Die gebruik van stoormedia-toestelle soos vaste-toestand-aandrywers (SSD's), USB-stokkies, eksterne aandrywers en selfone is noodsaaklik vir baie kritieke inligtingverwerkingsbewerkings soos datarugsteun, databerging en inligtingoordrag.
Maar die stoor van sensitiewe en kritiese inligting oor hierdie toestelle stel risiko's vir die integriteit in, vertroulikheid en beskikbaarheid van inligtingsbates. Hierdie risiko's kan verlies of diefstal van bergingsmedia wat sensitiewe inligting bevat, verspreiding van wanware in alle korporatiewe rekenaarnetwerke via die bergingsmedia en mislukking en agteruitgang van bergingsmediatoestelle wat vir datarugsteun gebruik word, insluit.
Beheer 7.10 spreek aan hoe organisasies toepaslike prosedures, beleide en beheermaatreëls kan vestig om die sekuriteit van bergingsmedia regdeur sy lewensiklus te handhaaf, van die verkryging tot die beskikking daarvan.
Beheer 7.10 stel organisasies in staat om risiko's van ongemagtigde toegang tot, gebruik, uitvee, wysiging en oordrag van sensitiewe inligting wat op bergingsmediatoestelle gehuisves word uit te skakel en te versag deur prosedures vir die hantering van bergingsmedia oor sy hele lewensiklus uiteen te sit.
Beheer 7.10 is 'n voorkomende tipe beheer wat van organisasies vereis om prosedures en maatreëls te skep, te implementeer en in stand te hou om die sekuriteit van stoormediatoestelle te verseker vanaf hul verkrygings tot hul beskikking.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Fisiese sekuriteit #Batebestuur | #Beskerming |
Beheer 7.10 is van toepassing op beide digitale en fisiese bergingsmedia. Byvoorbeeld berging van inligting op fisiese lêers word ook deur Beheer 7.10 gedek.
Verder, langs die verwyderbare bergingsmedia, is vaste bergingsmedia soos hardeskywe ook onderhewig aan Beheer 7.10.
Beheer 7.10 vereis van organisasies om toepaslike prosedures, tegniese kontroles en organisasiewye beleide oor die gebruik van bergingsmedia te skep en te implementeer op grond van die organisasie se eie klassifikasieskema en sy datahanteringsvereistes soos wetlike en kontraktuele verpligtinge.
In die lig hiervan behoort bestuurders van inligtingsekuriteit verantwoordelik te wees vir die hele nakomingsproses.
Alhoewel verwyderbare bergingsmedia noodsaaklik is vir baie sakebedrywighede en dit algemeen deur die meeste personeel gebruik word, hou dit die hoogste risiko vir die sensitiewe inligting in.
Beheer 7.10 lys tien vereistes waaraan organisasies moet voldoen vir die bestuur van verwyderbare bergingsmedia dwarsdeur sy lewensiklus:
Beheer 7.10 verskaf afsonderlike leiding oor veilige hergebruik en wegdoening van bergingsmedia sodat organisasies risiko's vir die inbreuk op die vertroulikheid van inligting kan versag en uitskakel.
Beheer 7.10 beklemtoon dat organisasies prosedures vir die hergebruik en wegdoening van bergingsmedia moet definieer en toepas, met inagneming van die sensitiwiteitsvlak van inligting wat in die bergingsmedia vervat is.
By die daarstelling van hierdie prosedures moet organisasies die volgende in ag neem:
Laaste maar nie die minste nie, Beheer 7.10 vereis dat organisasies a risikobepaling op beskadigde toerusting wat vertroulike inligting stoor om te besluit of die toerusting vernietig moet word in plaas daarvan om herstel te word.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
27002:2022/7.10 vervang 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Daar is vier sleutelverskille wat uitgelig moet word:
Terwyl die 2013-weergawe drie aparte bevat het beheermaatreëls op bestuur van media, wegdoening van media en fisiese media-oordrag, kombineer die 2022-weergawe hierdie drie kontroles onder Beheer 7.10.
In teenstelling met die 2013-weergawe wat slegs die veilige wegdoening van bergingsmedia aangespreek het, handel die 2022-weergawe ook oor die veilige hergebruik van bergingsmedia.
Die 2013-weergawe het meer omvattende vereistes vir die fisiese oordrag van bergingsmedia behels. Die 2013-weergawe het byvoorbeeld reëls oor ID-verifikasie vir koeriers en verpakkingstandaarde ingesluit.
Beheer 7.10 in die 2022-weergawe, aan die ander kant, het net verklaar dat organisasies met ywer moet optree wanneer hulle diensverskaffers soos koeriers kies.
Terwyl die 2022- en 2013-weergawes in 'n groot mate soortgelyk is in terme van vereistes vir verwyderbare bergingsmedia, stel die 2022-weergawe die vereiste in om 'n onderwerpspesifieke beleid oor verwyderbare bergingsmedia daar te stel. Die 2013-weergawe het aan die ander kant nie hierdie vereiste gedek nie.
Die ISMS.aanlyn platform gebruik 'n risiko-gebaseerde benadering gekombineer met toonaangewende beste praktyke en sjablone om jou te help om die risiko's te identifiseer wat jou organisasie in die gesig staar en die kontroles wat nodig is om daardie risiko's te bestuur. Dit laat jou toe om beide jou risikoblootstelling en jou nakomingskoste stelselmatig te verminder.
Kontak vandag nog om bespreek 'n demo.
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |