ISO 27001:2022 Bylae A 6.7 – Afstandswerk

• sien ISO 27002:2022 Beheer 6.7 vir meer inligting.
• sien ISO 27001:2013 Bylae A 6.2.2 vir meer inligting.

Wat is ISO 27001:2022 Bylae A 6.7?

ISO 27001:2022 Bylae A 6.7, Remote Working verskaf leiding oor hoe organisasies 'n beleid in plek moet hê om veilige toegang tot inligtingstelsels en netwerke te verseker wanneer hulle op afstand werk. Dit beveel verder die implementering van 'n inligtingsekuriteitbestuurstelsel wat prosedures vir die beskerming van afstandtoegang insluit.

Inligtingsekuriteitsimplikasies van afstandwerk

Afstandswerk het 'n meer wydverspreide neiging geword, aangesien tegnologie gevorder het om werknemers in staat te stel om op afstand te werk sonder om produktiwiteit en doeltreffendheid te beïnvloed. Dit kom nietemin met die potensiaal vir kommer oor datasekuriteit.

Om 'n besigheidseienaar te wees, is dit nodig om intellektuele eiendom teen kubermisdadigers te beskerm en die veiligheid van data teen kuberkrakers te verseker. Deur op te tree, kan 'n mens teen kubermisdaad waak en die sekuriteit van inligting waarborg.

Afstandwerk kan 'n reeks sekuriteitsrisiko's inhou wat aangespreek moet word, soos:

Toegangsbeheer

Afstandswerk kan voordelig wees, wat groter toegang tot vertroulike data en stelsels bied. Dit kom nietemin met verskeie veiligheidsoorwegings.

Afstandswerk, indien nie korrek toesig gehou word nie, kan kwesbaar wees vir sekuriteitskwessies soos inbraak, wanware, ongemagtigde toegang en meer. Dit is veral die geval as werknemers nie in 'n veilige omgewing teenwoordig is nie.

Verlies van Fisiese Sekuriteit

Afstandswerk kan ook 'n uitwerking op 'n besigheid s'n hê fisiese veiligheid. Aangesien personeel nie meer in die kantoor of 'n gebou teenwoordig is nie, kan hulle moontlik geen verdagte aktiwiteite opspoor nie.

Vertroulikheid

Afstandswerk kan 'n risiko vir vertroulikheid inhou. Werknemers kan byvoorbeeld toegang tot vertroulike inligting verkry sonder toestemming van die maatskappy.

Werknemers kan maklik toegang verkry tot vertroulike korporatiewe data vanaf die publieke web. Boonop is daar selfs webwerwe waar personeel vertroulike data kan oplaai vir publieke besigtiging.

privaatheid

Afstandwerk kan 'n uitwerking op die privaatheid van 'n organisasie hê. As personeel byvoorbeeld van die huis af werk, kan hulle meer geneig wees om nie hul persoonlike besittings weg te bêre nie.

Hierdie eiendom kan vertroulike data bevat wat 'n firma se privaatheid in gevaar kan stel.

data Protection

Afstandwerk kan 'n gevaar vir 'n besigheid se data inhou. Werknemers kan byvoorbeeld op afstand toegang tot maatskappyinligting verkry, en hierdie data kan op verskeie plekke gestoor word.

In die geval van werknemers wat die werkplek verlaat en hul toestel saamneem, herwinning van data wat op rekenaars, bedieners en mobiele toestelle kan meer uitdagend wees.

Die werker kan fouteer of in slegte trou met die toestel optree, wat die sekuriteit van die data in gevaar stel.

Wat is die doel van ISO 27001:2022 Bylae A 6.7?

Die doel van ISO 27001:2022 Bylae A 6.7 is om te verseker dat afstandpersoneel die nodige toegangskontroles in plek het om die vertroulikheid, integriteit en beskikbaarheid van vertroulike of eiendomsinligting, prosedures en stelsels te beskerm teen ongemagtigde toegang of openbaarmaking deur ongemagtigde persone.

Organisasies moet die sekuriteit van inligting verseker wanneer personeel op afstand werk. Hulle moet dus 'n pasgemaakte beleid rakende afstandwerk uitreik wat die toepaslike voorwaardes en limiete vir datasekuriteit uiteensit. Hierdie beleid moet aan alle personeel versprei word, insluitend instruksies oor hoe om afstandtoegangstegnologie veilig en veilig te gebruik.

Hierdie beleid sal waarskynlik aanspreek:

• Die voorwaardes waaronder afstandwerk toegelaat word.
• Prosesse om te verseker dat afgeleë werkers toegang tot vertroulike inligting het.
• Om te verseker dat inligting beveilig word wanneer dit tussen verskillende fisiese liggings oorgedra word, behels die nakoming van sekere prosedures.

Dit is noodsaaklik om 'n duidelike stelsel om voorvalle aan te meld, insluitend die regte kontakinligting. Dit kan help om sekuriteitsbreuke of ander voorvalle te voorkom.

Die beleid moet ook enkripsie, brandmure, antivirus sagteware-opdaterings en werknemersinstruksies dek oor hoe om afgeleë verbindings veilig te gebruik.

Wat is betrokke en hoe om aan die vereistes te voldoen

Om aan Bylae A 6.7 te voldoen, moet organisasies wat afstandwerk aanbied 'n beleid rakende afstandwerk uitreik wat die verwante regulasies en limiete spesifiseer.

Die beleid moet periodiek beoordeel word, veral wanneer tegnologie of wetgewing verander.

Alle personeel, kontrakteurs en entiteite wat by afstandwerkaktiwiteite betrokke is, moet van die beleid ingelig word.

Die beleid moet gedokumenteer word, toeganklik gemaak word vir belanghebbendes, soos reguleerders en ouditeure, en op datum gehou word.

Organisasies moet seker maak dat hulle die nodige voorsorgmaatreëls het om sensitiewe of vertroulike inligting te beveilig wat tydens afgeleë bedrywighede elektronies versend of gestoor word.

In ooreenstemming met Bylae A 6.7, moet die volgende in ag geneem word:

• Oorweeg die fisiese sekuriteit van die afgeleë werkterrein, beide bestaande en voorgestelde, wat die veiligheid van die plek, die omliggende area en die regstelsels van die streke waarin personeel gebaseer is, insluit.
• Veilige fisiese omgewing reëls, soos sluitbare liasseerkaste, veilige vervoer tussen terreine, afstandtoegang regulasies, duidelike lessenaar, druk en weggooi van data en verwante bates, asook verslagdoening oor veiligheidsgebeure, geïmplementeer moet word.
• Die verwagte fisiese omgewings vir afstandwerk.
• Veilige kommunikasie moet verseker word, met inagneming van afstandtoegangsbehoeftes van die organisasie, die sensitiwiteit van die data wat oorgedra word, en die kwesbaarheid van die stelsels en toepassings.
• Afstandtoegang, soos virtuele rekenaartoegang, maak die verwerking en berging van inligting op persoonlike toestelle moontlik.
• Die gevaar van ongemagtigde toegang tot data of bates van individue buite die afgeleë werkspasie – soos familie en vriende – is werklik.
• Die risiko van ongemagtigde toegang tot data of bates deur mense in openbare gebiede is 'n bekommernis.
• Die aanwending van beide tuis- en publieke netwerke, sowel as reëls of verbodsbepalings wat verband hou met die opstel van draadlose netwerkdienste, is nodig.
• Die gebruik van sekuriteitsmaatreëls, soos firewalls en anti-malware-beskerming, is noodsaaklik.
• Maak seker dat stelsels op afstand ontplooi en geïnisieer kan word met veilige protokolle.
• Veilige stawingmeganismes moet geaktiveer word om toegangsregte te verleen, met inagneming van die vatbaarheid van enkelfaktor-verifikasiemeganismes wanneer afstandtoegang tot die organisasie se netwerk gemagtig word.

Riglyne en maatreëls wat in ag geneem moet word, moet die volgende insluit:

• Die organisasie moet geskikte toerusting en stoormeubels vir afgeleë werksaktiwiteite verskaf, wat die gebruik van toerusting in privaat besit wat nie onder sy beheer is nie, verbied.
• Hierdie werk behels die volgende: definieer die werk wat toegelaat word, klassifikasie van die inligting wat gehou kan word, en magtiging van afgeleë werkers om toegang tot interne stelsels en dienste te verkry.
• Opleiding moet verskaf word vir diegene wat op afstand werk en diegene wat ondersteuning bied. Dit moet dek hoe om veilig besigheid buite die kantoor te bedryf.
• Dit is noodsaaklik om te verseker dat geskikte kommunikasietoerusting verskaf word, soos om toestelskermslotte en onaktiwiteit-tydtellers vir afstandtoegang te vereis.
• Aktivering van toestelliggingopsporing is moontlik.
• Die installering van afgeleë vee-vermoëns is 'n moet.
• Fisiese sekuriteit.
• Riglyne en reëls rakende familie- en besoekerstoegang tot toerusting en data moet gevolg word.
• Die besigheid verskaf hardeware en sagteware ondersteuning en instandhouding.
• Die voorsiening van versekering.
• Die protokol vir data rugsteun en kontinuïteit van bedrywighede.
• Oudit en sekuriteitsmonitering.
• By beëindiging van afstandwerkaktiwiteite moet magtiging en toegangsregte herroep word en alle toerusting terugbesorg word.

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 6.7 is 'n aanpassing van Bylae A 6.2.2 van ISO 27001:2013 en nie 'n nuwe element nie.

ISO 27001:2022 Bylae A 6.7 en 6.2.2 deel baie ooreenkomste, hoewel die nomenklatuur en bewoording verskil. In ISO 27001:2013 word 6.2.2 na verwys as telewerk, terwyl 6.7 bekend staan ​​as afstandwerk. Hierdie verandering word weerspieël in die nuwe weergawe van die standaard, wat telewerk met afstandwerk vervang.

In Bylae A 6.7 van ISO 27001:2022, beskryf die standaard wat as afstandwerk kwalifiseer, insluitend telewerk – die aanvanklike beheernaam in die ISO 27001:2013-weergawe.

Weergawe 2022 van die implementeringsriglyne stem grootliks ooreen, hoewel die taal en terme verskil. Om te verseker dat gebruikers van die standaard verstaan, word gebruikersvriendelike taal gebruik.

Sommige byvoegings is gemaak in Bylae A 6.7, en sommige skrappings het voorgekom in 6.2.2.

Bygevoeg by ISO 27001:2022 Bylae A 6.7 Afstandswerk

• Verseker fisiese sekuriteit met sluitbare liasseerkaste, verskaf veilige vervoer- en toegangsinstruksies, mandaat duidelike lessenaarbeleide, skets druk-/wegdoenprotokolle vir inligting/bates, en implementeer 'n insidentreaksiestelsel.
• Daar word verwag dat mense op afstand sal werk. Fisiese omstandighede word verwag.
• Die risiko van ongemagtigde toegang tot inligting of hulpbronne van vreemdelinge in openbare areas.
• Veilige metodes vir afstandontplooiing en opstel van stelsels.
• Veilige meganismes is in plek om te verifieer en toe te laat toegangsregte, met inagneming van die vatbaarheid van enkelfaktor-verifikasiemeganismes wanneer afstandtoegang tot die organisasie se netwerk geaktiveer is.

Verwyder van ISO 27001:2013 Bylae A 6.2.2 Telewerk

• Die implementering van tuisnetwerke en die regulasies of beperkings op die opstel van draadlose netwerkdienste is nodig.
• Beleide en prosedures om dispute rakende regte op intellektuele eiendom wat op toerusting in privaat besit ontwikkel is, te versag, moet ingestel word.
• Om toegang te verkry tot masjinerie in privaat besit (om die veiligheid daarvan te verseker of vir ondersoekdoeleindes) kan deur die wet verbied word.
• Organisasies kan verantwoordelik wees vir sagtewarelisensiëring op werkstasies wat privaat besit word deur óf hul personeel óf eksterne gebruikers.

ISO 27001:2022 gee stellings van doel en kenmerktabelle vir elke beheer, wat gebruikers help om die kontroles meer effektief te begryp en in die praktyk toe te pas.

Die ISO 27001:2013-weergawe het nie hierdie twee komponente nie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

Wie is in beheer van hierdie proses?

Die primêre plig om 'n inligtingsekuriteitsbeleid vir afgeleë werknemers lê by die organisasie se inligtingsekuriteitsbeampte. Nietemin moet ander belanghebbendes ook by die proses betrek word.

IT- en HR-bestuurders is gesamentlik verantwoordelik om te verseker dat die beleid geïmplementeer en onderhou word, en dat werknemers dit begryp en daarby hou.

As jy 'n verskafferbestuursprogram het, is dit waarskynlik dat die individu verantwoordelik vir die bestuur van kontrakteurs en verskaffers verantwoordelik sal wees vir die vorming van 'n sekuriteitsbeleid vir eksterne werkers in daardie departement.

Wat beteken hierdie veranderinge vir jou?

ISO 27001:2022 bly grootliks onveranderd; dus moet jy eenvoudig verseker dat jou inligtingsekuriteitsprosesse aan die nuwe vrystelling voldoen.

Die vernaamste verandering was om sekere kontroles te verander en sekere vereistes uit te klaar. Bylae A 6.7 het die belangrikste effek gehad – as jy bedrywighede uitkontrakteer of mense op afstand in diens neem, moet jy seker maak dat hulle geskikte sekuriteitsmaatreëls het.

As jou organisasie reeds 'n ISO 27001 sertifisering, sal die proses wat jy gebruik om inligtingsekuriteit te bestuur aan die nuwe regulasies voldoen.

As jy op soek is na jou ISO 27001 sertifisering, hoef jy geen stappe te doen nie. Maak net seker dat jou prosedures steeds met die nuwe standaard ooreenstem.

As jy van die begin af begin, is dit nodig om te oorweeg hoe om jou maatskappy se data en inligting teen kuberaanvalle en ander risiko's te beskerm.

Dit is noodsaaklik om kuberrisiko's ernstig op te neem en dit te bestuur as deel van die algehele sakeplan, eerder as om dit net as 'n probleem vir IT- of sekuriteitsdepartemente te beskou.

Hoe ISMS.online Help

Die ISMS.aanlyn platform help met elke faset van ISO 27001:2022-implementering, van die uitvoer van risiko-evalueringsaktiwiteite tot die ontwerp van beleide, prosedures en voorskrifte om aan die standaard se spesifikasies te voldoen.

ISMS.online bied 'n platform om bevindinge met kollegas te dokumenteer en te deel. Verder stel dit jou in staat om kontrolelyste van al die nodige take vir ISO 27001-implementering te genereer en te berg, wat jou in staat stel om jou organisasie se sekuriteitsmaatreëls gerieflik te monitor.

Ons voorsien organisasies van 'n stel outomatiese nutsmiddels om voldoening aan ISO 27001 eenvoudig te maak.

Kontak ons ​​nou om bespreek 'n demonstrasie.