Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 8.1 – User Endpoint Devices

ISO 27002 Control 8.1 fokuserer på at sikre brugerens slutpunktsenheder (f.eks. bærbare computere, smartphones) for at beskytte følsomme oplysninger mod kompromittering, tyveri eller tab ved at implementere sikkerhedspolitikker, tekniske kontroller og brugerbevidsthedsprogrammer.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

Sikring af brugerendepunktsenheder: ISO 27002 kontrol 8.1 Forklaret

Mens skiftet til fjernarbejde og voksende brug af mobile enheder øger medarbejdernes produktivitet og sparer organisationer penge, er brugerens slutpunktsenheder såsom bærbare computere, mobiltelefoner og tablets sårbare over for cybertrusler. Dette skyldes, at cyberkriminelle ofte udnytter disse enheder til at vinde uautoriseret adgang til virksomhedens netværk og kompromittere informationsaktiver.

For eksempel kan cyberkriminelle målrette medarbejdere med et phishing-angreb, overtale medarbejdere til at downloade en malware-vedhæftet fil og derefter bruge denne malware-inficerede brugerendepunktsenhed til at sprede malwaren på tværs af hele virksomhedens netværk. Dette angreb kan resultere i tab af tilgængelighed, integritet eller fortrolighed af informationsaktiver.

Ifølge en undersøgelse udført med 700 it-professionelle, oplevede omkring 70 % af organisationerne kompromittering af informationsaktiver og it-infrastruktur som et resultat af et slutpunktsbruger-enhedsrelateret angreb i 2020.

Kontrol 8.1 omhandler, hvordan organisationer kan etablere, vedligeholde og implementere emnespecifik politik, procedurer og tekniske foranstaltninger for at sikre, at informationsaktiver, der hostes eller behandles på brugerens slutpunktsenheder, ikke kompromitteres, mistes eller stjæles.

Formål med kontrol 8.1

Kontrol 8.1 gør det muligt for organisationer at beskytte og vedligeholde sikkerheden, fortroligheden, integriteten og tilgængeligheden af ​​informationsaktiver, der er placeret på eller tilgængelige via slutpunktsbrugerenheder ved at installere passende politikker, procedurer og kontroller.

Attributter Kontroltabel 8.1

Kontrol 8.1 er af forebyggende karakter. Det kræver, at organisationer implementerer politikker, procedurer og tekniske foranstaltninger, der gælder for alle brugerens slutpunktsenheder, som hoster eller behandler informationsaktiver, så de ikke bliver kompromitteret, tabt eller stjålet.

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Beskytte # Asset Management #Beskyttelse
#Integritet #Informationsbeskyttelse
#Tilgængelighed


ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Et forspring på 81% fra dag ét

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang


Ejerskab af kontrol 8.1

I betragtning af, at overholdelse af kontrol 8.1 indebærer oprettelse, vedligeholdelse af og overholdelse af hele organisationens emnespecifikke politik, procedurer og tekniske foranstaltninger, siger chefen informationssikkerhedsansvarlig bør bære ansvaret for overholdelse med kravene i kontrol 8.1.

Generel vejledning om overholdelse

Kontrol 8.1 kræver, at organisationer opretter en emnespecifik politik, der omhandler, hvordan brugerens slutpunktsenheder skal konfigureres sikkert, og hvordan disse enheder skal håndteres af brugerne.

Alt personale bør informeres om denne politik, og politikken bør dække følgende:

  • Hvilken type information, især på hvilket klassifikationsniveau, kan behandles, lagres eller bruges i brugerens slutpunktsenheder.
  • Hvordan enhederne skal registreres.
  • Krav til fysisk beskyttelse af enheder.
  • Begrænsninger for installation af softwareprogrammer på enheder.
  • Regler om installation af software på enhederne og om softwareopdateringer.
  • Regler for, hvordan brugerens slutpunktsenheder kan tilsluttes offentlige netværk eller til netværk på andre off-site lokaler.
  • Adgangskontrol.
  • Kryptering af lagermediet, der hoster informationsaktiver.
  • Hvordan enheder bliver beskyttet mod malwareangreb.
  • Hvordan enheder kan deaktiveres eller låses ude. Hvordan information indeholdt i enhederne kan slettes eksternt.
  • Back-up metoder og procedurer.
  • Regler for brug af webapplikationer og tjenester.
  • Analyse af slutbrugeres adfærd.
  • Hvordan flytbare lagermedier såsom USB-drev kan bruges, og hvordan fysiske porte såsom USB-porte kan deaktiveres.
  • Hvordan adskillelseskapaciteter kan bruges til at adskille organisationens information aktiver fra andre aktiver gemt på brugerenheden.

Desuden bemærker den generelle vejledning, at organisationer bør overveje at forbyde opbevaring af følsomme informationsaktiver på brugerens slutpunktsenheder ved at implementere tekniske kontroller.

Disse tekniske kontroller kan omfatte deaktivering af lokale lagerfunktioner såsom SD-kort.

Ved at omsætte disse anbefalinger i praksis bør organisationer ty til Configuration Management som beskrevet i Control 8.9 og bruge automatiserede værktøjer.

Supplerende vejledning om brugeransvar

Alt personale bør informeres om sikkerhedsforanstaltningerne for brugerens slutpunktsenheder og procedurer, de skal overholde. Desuden burde de være det gjort opmærksom på deres ansvar for at anvende disse foranstaltninger og procedurer.

Organisationer bør instruere personalet i at overholde følgende regler og procedurer:

  • Når en tjeneste ikke længere er påkrævet, eller når en session slutter, skal brugere logge ud af session og afslutte tjenester.
  • Personale bør ikke efterlade deres enheder uden opsyn. Når enheder ikke er i brug, bør personalet vedligeholde sikkerhed af enhederne mod uautoriseret adgang eller brug ved at anvende fysiske kontroller såsom nøglelåse og ved tekniske kontroller såsom robuste adgangskoder.
  • Personale bør handle med ekstra forsigtighed, når de bruger endepunktsenheder, der indeholder følsomme oplysninger i usikre offentlige områder.
  • Brugerens slutpunktsenheder bør beskyttes mod tyveri, især i risikofyldte områder såsom hotelværelser, konferencelokaler eller offentlig transport.

Endvidere rådes organisationer også til at etablere en særlig procedure for tab eller tyveri af brugerens slutpunktsenheder. Denne procedure bør oprettes under hensyntagen til juridiske, kontraktmæssige og sikkerhedsmæssige krav.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Supplerende vejledning om brug af personlige enheder (BYOD)

Mens det at tillade personale at bruge deres egne personlige enheder til arbejdsrelaterede formål sparer organisationer penge, udsætter det følsomme informationsaktiver for nye risici.

Kontrol 8.1 lister fem anbefalinger, som organisationer bør overveje, når de tillader medarbejdere at bruge deres egne enheder til arbejdsrelaterede opgaver:

  1. Der bør være tekniske foranstaltninger såsom softwareværktøjer på plads til at adskille den personlige og forretningsmæssige brug af enhederne, således at organisationens oplysninger er beskyttet.
  2. Personale bør kun have lov til at bruge deres egen enhed, efter at de har accepteret følgende:

    • Personale anerkender deres pligter til fysisk at beskytte enheder og udføre nødvendige softwareopdateringer.
    • Personale accepterer ikke at gøre krav på ejerskab af organisationens informationsaktiver.
    • Personalet accepterer, at oplysninger indeholdt i enheden kan fjernslettes, når enheden mistes eller stjæles, afhængigt af lovkrav til persondata.
  3. Etablering af politikker om ejerskab af intellektuelle ejendomsrettigheder skabt via brug af brugerens slutpunktsenheder.
  4. Hvordan tilgås personalets private enheder i betragtning af de lovbestemte begrænsninger for sådan adgang.
  5. At tillade personale at bruge deres private enheder kan føre til juridisk ansvar på grund af brugen af ​​tredjepartssoftware på disse enheder. Organisationer bør overveje de softwarelicensaftaler, de har med deres leverandører.

Supplerende vejledning om trådløse forbindelser

Organisationer bør udvikle og vedligeholde procedurer for:

Yderligere vejledning om kontrol 8.1

Når brugerens slutpunktsenheder tages ud af organisationens lokaler, kan informationsaktiver blive udsat for øgede risici for kompromittering. Derfor kan organisationer blive nødt til at etablere forskellige kontroller for enheder, der bruges uden for lokaler.

Desuden advarer Control 8.1 organisationer mod tab af information på grund af to risici relateret til trådløse forbindelser:

  • Trådløse forbindelser med lav båndbredde kan resultere i fejl i sikkerhedskopieringen af ​​data.
  • Brugerslutpunktsenheder kan lejlighedsvis blive afbrudt fra det trådløse netværk, og planlagte sikkerhedskopieringer kan mislykkes.


ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.1 erstatter 27002:2013/(6.2.1 og 12.2.8)

Strukturelle forskelle

In i modsætning til 2022-versionen som adresserer brugerens slutpunktsenheder under én kontrol(8.1), indeholdt 2013-versionen to separate kontroller: Mobil enhedspolitik i kontrol 6.2.1 og uovervåget brugerudstyr i kontrol 11.2.8.

Ydermere, mens kontrol 8.1 i 2022-versionen gælder for alle brugerens slutpunktsenheder såsom bærbare computere, tablets og mobiltelefoner, refererede 2013-versionen kun til de mobile enheder.

2022-versionen foreskriver yderligere krav til brugeransvar

Mens begge versioner stort set er ens med hensyn til kravene til brugeransvar, indeholder 2022-versionen et yderligere krav:

  • Personale bør handle med ekstra forsigtighed, når de bruger endepunktsenheder, der indeholder følsomme oplysninger i usikre offentlige områder.

2022-versionen er mere omfattende med hensyn til BYOD

Sammenlignet med 2013-versionen introducerer kontrol 8.1 i 2022-versionen tre nye krav til brugen af ​​personales private enheder (BYOD):

  • Etablering af politikker om ejerskab af intellektuelle ejendomsrettigheder skabt via brug af brugerens slutpunktsenheder.
  • Hvordan tilgås personalets private enheder i betragtning af de lovbestemte begrænsninger for sådan adgang.
  • At tillade personale at bruge deres private enheder kan føre til juridisk ansvar på grund af brugen af ​​tredjepartssoftware på disse enheder. Organisationer bør overveje de softwarelicensaftaler, de har med deres leverandører.

2022-versionen kræver en mere detaljeret emnespecifik politik

I lighed med 2013-versionen kræver 2022-versionen også, at organisationer vedtager en emnespecifik politik på brugerens slutpunktsenheder.

Kontrol 8.1 i 2022-versionen er dog mere omfattende, da den indeholder tre nye elementer, der skal inkluderes:

  1. Analyse af slutbrugeres adfærd.
  2. Hvordan flytbare enheder såsom USB-drev kan bruges, og hvordan fysiske porte såsom USB-porte kan deaktiveres.
  3. Hvordan adskillelseskapaciteter kan bruges til at adskille organisationens information aktiver fra andre aktiver gemt på brugerenheden.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISMS.Online er den førende ISO 27002-styringssystemsoftware, der understøtter overholdelse af ISO 27002og hjælper virksomheder med at tilpasse deres sikkerhedspolitikker og procedurer med standarden.

Den cloud-baserede platform giver et komplet sæt værktøjer til at hjælpe organisationer med at opsætte en informationssikkerhedsstyringssystem (ISMS) i henhold til ISO 27002.

Kontakt i dag for book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.