Kontrol 7.8, Udstyrsplacering og beskyttelse

ISO 27002:2022 – Kontrol 7.8 – Udstyrsplacering og beskyttelse

ISO 27002 Kontrol 7.8 skitserer bedste praksis for placering og beskyttelse af udstyr, der sikrer, at it-aktiver er sikret mod fysiske, miljømæssige og uautoriserede adgangsrisici. Det lægger vægt på sikker placering, miljøovervågning og elektromagnetisk beskyttelse for at opretholde informationssikkerheden.

ISO 27002 Kontrol 7.8: Bedste praksis for placering og beskyttelse af udstyr

Mens cybertrusler såsom malwareangreb, SQL-injektion og trafikaflytning bliver mere sofistikerede og udgør en stor risiko for sikkerhed for informationsaktiver.

Risikolandskabet er ikke begrænset til softwarebaserede cyberangreb:

Fysiske og miljømæssige trusler mod it-udstyr såsom servere, computere, harddiske og flytbare lagermedier kan også kompromittere tilgængelighed, fortrolighed og integritet af informationsaktiver.

For eksempel er spild af en drink på en server, en nedlukning af et computersystem på grund af høj temperatur og uautoriseret adgang til et computersystem, der ikke er placeret i et sikkert område, alle eksempler på fysiske trusler mod udstyrshuse informationsaktiver.

Kontrol 7.8 omhandler, hvordan organisationer kan eliminere og afbøde risici som følge af fysiske og miljømæssige trusler til udstyr, der hoster informationsaktiver.

Formål med kontrol 7.8

Kontrol 7.8 gør det muligt for organisationer at eliminere og/eller afbøde to typer risici for udstyr, der indeholder informationsaktiver:

Fysiske og miljømæssige trusler mod udstyr såsom belysning, strømafbrydelser, tyveri, kommunikationsinterferens og elektrisk interferens. Disse trusler omfatter også ændringer i miljøforhold som fugtighed og temperaturniveauer, der kan forstyrre informationsbehandlingsaktiviteterne.
Uautoriseret adgang til, brug af, beskadigelse af og ødelæggelse af udstyr, der ikke er opbevaret i sikre områder.

Attributter Kontroltabel 7.8

Kontrol 7.8 er en forebyggende type kontrol, der kræver, at organisationer opretholder integriteten, tilgængeligheden og fortroligheden af informationsaktiver ved at beskytte udstyr, der indeholder informationsaktiver, mod fysiske og miljømæssige trusler.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Fysisk sikkerhed	#Beskyttelse
	#Integritet		# Asset Management
	#Tilgængelighed

ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang

Ejerskab af kontrol 7.8

Overholdelse af kontrol 7.8 indebærer oprettelse af en opgørelse af udstyr, der hoster informationsaktiver, placering af alt udstyr i sikre områder og implementering af passende foranstaltninger til at forhindre fysiske og miljømæssige trusler.

Derfor, informationssikkerhedsansvarlige bør være ansvarlige for at etablere, implementere og vedligeholde nødvendige foranstaltninger og retningslinjer for sikker placering og beskyttelse af udstyr.

Generel vejledning om overholdelse

Kontrol 7.8 foreskriver ni specifikke krav, der skal tages i betragtning for overholdelse:

Udstyr bør placeres i sikre områder, så uvedkommende ikke kan få adgang til udstyr.
Værktøjer, der bruges til at behandle følsomme oplysninger, såsom computere, skærme og printere, bør placeres på en måde, som uautoriseret personer kan ikke se information vist på skærme uden tilladelse.
Der bør træffes passende foranstaltninger for at eliminere og/eller mindske risici, der opstår som følge af fysiske og miljømæssige trusler, såsom eksplosiver, kommunikationsinterferens, brand, støv og elektromagnetisk stråling.
For eksempel kan en lynafleder være en effektiv kontrol mod lynnedslag.
Retningslinjer for spisning og drikke omkring udstyr bør etableres og kommunikeres til alle relevante parter.
Miljøforhold, der kan forstyrre informationsbehandlingen, bør løbende overvåges. Disse kan omfatte temperatur- og luftfugtighedsniveauer.
Lynbeskyttelsesmekanismer bør implementeres i alle bygninger og kontorer. Ydermere bør lynbeskyttelsesfiltre indbygges i alle indgående elledninger, herunder kommunikationsledninger.
Hvis udstyret er placeret i et industrielt miljø, bør der om nødvendigt anvendes særlige beskyttelseskontroller såsom tastaturmembraner.
Elektromagnetisk udstråling kan resultere i lækage af følsom information. Derfor udstyrshus følsomme eller kritiske informationsaktiver bør sikres for at forhindre en sådan risiko.
It-udstyr, der ejes og kontrolleres af en organisation, bør være klart adskilt fra det, der ikke ejes og kontrolleres af organisationen.

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

Mens 2022- og 2013-versionerne i høj grad ligner hinanden, er der en vigtig forskel, der skal fremhæves:

I modsætning til 2013-versionen introducerer Control 7.8 i 2022-versionen følgende krav:

It-udstyr, der ejes og kontrolleres af en organisation, bør være klart adskilt fra det, der ikke ejes og kontrolleres af organisationen.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.7	NY	Trusselsintelligens
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.30	NY	IKT-parathed til forretningskontinuitet
7.4	NY	Fysisk sikkerhedsovervågning
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.16	NY	Overvågning af aktiviteter
8.23	NY	Webfiltrering
8.28	NY	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	NY	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	5.30	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	NY	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	NY	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	NY	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	NY	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Vores platform er intuitiv og nem at bruge. Det er ikke kun for meget tekniske mennesker; det er for alle i din organisation. Vi opfordrer dig til at involvere medarbejdere på alle niveauer af din virksomhed i processen med at opbygge dit ISMS, fordi det hjælper dig med at opbygge et virkeligt bæredygtigt system.

Nogle af nøglerne fordelene ved at bruge ISMS.online omfatte:

Du kan bygge din ISO 27001 kompatibel ISMS inden for platformen.
Brugere kan udføre opgaver og indsende bevis for at påvise overholdelse af standarden.
Det er nemt at uddelegere ansvar og overvåge fremskridt hen imod overholdelse.
Det omfattende risikovurdering værktøjssæt sparer tid og kræfter under hele processen.
Vi har en dedikeret team af konsulenter klar til at støtte dig gennem hele din rejse til overholdelse.

Kontakt i dag for book en demo.

Vi er førende inden for vores felt