såsom computere, scannere, printere og notebooks, bør beskyttes via sikkerhedsmekanismer, såsom nøglelåse, når de ikke bruges, eller når de efterlades uden opsyn.
  3. Når medarbejdere forlader deres arbejdsplads og efterlader deres enheder uden opsyn, skal de lade deres enheder være logget af, og genaktiveringen af ​​enheden bør kun ske via en brugergodkendelsesmekanisme. Desuden bør automatiske time-out- og log-out-funktioner installeres på alle slutpunktsmedarbejderenheder såsom computere.
  4. Printere bør udformes på en måde, så udskrifter indsamles straks af den person (ophavsmand), der har udskrevet dokumentet. Desuden bør en stærk autentificeringsmekanisme være på plads, så kun ophavsmanden har tilladelse til at indsamle udskriften.
  5. Fysiske materialer og flytbare lagermedier, der indeholder følsomme oplysninger, skal til enhver tid opbevares sikkert. Når de ikke længere er nødvendige, skal de bortskaffes gennem en sikker mekanisme.
  6. Organisationer bør oprette regler for visning af pop-ups på skærme, og disse regler bør kommunikeres til alle relevante medarbejdere. For eksempel kan e-mail- og besked-pop-ups indeholde følsomme oplysninger, og hvis de vises på skærmen under en præsentation eller i et offentligt rum, kan dette kompromittere fortroligheden af ​​følsomme oplysninger.
  7. Følsomme eller kritiske oplysninger, der vises på whiteboards, bør slettes, når de ikke længere er nødvendige.

Supplerende vejledning – kontrol 7.7

Kontrol 7.7 advarer organisationer mod risici, der opstår som følge af forladte faciliteter. Når en organisation forlader en facilitet, skal fysiske og digitale materialer, der tidligere er opbevaret i denne facilitet, være det sikkert fjernet, så følsomme oplysninger er ikke efterladt usikker.

Derfor kræver kontrol 7.7, at organisationer etablerer procedurer for ferie af faciliteter, så alle følsomme informationsaktiver anbragt i det pågældende anlæg bortskaffes sikkert. Disse procedurer kan omfatte at udføre et sidste sweep, så ingen følsomme oplysninger efterlades ubeskyttede.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.7 replaces 27002:2013/(11.2.9)

Der er to væsentlige forskelle mellem 2022- og 2013-versionerne.

  • 2022-versionen henviser ikke til kriterier, der skal tages i betragtning ved etablering og implementering af clear desk og clear screen-regler.

I modsætning til 2022-versionen erklærede 2013-versionen eksplicit, at organisationer bør overveje organisationsdækkende informationsklassifikationsniveauer, juridiske og kontraktlige krav og de typer af risici, som organisationen står over for, når de etablerer en klar skrivebords- og klar skærmpolitik.

ISO 27002:2022 versionhenviser dog ikke til disse elementer.

  • 2022-versionen introducerer nye og mere omfattende krav til det klare skrivebord og klare skærmregler.

I modsætning til 2013-versionen opstiller 2022-versionen følgende krav, som organisationer bør overveje, når de etablerer clear desk og klare skærmregler.

  • Organisationer bør oprette specifikke regler på pop-up-skærme for at bevare fortroligheden af ​​følsomme oplysninger.
  • Følsomme oplysninger skrevet på tavler bør fjernes, når de ikke længere er nødvendige.
  • Medarbejderendepunktsenheder såsom computere bør beskyttes med nøglelåse, når de ikke bruges, eller når de efterlades uden opsyn.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trinvise tjekliste, der guider dig gennem hele processen. Din komplet compliance løsning til ISO/IEC 27002:2022.

  • Op til 81 % fremskridt fra du logger ind
  • Enkel og total compliance-løsning

Kontakt i dag for book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt på krystal

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Efterår 2025
Højtydende, små virksomheder - Efterår 2025 Storbritannien
Regional leder - Efterår 2025 Europa
Regional leder - Efterår 2025 EMEA
Regional leder - Efterår 2025 Storbritannien
Højtydende - Efterår 2025 Europa Mellemmarked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.