ISO 27002:2022, Beheer 7.14 – Veilige wegdoening of hergebruik van toerusting

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

besigheid, span, besig, werk, praat, konsep

Wanneer IT-toerusting soos eksterne aandrywers, USB-aandrywers, skootrekenaars of drukkers nie meer nodig is nie, word dit óf fisies vernietig, teruggestuur na die verhuurder, oorgedra na 'n derde party, herwin of beskikbaar gestel vir hergebruik om ander besigheid te doen bedrywighede.

Met inagneming dat hierdie toerusting mag bevat inligtingsbates en gelisensieerde sagteware, moet organisasies verseker dat alle inligting en gelisensieerde sagteware onherstelbaar uitgevee of oorskryf word voordat die wegdoening of hergebruik plaasvind. Dit sal help om die vertroulikheid van inligting vervat in hierdie toerusting te handhaaf.

Byvoorbeeld, as 'n organisasie 'n eksterne IT-bateverwyderingsdiensverskaffer gebruik en ou skootrekenaars, drukkers en eksterne aandrywers na hierdie verskaffer oordra, kan hierdie diensverskaffer ongemagtigde toegang verkry tot inligting wat op hierdie toerusting gehuisves word.

Beheer 7.14 spreek hoe organisasies kan die vertroulikheid van die inligting wat gestoor word, handhaaf oor die toerusting wat weggedoen of hergebruik moet word deur toepaslike sekuriteitsmaatreëls en prosedures te implementeer.

Doel van beheer 7.14

Beheer 7.14 stel organisasies in staat om ongemagtigde toegang tot sensitiewe inligting te voorkom deur te bevestig dat alle inligting en gelisensieerde sagteware wat op toerusting gestoor is, onomkeerbaar uitgevee of oorskryf word voordat die toerusting weggedoen word of aan derde partye verskaf word om hergebruik te word.

Eienskappe tabel

Beheer 7.14 is 'n voorkomende tipe beheer wat vereis dat organisasies die vertroulikheid van inligting handhaaf gehuisves op die toerusting wat weggedoen sal word of ontplooi sal word om hergebruik te word deur toepaslike prosedures en maatreëls vir wegdoening en hergebruik daar te stel en toe te pas.

beheer Tipe Eienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm #Fisiese sekuriteit
#Batebestuur 		#Beskerming
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 7.14

Voldoening aan Beheer 7.14 vereis die daarstelling van 'n organisasiewye datawegdoen-hergebruikprosedure, identifikasie van alle toerusting en die implementering van geskikte tegniese wegdoeningsmeganismes en hergebruikproses.

Daarom moet die Hoofinligtingsbeampte verantwoordelik wees vir die vestiging, implementering en instandhouding van toerustingwegdoening en hergebruikprosedures en -meganismes.

Algemene riglyne oor nakoming

Die Beheer 7.14 lys vier sleuteloorwegings wat organisasies in ag moet neem vir voldoening:

  • 'n Proaktiewe benadering moet gevolg word

Voordat wegdoening plaasvind of die toerusting vir hergebruik beskikbaar gestel word, moet organisasies bevestig of die toerusting enige bevat inligtingsbates en gelisensieerde sagteware en moet verseker dat sodanige inligting of sagteware permanent uitgevee word.

  • Fisiese vernietiging of onherstelbare verwydering van inligting

Beheer 7.14 lys twee metodes waardeur die inligting vervat in toerusting veilig en permanent verwyder kan word:

  1. Toerusting wat stoormediatoestelle huisves wat inligting bevat, moet fisies vernietig word.

  2. Inligting wat op die toerusting gestoor word, moet op 'n nie-herwinbare wyse uitgevee, oorskryf of vernietig word sodat kwaadwillige partye nie toegang tot inligting kan kry nie. Organisasies word aanbeveel om na Beheer 7.10 oor bergingsmedia en Beheer 8.10 oor die uitvee van inligting te kyk.
  • Verwydering van alle etikette en merke

Komponente van die toerusting en die inligting daarin vervat kan etikette en merke hê wat die organisasie identifiseer of wat die naam van die bate-eienaar, netwerk of inligtingsklassifikasievlak wat toegeken is, openbaar.

Al hierdie etikette en merke moet onherstelbaar vernietig word.

  • Verwydering van kontroles

Met inagneming van die volgende voorwaardes, kan organisasies kies om alle sekuriteitskontroles soos toegangsbeperkings of toesigstelsels te verwyder wanneer hulle fasiliteite ontruim:

  1. Die bepalings van die huurooreenkoms het betrekking op voorwaardes waarop dit teruggestuur moet word.

  2. Uitskakeling en vermindering van die risiko van ongemagtigde toegang tot sensitiewe inligting deur die volgende huurder.

  3. Of die bestaande kontroles by die volgende fasiliteit hergebruik kan word.

Sien ons platform
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding oor beheer 7.14

Benewens die Algemene Riglyne, behels die Beheer 7.14 drie spesifieke aanbevelings vir organisasies.

Beskadigde toerusting

Wanneer beskadigde toerusting wat inligting bevat gestuur word om te herstel, kan dit aan die risiko van ongemagtigde toegang deur derde partye blootgestel word.

Organisasies moet a risikobepaling met inagneming van die vlak van sensitiwiteit van die inligting en oorweeg of die vernietiging van die toerusting 'n meer lewensvatbare opsie is as herstel.

Volskyf-enkripsie

Terwyl die volskyf-enkripsie-tegniek die risiko's vir die vertroulikheid van inligting aansienlik verminder, moet dit aan die volgende standaarde voldoen:

  • Enkripsie is robuust en dit dek alle dele van die skyf, insluitend slap spasie.

  • Kriptografiese sleutels moet lank genoeg wees om brute krag aanvalle te voorkom.

  • Organisasies moet die vertroulikheid van kriptografiese sleutels handhaaf. Byvoorbeeld, die enkripsiesleutel moet nie op dieselfde skyf gestoor word nie.

Oorskryfnutsgoed

Organisasies moet 'n oorskryftegniek kies met inagneming van die volgende kriteria:

  • Vlak van inligtingsklassifikasie wat aan die inligtingsbate toegeken is.

  • Tipe bergingsmedia waarop die inligting gestoor word.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/7.14 replaces 27002:2013/(11.2.7)

Die Control 7.14 is grootliks soortgelyk aan sy eweknie in die 2013-weergawe. Die Beheer 7.14 in die 2022-weergawe sluit egter meer omvattende vereistes in die Algemene Riglyne in.

In teenstelling met die 2013-weergawe, stel die 2022-weergawe die volgende vereistes in:

  • Organisasies moet alle merke en etikette verwyder wat die organisasie, netwerk en vlak van klassifikasie identifiseer.

  • Organisasies moet die verwydering van beheermaatreëls wat op 'n fasiliteit geïmplementeer is, oorweeg wanneer hulle daardie fasiliteit ontruim.

Hoe ISMS.online help

ISMS.Online is 'n volledige oplossing vir ISO 27002 implementering.

Dit is 'n web-gebaseerde stelsel wat jou toelaat om te wys dat jou inligtingsekuriteitbestuurstelsel (ISMS) voldoen aan die goedgekeurde standaarde deur weldeurdagte prosesse en prosedures en kontrolelyste te gebruik.

Kontak vandag nog om bespreek 'n demo.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind