Mens skiftet til fjernarbejde og voksende brug af mobile enheder øger medarbejdernes produktivitet og sparer organisationer penge, er brugerens slutpunktsenheder såsom bærbare computere, mobiltelefoner og tablets sårbare over for cybertrusler. Dette skyldes, at cyberkriminelle ofte udnytter disse enheder til at vinde uautoriseret adgang til virksomhedens netværk og kompromittere informationsaktiver.
For eksempel kan cyberkriminelle målrette medarbejdere med et phishing-angreb, overtale medarbejdere til at downloade en malware-vedhæftet fil og derefter bruge denne malware-inficerede brugerendepunktsenhed til at sprede malwaren på tværs af hele virksomhedens netværk. Dette angreb kan resultere i tab af tilgængelighed, integritet eller fortrolighed af informationsaktiver.
Ifølge en undersøgelse udført med 700 it-professionelle, oplevede omkring 70 % af organisationerne kompromittering af informationsaktiver og it-infrastruktur som et resultat af et slutpunktsbruger-enhedsrelateret angreb i 2020.
Kontrol 8.1 omhandler, hvordan organisationer kan etablere, vedligeholde og implementere emnespecifik politik, procedurer og tekniske foranstaltninger for at sikre, at informationsaktiver, der hostes eller behandles på brugerens slutpunktsenheder, ikke kompromitteres, mistes eller stjæles.
Kontrol 8.1 gør det muligt for organisationer at beskytte og vedligeholde sikkerheden, fortroligheden, integriteten og tilgængeligheden af informationsaktiver, der er placeret på eller tilgængelige via slutpunktsbrugerenheder ved at installere passende politikker, procedurer og kontroller.
Kontrol 8.1 er af forebyggende karakter. Det kræver, at organisationer implementerer politikker, procedurer og tekniske foranstaltninger, der gælder for alle brugerens slutpunktsenheder, som hoster eller behandler informationsaktiver, så de ikke bliver kompromitteret, tabt eller stjålet.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | # Asset Management #Informationsbeskyttelse | #Beskyttelse |
I betragtning af, at overholdelse af kontrol 8.1 indebærer oprettelse, vedligeholdelse af og overholdelse af hele organisationens emnespecifikke politik, procedurer og tekniske foranstaltninger, siger chefen informationssikkerhedsansvarlig bør bære ansvaret for overholdelse med kravene i kontrol 8.1.
Kontrol 8.1 kræver, at organisationer opretter en emnespecifik politik, der omhandler, hvordan brugerens slutpunktsenheder skal konfigureres sikkert, og hvordan disse enheder skal håndteres af brugerne.
Alt personale bør informeres om denne politik, og politikken bør dække følgende:
Desuden bemærker den generelle vejledning, at organisationer bør overveje at forbyde opbevaring af følsomme informationsaktiver på brugerens slutpunktsenheder ved at implementere tekniske kontroller.
Disse tekniske kontroller kan omfatte deaktivering af lokale lagerfunktioner såsom SD-kort.
Ved at omsætte disse anbefalinger i praksis bør organisationer ty til Configuration Management som beskrevet i Control 8.9 og bruge automatiserede værktøjer.
Alt personale bør informeres om sikkerhedsforanstaltningerne for brugerens slutpunktsenheder og procedurer, de skal overholde. Desuden burde de være det gjort opmærksom på deres ansvar for at anvende disse foranstaltninger og procedurer.
Organisationer bør instruere personalet i at overholde følgende regler og procedurer:
Endvidere rådes organisationer også til at etablere en særlig procedure for tab eller tyveri af brugerens slutpunktsenheder. Denne procedure bør oprettes under hensyntagen til juridiske, kontraktmæssige og sikkerhedsmæssige krav.
Mens det at tillade personale at bruge deres egne personlige enheder til arbejdsrelaterede formål sparer organisationer penge, udsætter det følsomme informationsaktiver for nye risici.
Kontrol 8.1 lister fem anbefalinger, som organisationer bør overveje, når de tillader medarbejdere at bruge deres egne enheder til arbejdsrelaterede opgaver:
Organisationer bør udvikle og vedligeholde procedurer for:
Når brugerens slutpunktsenheder tages ud af organisationens lokaler, kan informationsaktiver blive udsat for øgede risici for kompromittering. Derfor kan organisationer blive nødt til at etablere forskellige kontroller for enheder, der bruges uden for lokaler.
Desuden advarer Control 8.1 organisationer mod tab af information på grund af to risici relateret til trådløse forbindelser:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
27002:2022/8.1 erstatter 27002:2013/(6.2.1 og 12.2.8)
In i modsætning til 2022-versionen som adresserer brugerens slutpunktsenheder under én kontrol(8.1), indeholdt 2013-versionen to separate kontroller: Mobil enhedspolitik i kontrol 6.2.1 og uovervåget brugerudstyr i kontrol 11.2.8.
Ydermere, mens kontrol 8.1 i 2022-versionen gælder for alle brugerens slutpunktsenheder såsom bærbare computere, tablets og mobiltelefoner, refererede 2013-versionen kun til de mobile enheder.
Mens begge versioner stort set er ens med hensyn til kravene til brugeransvar, indeholder 2022-versionen et yderligere krav:
Sammenlignet med 2013-versionen introducerer kontrol 8.1 i 2022-versionen tre nye krav til brugen af personales private enheder (BYOD):
I lighed med 2013-versionen kræver 2022-versionen også, at organisationer vedtager en emnespecifik politik på brugerens slutpunktsenheder.
Kontrol 8.1 i 2022-versionen er dog mere omfattende, da den indeholder tre nye elementer, der skal inkluderes:
ISMS.Online er den førende ISO 27002-styringssystemsoftware, der understøtter overholdelse af ISO 27002og hjælper virksomheder med at tilpasse deres sikkerhedspolitikker og procedurer med standarden.
Den cloud-baserede platform giver et komplet sæt værktøjer til at hjælpe organisationer med at opsætte en informationssikkerhedsstyringssystem (ISMS) i henhold til ISO 27002.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |