Overholdelse af ISO 27701: Håndtering af mobile enheder og fjernarbejdsrisici
Mobile enheder og fjernarbejde er hurtigt ved at blive en del af den moderne arbejdsplads.
Organisationens behov for at sikre, at alle former for enheder er dækket af en generel slutbrugerenhedspolitik, der tager hensyn til enhedens art, hvordan den vil blive brugt i forbindelse med PII, hvordan den administreres af organisationen og hvad slutbrugerens forpligtelser mens du bruger enheden.
ISO beder organisationer om at kategorisere endpoint-enheder på to måder:
- Enheder, der skal bruges inden for rammerne af organisationens netværk og fysiske lokaler.
- Enheder, der bruges både i og uden for organisationens LAN og fysiske lokaler.
Hvad er dækket af ISO 27701 klausul 6.3.2
Klausul 6.3.2 dækker to nøgleaspekter af det, der tidligere var kendt som 'teleworking', men er nu mere almindeligt kendt som 'remote working' – enhedshåndtering og generaliserede fjernarbejdsprincipper.
Klausul 6.3.2 opdeler disse i to underklausuler, der indeholder vejledning fra to forbundne underklausuler, der omhandler organisatorisk datasikkerhed i ISO 27002:
- ISO 27701 6.3.2.1 – Mobile enheder og fjernarbejde (Referencer ISO 27002 kontrol 8.1)
- ISO 27701 6.3.2.2 – Fjernarbejde (Referencer ISO 27002 kontrol 6.7)
Underafsnit 6.3.2.1 indeholder yderligere vejledning om de relevante områder af GDPR-lovgivningen.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Ingen af underklausulerne indeholder yderligere vejledning til etablering eller vedligeholdelse af et PIMS inden for rammerne af fjernarbejde eller administration af brugerenheder.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 6.3.2.1 – Politikker for mobilenheder
Referencer ISO 27002 Kontrol 8.1
Organisationer bør implementere emnespecifikke politikker, der omhandler forskellige kategorier af slutpunktsenheder og softwareversioner til mobilenheder, og hvordan sikkerhedskontrol bør skræddersyes til at forbedre datasikkerheden.
En organisations politik for mobilenheder, procedurer og understøttende sikkerhedsforanstaltninger bør tage hensyn til:
- De forskellige kategorier af data, som enheden både kan behandle og gemme.
- Hvordan enheder registreres og identificeres på netværket.
- Hvordan enheder bliver fysisk beskyttet.
- Eventuelle begrænsninger for applikationer og softwareinstallationer.
- Fjernstyring, inklusive opdateringer og patches.
- Brugeradgangskontrol, inklusive RBAC, hvis det kræves.
- Kryptering.
- Antimalware modforanstaltninger (administreret eller ikke-administreret).
- BUDR.
- Browserbegrænsninger.
- Brugeranalyse (se ISO 27002 kontrol 8.16).
- Installation, brug og fjernstyring af flytbare lagerenheder eller flytbare perifere enheder.
- Sådan adskilles data på enheden, så PII er opdelt fra standard enhedsdata (inklusive brugerens personlige data). Dette omfatter overvejelser om, hvorvidt det er hensigtsmæssigt at gemme nogen form for organisatoriske data på den fysiske enhed i stedet for at bruge enheden til at give online adgang til den.
- Hvad sker der, når en enhed mistes eller bliver stjålet – dvs. forholde sig til eventuelle lovmæssige, regulatoriske eller kontraktmæssige krav og forholde sig til organisationens forsikringsselskaber.
Individuelt brugeransvar
Alle i organisationen, der bruger fjernadgang, skal gøres eksplicit opmærksomme på enhver mobilenhedspolitik og -procedurer, der gælder for dem inden for rammerne af sikker styring af endpoint-enheder.
Brugere skal instrueres i at:
- Luk alle aktive arbejdssessioner, når de ikke længere er i brug.
- Implementer fysiske og digitale beskyttelseskontroller, som det kræves af politikken.
- Vær opmærksom på deres fysiske omgivelser – og de iboende sikkerhedsrisici, de indeholder – når du får adgang til sikre data ved hjælp af enheden.
Medbring din egen enhed (BYOD)
Organisationer, der tillader personale at bruge personligt ejede enheder, bør også overveje følgende sikkerhedskontroller:
- Installation af software på enheden (inklusive mobiltelefoner), der hjælper med at adskille forretnings- og personlige data.
- Håndhævelse af en BYOD-politik, der inkluderer:
- Anerkendelse af organisatorisk ejerskab af PII.
- Fysiske og digitale beskyttelsesforanstaltninger (se ovenfor).
- Fjernsletning af data.
- Eventuelle foranstaltninger, der sikrer tilpasning til PII-lovgivning og lovgivningsmæssig vejledning.
- IP-rettigheder vedrørende virksomhedens ejerskab af alt, der er produceret på en personlig enhed.
- Organisatorisk adgang til enheden – enten til beskyttelse af privatlivets fred eller for at overholde en intern eller ekstern undersøgelse.
- EULA'er og softwarelicenser, der kan blive påvirket af brugen af kommerciel software på en privatejet enhed.
Trådløse konfigurationer
Når organisationer udarbejder procedurer, der omhandler trådløs forbindelse på slutpunktsenheder, bør organisationer:
- Overvej nøje, hvordan sådanne enheder skal have mulighed for at oprette forbindelse til trådløse netværk for internetadgang med henblik på at beskytte PII.
- Sørg for, at trådløse forbindelser har tilstrækkelig kapacitet til at lette sikkerhedskopiering eller andre emnespecifikke funktioner.
Relevante ISO 27002 kontroller
- ISO 27002 kontrol 8.9 – Configuration Management
- ISO 27002 kontrol 8.16 – Overvågning af aktiviteter
Gældende GDPR-artikler
- Artikel 5 – (1)(f)
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 punkt 6.3.2.2 – Fjernarbejde
Referencer ISO 27002 Kontrol 6.7
Ligesom med administration af brugerenheder, bør politikker for fjernarbejde være emnespecifikke og relateret til de forskellige roller, der udføres i organisationen.
Når organisationer formulerer fjernarbejdspolitikker, bør de overveje:
- Eventuelle potentielle risici påvirker den fysiske sikkerhed og informationssikkerheden for enheder på specifikke fjernarbejdspladser, herunder adgang for uautoriseret personale.
- Kontroller, der beskytter forretningsdata, herunder transportsikkerhed, klare skrivebordspolitikker, sikker udskrivning, antimalware-platforme, firewalls osv.
- En kategorisk liste over accepterede fjernarbejdspladser, herunder offentlige områder såsom hoteller, offentlige mødelokaler og fjernarbejde.
- Hvordan enheden kommer til at kommunikere med organisationens netværk (VPN-parametre osv.), i forhold til kategorien af data, der overføres, og arten af organisationens PII-drift.
- Virtuelle skrivebordsmiljøer.
- Trådløse sikkerhedsprotokoller og de underliggende sikkerhedsrisici, der er fremherskende i hjemmenetværk eller offentlige netværk.
- Fjernstyring af enheder (fjerndeaktivering, installationer, sletning af data osv.).
- Autentificeringsmetoder, mere specifikt brugen af MFA.
For at forbedre beskyttelsen af privatlivets fred og beskytte PII bør generelle og emnespecifikke politikker for fjernarbejde omfatte:
- Levering af passende udstyr (IKT-udstyr og fysiske opbevaringsforanstaltninger), hvor sådant udstyr ikke findes i fjernarbejdsmiljøet.
- Tydelige retningslinjer for, hvilken slags arbejde, der må udføres, og hvilke systemer, data og applikationer, der kan fjerntilgås.
- Træningsprogrammer, der styrer fjernarbejde, både med hensyn til de anvendte enheder, og hvad der forventes af fjernarbejdere fra et praktisk og kontraktmæssigt perspektiv.
- Foranstaltninger, der tilbyder granulær fjernstyring af slutpunktsenheder, herunder skærmlåsefunktionalitet, GPS-sporing og fjernrevision.
- Fysiske sikkerhedsforanstaltninger, der styrer brugen af organisation og brugerejet kit offsite, inklusive tredjepartsadgang.
- Forsikringsdækning.
- En fjernarbejdsspecifik BUDR-plan, inklusive kontrol af forretningskontinuitet.
- Procedurer, der beskriver, hvordan fjernbrugeradgang begrænses eller tilbagekaldes efter behov.
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.3.2.1 | Mobil enhedspolitik |
8.1 – Brugerendepunktsenheder til ISO 27002 |
Artikel (5) |
| 6.3.2.2 | distancearbejde |
6.7 – Fjernarbejde til ISO 27002 |
Ingen |
Hvordan ISMS.online hjælper
Hos ISMS.online kan vi inkorporere styring af forsyningskædeinformationssikkerhed i dit ISMS.
Hurtige og praktiske præstationsmålinger kan også bruges til at overvåge fremskridtene for dine leverandører og andre tredjepartspartnerskaber.
Brug ISMS.online Clusters til at samle hele forsyningskæden på ét sted for klarhed, indsigt og kontrol.
Find ud af mere og få en praktisk demonstration af booking af en demo.
