ISO 27001:2022 Bylae A Beheer 6.7

Wat is die doel van ISO 27001:2022 Bylae A 6.7?

Die doel van ISO 27001:2022 Bylae A 6.7 is om te verseker dat afstandpersoneel die nodige toegangskontroles in plek het om die vertroulikheid, integriteit en beskikbaarheid van vertroulike of eiendomsinligting, prosedures en stelsels te beskerm teen ongemagtigde toegang of openbaarmaking deur ongemagtigde persone.

Organisasies moet die sekuriteit van inligting verseker wanneer personeel op afstand werk. Hulle moet dus 'n pasgemaakte beleid rakende afstandwerk uitreik wat die toepaslike voorwaardes en limiete vir datasekuriteit uiteensit. Hierdie beleid moet aan alle personeel versprei word, insluitend instruksies oor hoe om afstandtoegangstegnologie veilig en veilig te gebruik.

Hierdie beleid sal waarskynlik aanspreek:

• Die voorwaardes waaronder afstandwerk toegelaat word.
• Prosesse om te verseker dat afgeleë werkers toegang tot vertroulike inligting het.
• Om te verseker dat inligting beveilig word wanneer dit tussen verskillende fisiese liggings oorgedra word, behels die nakoming van sekere prosedures.

Dit is noodsaaklik om 'n duidelike stelsel om voorvalle aan te meld, insluitend die regte kontakinligting. Dit kan help om sekuriteitsbreuke of ander voorvalle te voorkom.

Die beleid moet ook enkripsie, brandmure, antivirus sagteware-opdaterings en werknemersinstruksies dek oor hoe om afgeleë verbindings veilig te gebruik.

Wat is betrokke en hoe om aan die vereistes te voldoen

Om aan Bylae A 6.7 te voldoen, moet organisasies wat afstandwerk aanbied 'n beleid rakende afstandwerk uitreik wat die verwante regulasies en limiete spesifiseer.

Die beleid moet periodiek beoordeel word, veral wanneer tegnologie of wetgewing verander.

Alle personeel, kontrakteurs en entiteite wat by afstandwerkaktiwiteite betrokke is, moet van die beleid ingelig word.

Die beleid moet gedokumenteer word, toeganklik gemaak word vir belanghebbendes, soos reguleerders en ouditeure, en op datum gehou word.

Organisasies moet seker maak dat hulle die nodige voorsorgmaatreëls het om sensitiewe of vertroulike inligting te beveilig wat tydens afgeleë bedrywighede elektronies versend of gestoor word.

In ooreenstemming met Bylae A 6.7, moet die volgende in ag geneem word:

• Oorweeg die fisiese sekuriteit van die afgeleë werkterrein, beide bestaande en voorgestelde, wat die veiligheid van die plek, die omliggende area en die regstelsels van die streke waarin personeel gebaseer is, insluit.
• Veilige fisiese omgewing reëls, soos sluitbare liasseerkaste, veilige vervoer tussen terreine, afstandtoegang regulasies, duidelike lessenaar, druk en weggooi van data en verwante bates, asook verslagdoening oor veiligheidsgebeure, geïmplementeer moet word.
• Die verwagte fisiese omgewings vir afstandwerk.
• Veilige kommunikasie moet verseker word, met inagneming van afstandtoegangsbehoeftes van die organisasie, die sensitiwiteit van die data wat oorgedra word, en die kwesbaarheid van die stelsels en toepassings.
• Afstandtoegang, soos virtuele rekenaartoegang, maak die verwerking en berging van inligting op persoonlike toestelle moontlik.
• Die gevaar van ongemagtigde toegang tot data of bates van individue buite die afgeleë werkspasie – soos familie en vriende – is werklik.
• Die risiko van ongemagtigde toegang tot data of bates deur mense in openbare gebiede is 'n bekommernis.
• Die aanwending van beide tuis- en publieke netwerke, sowel as reëls of verbodsbepalings wat verband hou met die opstel van draadlose netwerkdienste, is nodig.
• Die gebruik van sekuriteitsmaatreëls, soos firewalls en anti-malware-beskerming, is noodsaaklik.
• Maak seker dat stelsels op afstand ontplooi en geïnisieer kan word met veilige protokolle.
• Veilige stawingmeganismes moet geaktiveer word om toegangsregte te verleen, met inagneming van die vatbaarheid van enkelfaktor-verifikasiemeganismes wanneer afstandtoegang tot die organisasie se netwerk gemagtig word.

Riglyne en maatreëls wat in ag geneem moet word, moet die volgende insluit:

• Die organisasie moet geskikte toerusting en stoormeubels vir afgeleë werksaktiwiteite verskaf, wat die gebruik van toerusting in privaat besit wat nie onder sy beheer is nie, verbied.
• Hierdie werk behels die volgende: definieer die werk wat toegelaat word, klassifikasie van die inligting wat gehou kan word, en magtiging van afgeleë werkers om toegang tot interne stelsels en dienste te verkry.
• Opleiding moet verskaf word vir diegene wat op afstand werk en diegene wat ondersteuning bied. Dit moet dek hoe om veilig besigheid buite die kantoor te bedryf.
• Dit is noodsaaklik om te verseker dat geskikte kommunikasietoerusting verskaf word, soos om toestelskermslotte en onaktiwiteit-tydtellers vir afstandtoegang te vereis.
• Aktivering van toestelliggingopsporing is moontlik.
• Die installering van afgeleë vee-vermoëns is 'n moet.
• Fisiese sekuriteit.
• Riglyne en reëls rakende familie- en besoekerstoegang tot toerusting en data moet gevolg word.
• Die besigheid verskaf hardeware en sagteware ondersteuning en instandhouding.
• Die voorsiening van versekering.
• Die protokol vir data rugsteun en kontinuïteit van bedrywighede.
• Oudit en sekuriteitsmonitering.
• By beëindiging van afstandwerkaktiwiteite moet magtiging en toegangsregte herroep word en alle toerusting terugbesorg word.

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 6.7 is 'n aanpassing van Bylae A 6.2.2 van ISO 27001:2013 en nie 'n nuwe element nie.

ISO 27001:2022 Bylae A 6.7 en 6.2.2 deel baie ooreenkomste, hoewel die nomenklatuur en bewoording verskil. In ISO 27001:2013 word 6.2.2 na verwys as telewerk, terwyl 6.7 bekend staan ​​as afstandwerk. Hierdie verandering word weerspieël in die nuwe weergawe van die standaard, wat telewerk met afstandwerk vervang.

In Bylae A 6.7 van ISO 27001:2022, beskryf die standaard wat as afstandwerk kwalifiseer, insluitend telewerk – die aanvanklike beheernaam in die ISO 27001:2013-weergawe.

Weergawe 2022 van die implementeringsriglyne stem grootliks ooreen, hoewel die taal en terme verskil. Om te verseker dat gebruikers van die standaard verstaan, word gebruikersvriendelike taal gebruik.

Sommige byvoegings is gemaak in Bylae A 6.7, en sommige skrappings het voorgekom in 6.2.2.

Bygevoeg by ISO 27001:2022 Bylae A 6.7 Afstandswerk

• Verseker fisiese sekuriteit met sluitbare liasseerkaste, verskaf veilige vervoer- en toegangsinstruksies, mandaat duidelike lessenaarbeleide, skets druk-/wegdoenprotokolle vir inligting/bates, en implementeer 'n insidentreaksiestelsel.
• Daar word verwag dat mense op afstand sal werk. Fisiese omstandighede word verwag.
• Die risiko van ongemagtigde toegang tot inligting of hulpbronne van vreemdelinge in openbare areas.
• Veilige metodes vir afstandontplooiing en opstel van stelsels.
• Veilige meganismes is in plek om te verifieer en toe te laat toegangsregte, met inagneming van die vatbaarheid van enkelfaktor-verifikasiemeganismes wanneer afstandtoegang tot die organisasie se netwerk geaktiveer is.

Verwyder van ISO 27001:2013 Bylae A 6.2.2 Telewerk

• Die implementering van tuisnetwerke en die regulasies of beperkings op die opstel van draadlose netwerkdienste is nodig.
• Beleide en prosedures om dispute rakende regte op intellektuele eiendom wat op toerusting in privaat besit ontwikkel is, te versag, moet ingestel word.
• Om toegang te verkry tot masjinerie in privaat besit (om die veiligheid daarvan te verseker of vir ondersoekdoeleindes) kan deur die wet verbied word.
• Organisasies kan verantwoordelik wees vir sagtewarelisensiëring op werkstasies wat privaat besit word deur óf hul personeel óf eksterne gebruikers.

ISO 27001:2022 gee stellings van doel en kenmerktabelle vir elke beheer, wat gebruikers help om die kontroles meer effektief te begryp en in die praktyk toe te pas.

Die ISO 27001:2013-weergawe het nie hierdie twee komponente nie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

Wie is in beheer van hierdie proses?

Die primêre plig om 'n inligtingsekuriteitsbeleid vir afgeleë werknemers lê by die organisasie se inligtingsekuriteitsbeampte. Nietemin moet ander belanghebbendes ook by die proses betrek word.

IT- en HR-bestuurders is gesamentlik verantwoordelik om te verseker dat die beleid geïmplementeer en onderhou word, en dat werknemers dit begryp en daarby hou.

As jy 'n verskafferbestuursprogram het, is dit waarskynlik dat die individu verantwoordelik vir die bestuur van kontrakteurs en verskaffers verantwoordelik sal wees vir die vorming van 'n sekuriteitsbeleid vir eksterne werkers in daardie departement.

Wat beteken hierdie veranderinge vir jou?

ISO 27001:2022 bly grootliks onveranderd; dus moet jy eenvoudig verseker dat jou inligtingsekuriteitsprosesse aan die nuwe vrystelling voldoen.

Die vernaamste verandering was om sekere kontroles te verander en sekere vereistes uit te klaar. Bylae A 6.7 het die belangrikste effek gehad – as jy bedrywighede uitkontrakteer of mense op afstand in diens neem, moet jy seker maak dat hulle geskikte sekuriteitsmaatreëls het.

As jou organisasie reeds 'n ISO 27001 sertifisering, sal die proses wat jy gebruik om inligtingsekuriteit te bestuur aan die nuwe regulasies voldoen.

As jy op soek is na jou ISO 27001 sertifisering, hoef jy geen stappe te doen nie. Maak net seker dat jou prosedures steeds met die nuwe standaard ooreenstem.

As jy van die begin af begin, is dit nodig om te oorweeg hoe om jou maatskappy se data en inligting teen kuberaanvalle en ander risiko's te beskerm.

Dit is noodsaaklik om kuberrisiko's ernstig op te neem en dit te bestuur as deel van die algehele sakeplan, eerder as om dit net as 'n probleem vir IT- of sekuriteitsdepartemente te beskou.

Hoe ISMS.online Help

Die ISMS.aanlyn platform help met elke faset van ISO 27001:2022-implementering, van die uitvoer van risiko-evalueringsaktiwiteite tot die ontwerp van beleide, prosedures en voorskrifte om aan die standaard se spesifikasies te voldoen.

ISMS.online bied 'n platform om bevindinge met kollegas te dokumenteer en te deel. Verder stel dit jou in staat om kontrolelyste van al die nodige take vir ISO 27001-implementering te genereer en te berg, wat jou in staat stel om jou organisasie se sekuriteitsmaatreëls gerieflik te monitor.

Ons voorsien organisasies van 'n stel outomatiese nutsmiddels om voldoening aan ISO 27001 eenvoudig te maak.

Kontak ons ​​nou om bespreek 'n demonstrasie.