Beskerm jou organisasie teen fisiese en omgewingsbedreigings
Bedreigings vir inligtingsbates is nie bloot digitaal nie: 'n Organisasie se kritieke fisiese infrastruktuur wat inligtingbates huisves, is ook blootgestel aan omgewings- en fisiese bedreigings wat kan lei tot verlies, vernietiging, diefstal en kompromie van inligtingsbates en sensitiewe data.
Hierdie bedreigings kan natuurlike gebeurtenisse soos aardbewings, vloede en veldbrande insluit. Dit kan ook mensgemaakte rampe soos burgerlike onrus en kriminele aktiwiteite insluit.
Beheer 7.5 spreek aan hoe organisasies risiko's vir kritieke fisiese infrastruktuur as gevolg van fisiese en omgewingsbedreigings kan assesseer, identifiseer en versag.
Doel van beheer 7.5
Beheer 7.5 stel organisasies in staat om die potensiële nadelige gevolge van omgewings- en fisiese bedreigings en om hierdie effekte te versag en/of uit te skakel deur toepaslike maatreëls in te stel.
Eienskappe Tabel van beheer 7.5
Beheer 7.5 is 'n voorkomende tipe beheer wat vereis dat organisasies die gevolge uitskakel en/of versag wat waarskynlik voortspruit uit eksterne risiko's soos natuurrampe en mensgemaakte voorvalle.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Beskerm | #Fisiese sekuriteit | #Beskerming |
| #Integriteit | ||||
| #Beskikbaarheid |
Eienaarskap van beheer 7.5
Beheer 7.5 vereis dat organisasies 'n in-diepte risiko-evaluering uit te voer voordat enige bedrywighede op 'n fisiese perseel begin word en om nodige maatreëls te implementeer wat ooreenstem met die vlak van risiko wat geïdentifiseer is.
Hoofsekuriteitsbeamptes moet dus verantwoordelik wees vir die skepping, bestuur, implementering en hersiening van die hele proses.
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Algemene riglyne oor nakoming
Beheer 7.5 spesifiseer 'n drie-stap proses om risiko's as gevolg van fisiese en omgewingsbedreigings te identifiseer en uit te skakel:
- Stap 1: Voltooi 'n Risiko-evaluering
Organisasies moet 'n risiko-evaluering te doen om potensiële fisiese en omgewingsrampe te identifiseer wat op elke spesifieke fisiese uitgangspunt kan voorkom en dan die uitwerking wat waarskynlik sal ontstaan as gevolg van die geïdentifiseerde fisiese en omgewingsbedreigings te meet.
As in ag geneem word dat elke fisiese perseel en infrastruktuur daarin onderhewig sal wees aan verskillende omgewingstoestande en fisiese risikofaktore, sal die tipe bedreiging en die vlak van risiko wat geïdentifiseer word, verskil volgens elke perseel en sy ligging.
Byvoorbeeld, terwyl een perseel die kwesbaarste vir veldbrande kan wees, kan 'n ander perseel geleë wees in 'n gebied waar aardbewings gereeld voorkom.
Nog 'n kritieke vereiste wat deur beheer 7.5 gestel word, is dat hierdie risiko-evaluering uitgevoer moet word voor die aanvang van bedrywighede op 'n fisiese perseel.
- Stap 2: Identifiseer en implementeer kontroles
Gebaseer op die tipe bedreiging en die vlak van risiko wat in die eerste stap geïdentifiseer is, moet organisasies toepaslike beheermaatreëls instel met inagneming van die waarskynlike gevolge van die omgewings- en fisiese bedreigings.
Ter illustrasie verskaf Beheer 7.5 voorbeelde van kontroles wat vir die volgende bedreigings ingestel kan word:
vuur: Organisasies moet stelsels ontplooi om alarms te aktiveer wanneer 'n brand bespeur word of om brandonderdrukkingstelsels te aktiveer wat in staat is om bergingsmedia en inligtingstelsels teen skade te beskerm.
Oorstromings: Stelsels moet ontplooi en gekonfigureer word om oorstromings op te spoor in gebiede waar inligtingsbates gestoor word. Verder moet gereedskap soos waterpompe gereed wees om gebruik te word in geval van oorstromings.
Elektriese stroompies: Bedieners en kritiek inligtingbestuurstelsels moet in stand gehou word en teen elektriese onderbrekings beskerm word.
Plofstof en wapens: Organisasies moet lukraak oudits uit te voer en inspeksies op alle individue, items en voertuie wat 'n perseel binnegaan wat kritieke infrastruktuur huisves.
- Stap 3: Monitering
Aangesien die tipe bedreigings en die vlak van risiko's met verloop van tyd kan verander, moet organisasies die risikobeoordelings voortdurend monitor en die beheermaatreëls wat hulle geïmplementeer het, heroorweeg indien nodig.
Aanvullende leiding
Beheer 7.5 lys vier spesifieke oorwegings wat organisasies in ag moet neem.
Konsultasie met kundiges
Elke spesifieke tipe omgewings- en fisiese bedreiging, of dit nou giftige afval, aardbewing of brand is, is uniek in terme van sy aard, die risiko's wat dit inhou en teenmaatreëls wat dit vereis.
Daarom moet organisasies kundige advies inwin oor hoe om risiko's wat uit hierdie bedreigings voortspruit uit te skakel en/of te versag, te identifiseer.
Keuse van ligging vir perseel
Met inagneming van die plaaslike topografie, kan watervlakke en tektoniese bewegings van die potensiële ligging vir 'n perseel help om risiko's vroegtydig te identifiseer en uit te skakel.
Verder moet organisasies die risiko's van mensgemaakte rampe in die gekose stedelike gebied oorweeg, soos politieke onrus en kriminele aktiwiteite.
Ekstra laag sekuriteit
Benewens die spesifieke beheermaatreëls wat geïmplementeer is, veilige stoor van inligting metodes soos kluise kan 'n ekstra laag sekuriteit byvoeg teen diasters soos brand en oorstromings.
Misdaadvoorkoming deur omgewingsontwerp
Beheer 7.5 beveel aan dat organisasies hierdie konsep in ag neem wanneer beheermaatreëls ingestel word om die sekuriteit van persele te verbeter. Hierdie metode kan gebruik word om stedelike bedreigings soos kriminele aktiwiteite, burgerlike onrus en terrorisme uit te skakel.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Veranderinge en verskille vanaf ISO 27002:2013
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Terwyl die 2013-weergawe aangespreek het hoe organisasies toepaslike voorkomende maatreëls teen fisiese en omgewingsbedreigings moet instel, is die 2022-weergawe baie meer omvattend in terme van spesifieke voldoeningsstappe wat organisasies moet neem.
Oor die algemeen is daar twee sleutelverskille:
- 2022-weergawe verskaf leiding oor nakoming
Die 2013-weergawe het geen leiding ingesluit oor hoe organisasies risiko's as gevolg van omgewings- en fisiese bedreigings moet identifiseer en uitskakel nie.
Die 2022-weergawe, in kontrak, beskryf 'n drie-stap-proses wat organisasies moet volg, insluitend die uitvoering van 'n risiko-evaluering.
- 2022-weergawe beveel aan dat organisasies oorweeg om ekstra laag maatreëls te implementeer
In die aanvullende leiding verwys die 2022-weergawe na maatreëls soos die gebruik van kluise en misdaadvoorkoming deur omgewingsontwerpkonsepte wat gebruik kan word om beskerming teen bedreigings te verbeter.
Die 2013-weergawe het aan die ander kant nie sulke bykomende maatreëls aangespreek nie.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.online help
Die ISMS.aanlyn platform bied 'n reeks kragtige instrumente wat die manier waarop jy jou inligtingsekuriteitbestuurstelsel (ISMS) kan dokumenteer, implementeer, onderhou en verbeter en voldoening aan ISO 27002 kan vereenvoudig.
Die omvattende pakket gereedskap gee jou een sentrale plek waar jy 'n pasgemaakte stel beleide en prosedures kan skep wat ooreenstem met jou organisasie se spesifieke risiko's en behoeftes.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
