Wat is Beheer 7.1?
Beheer 7.1 in die nuwe ISO 27002:2022 dek die behoefte vir organisasies om sekuriteitsgrense te definieer en te stel en hierdie parameters te gebruik om gebiede te beskerm wat inligting en ander verwante bates bevat.
Inligting- en inligtingsekuriteitsbates verduidelik
Inligting kan gedefinieer word as enige data, inligting of kennis wat waarde vir jou organisasie of besigheid het. Dit sluit enige data wat ingesamel is oor individue, kliënte, vennote, werknemers en ander belanghebbendes in.
Inligtingsekuriteitsbates kan breedweg verdeel word in:
data
Data word dikwels met inligting verwar, maar daar is 'n verskil tussen data en inligting. Data is rou, onverwerk en dikwels onbruikbaar in sy huidige toestand, terwyl inligting data is wat in bruikbare stukke inligting verwerk is, soos 'n e-posadres of telefoonnommer.
Infrastruktuur
Infrastruktuur verwys na al die komponente waaruit 'n netwerk bestaan, insluitend bedieners en ander toestelle soos drukkers en routers, ens.
Infrastruktuur kan ook sagteware soos bedryfstelsels en toepassings insluit wat net soveel teen kuberaanvalle beskerm moet word as hardeware, aangesien albei op datum gehou moet word met pleisters en regstellings vir kwesbaarhede wat deur kuberkrakers ontdek is, sodat dit nie kan word nie uitgebuit deur kwaadwillige kuberkrakers wat toegang tot sensitiewe data wil verkry.
Fisiese sekuriteitsgrense verduidelik
Fisiese sekuriteit verwys na al die fisiese maatreëls wat 'n organisasie se fasiliteite en bates beskerm. Fisiese sekuriteit is die mees basiese en belangrikste deel van inligtingsekuriteit. Dit gaan nie net daaroor om die deur te sluit nie, maar ook om te weet wie toegang het tot wat, wanneer, waar en hoe.
Fisiese sekuriteitsgrense word gebruik om die fisiese grense van 'n gebou of area te identifiseer en toegang daartoe te beheer. Fisiese sekuriteitsgrense kan heinings, mure, hekke en ander versperrings insluit wat ongemagtigde toegang deur mense of voertuie verhoed. Benewens fisiese hindernisse, kan elektroniese toesigtoerusting soos geslotekringtelevisiekameras gebruik word om aktiwiteit buite die fasiliteit te monitor.
Fisiese sekuriteitsgrense bied 'n eerste linie van verdediging teen indringers wat jou rekenaarstelsel deur die netwerkkabel of draadlose verbinding in 'n organisasie kan probeer binnedring. Hulle word dikwels saam met ander tipes inligtingsekuriteitskontroles soos identiteitsbestuur, toegangsbeheer en inbraakdetectiestelsels gebruik.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Eienskappe Tabel van beheer 7.1
Eienskappe is 'n manier om kontroles te klassifiseer. Eienskappe laat jou toe om jou beheerkeuse vinnig te pas by tipiese industriespesifikasies en terminologie. Die volgende kontroles is beskikbaar in beheer 7.1.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Beskerm | #Fisiese sekuriteit | #Beskerming |
| #Integriteit | ||||
| #Beskikbaarheid |
Beheer 7.1 verseker dat 'n organisasie kan demonstreer dat dit voldoende fisiese sekuriteitsomtreke in plek het om ongemagtigde fisiese toegang tot inligting en ander verwante bates te voorkom.
Dit sluit die voorkoming van:
- Ongemagtigde toegang tot geboue, kamers of areas wat inligtingsbates bevat;
- Ongemagtigde verwydering van bates vanaf persele;
- Ongemagtigde gebruik van bates op 'n perseel (bv. rekenaars en rekenaarverwante toestelle); en
- Ongemagtigde toegang tot elektroniese kommunikasietoerusting soos telefone, faksmasjiene en rekenaarterminale (bv. ongemagtigde peuter).
Fisiese sekuriteitsgrense kan deur die volgende twee kategorieë geïmplementeer word:
Fisiese toegangsbeheer: Verskaf kontroles oor die toegang tot fasiliteite en geboue, sowel as die beweging binne hulle. Hierdie kontroles sluit in die sluit van deure, die gebruik van alarms op deure, die gebruik van heinings of versperrings rondom fasiliteite, ens.
Hardewaresekuriteit: Verskaf kontroles oor fisiese toerusting (bv. rekenaars) wat deur 'n organisasie gebruik word om data soos drukkers en skandeerders wat sensitiewe inligting kan bevat, te verwerk.
Die implementering van hierdie beheer kan ook die ongemagtigde gebruik van fasiliteitspasie, -toerusting en -voorrade dek om inligting en ander verwante bates, soos vertroulike dokumente, rekords en toerusting, te beskerm.
Wat is betrokke en hoe om aan die vereistes te voldoen
Die volgende riglyne moet oorweeg en geïmplementeer word waar toepaslik vir fisieke sekuriteitsomtreke:
- Definieer sekuriteitsomtreke en die ligging en sterkte van elk van die omtreke in ooreenstemming met die inligtingsekuriteitsvereistes wat verband hou met die bates binne die omtrek.
- Om fisies gesonde omtrek te hê vir 'n gebou of terrein wat inligtingverwerkingsfasiliteite bevat (dws daar moet geen gapings in die omtrek of areas wees waar 'n inbraak maklik kan voorkom nie).
- Die buitedakke, mure, plafonne en vloere van die terrein moet van soliede konstruksie wees en alle buitedeure moet behoorlik beskerm word teen ongemagtigde toegang met beheermeganismes (bv. tralies, alarms, slotte).
- Deure en vensters moet gesluit word wanneer dit onbewaak is en eksterne beskerming moet oorweeg word vir vensters, veral op grondvlak; ventilasiepunte moet ook oorweeg word.
Jy kan meer inligting kry oor wat betrokke is by die voldoening aan die vereistes vir die beheer in die ISO 27002:2022 standaarddokument.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Veranderinge en verskille vanaf ISO 27002:2013
Die nuwe 2022-hersiening van ISO 27002 is op 15 Februarie 2022 gepubliseer en is 'n opgradering van ISO 27002:2013.
11 nuwe kontroles is by hierdie weergawe van ISO 27002 gevoeg. Beheer 7.1 is egter nie 'n nuwe beheer nie, dit is eerder 'n gewysigde weergawe van beheer 11.1.1 in die 2013 weergawe van ISO 27002. Die groot verskil tussen die 2013 en 2022 weergawe is die verandering van beheernommer.
Die kontrolenommer 11.1.1 is vervang met 7.1. Afgesien daarvan is die konteks en betekenis grootliks eenders, al is daardie fraseologie anders.
Nog 'n verskil tussen beide kontroles is dat die implementeringsvereistes in die 2022-weergawe verminder is.
Die volgende vereistes wat beskikbaar is in beheer 11.1.1 van ISO 27002:2013 ontbreek in beheer 7.1:
- 'n Bemande ontvangsarea of ander maniere om fisiese toegang tot die terrein of gebou te beheer, moet in plek wees.
- Toegang tot terreine en geboue moet slegs tot gemagtigde personeel beperk word.
- Fisiese versperrings moet, waar van toepassing, gebou word om ongemagtigde fisiese toegang en omgewingsbesoedeling te voorkom.
- Geskikte indringeropsporingstelsels moet volgens nasionale, streeks- of internasionale standaarde geïnstalleer word en gereeld getoets word om alle buitedeure en toeganklike vensters te dek.
- Onbesette gebiede moet te alle tye bekommerd wees.
- Dekking moet ook voorsien word vir ander areas, bv. rekenaarkamer of kommunikasiekamers.
- Inligtingverwerkingsfasiliteite wat deur die organisasie bestuur word, moet fisies geskei word van dié wat deur eksterne partye bestuur word.
Hierdie weglatings maak op geen manier die nuwe standaard minder effektief nie, maar is verwyder om die nuwe beheer meer gebruikersvriendelik te maak.
Wie is in beheer van hierdie proses?
Die hoofinligtingsbeampte is die persoon in beheer van inligtingsekuriteit. Hierdie individu is verantwoordelik vir die implementering van beleide en prosedures om die maatskappy se data en stelsels te beskerm. Die CIO werk tipies saam met ander bestuurders, soos die hoof finansiële beampte en hoof uitvoerende beampte, om te verseker dat sekuriteitsmaatreëls in ag geneem word tydens sakebesluite.
Die hoof finansiële beampte is ook betrokke by die neem van besluite rakende fisiese sekuriteitsgrense. Hy of sy werk saam met ander lede van die C-suite - insluitend die CIO - om te bepaal hoeveel geld aan fisiese sekuriteitsmaatreëls soos toesigkameras, toegangskontroles en alarms toegewys moet word.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Wat beteken hierdie veranderinge vir jou?
Die nuwe ISO 27002:2022 is nie 'n groot hersiening nie. Daarom hoef jy nie enige ernstige veranderinge te implementeer om aan die nuutste weergawe van ISO 27002 te voldoen nie.
Jy moet dit egter oorweeg om jou huidige implementering te hersien en seker te maak dat dit in lyn is met die nuwe vereistes. Veral as jy enige veranderinge aangebring het sedert die vorige weergawe in 2013 gepubliseer is. Dit is die moeite werd om weer na daardie veranderinge te kyk om te sien of hulle steeds geldig is en of dit gewysig moet word.
Dit gesê, jy kan meer inligting kry oor hoe die nuwe ISO 27002 jou inligtingsekuriteitsprosesse en ISO 27001-sertifisering sal beïnvloed deur ons ISO 27002:2022-gids te lees.
Nuwe ISO 27002-kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | NUWE | Bedreigingsintelligensie |
| 5.23 | NUWE | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| 8.9 | NUWE | Konfigurasiebestuur |
| 8.10 | NUWE | Inligting verwydering |
| 8.11 | NUWE | Datamaskering |
| 8.12 | NUWE | Voorkoming van datalekkasies |
| 8.16 | NUWE | Moniteringsaktiwiteite |
| 8.23 | NUWE | Webfiltrering |
| 8.28 | NUWE | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Hoe ISMS.Online help
ISMS.online kan ook help om ISO 27002-voldoening te demonstreer deur vir jou 'n aanlynstelsel te voorsien wat jou toelaat om al jou dokumente op een plek te stoor en dit beskikbaar te stel aan enigiemand wat dit nodig het. Die stelsel laat jou ook toe om kontrolelyste vir elke dokument te skep sodat dit maklik is vir almal wat betrokke is om veranderinge aan te bring of dokumente te hersien om te sien wat volgende gedoen moet word en wanneer dit gedoen moet word.
Wil u sien hoe dit werk?
Kontak vandag nog om bespreek 'n demo.
