Beheer 7.8, Toerustingplasing en Beskerming

ISO 27002:2022 – Beheer 7.8 – Toerustingplasing en beskerming

ISO 27002 Beheer 7.8 gee 'n uiteensetting van beste praktyke vir die ligging en beskerming van toerusting, om te verseker dat IT-bates teen fisiese, omgewings- en ongemagtigde toegangsrisiko's beskerm word. Dit beklemtoon veilige plasing, omgewingsmonitering en elektromagnetiese beskerming om inligtingsekuriteit te handhaaf.

ISO 27002 Beheer 7.8: Beste praktyke vir die ligging en beskerming van toerusting

Terwyl kuberbedreigings soos wanware-aanvalle, SQL-inspuiting en verkeersonderskepping meer gesofistikeerd word en 'n groot risiko vir die sekuriteit van inligtingbates.

Die risiko-landskap is nie beperk tot sagteware-gebaseerde kuberaanvalle nie:

Fisiese en omgewingsbedreigings vir IT-toerusting soos bedieners, rekenaars, hardeskywe en verwyderbare bergingsmedia kan ook die beskikbaarheid, vertroulikheid en integriteit van inligtingsbates.

Byvoorbeeld, die mors van 'n drankie op 'n bediener, 'n afskakeling van 'n rekenaarstelsel as gevolg van hoë temperatuur, en ongemagtigde toegang tot 'n rekenaarstelsel wat nie in 'n veilige area geleë is nie, is almal voorbeelde van fisiese bedreigings vir toerustingbehuising inligtingsbates.

Beheer 7.8 spreek aan hoe organisasies kan risiko's wat voortspruit uit fisiese en omgewingsbedreigings uit te skakel en te versag aan toerusting wat inligtingbates huisves.

Doel van beheer 7.8

Beheer 7.8 stel organisasies in staat om uit te skakel en/of te versag twee tipes risiko's vir toerusting wat inligtingsbates bevat:

Fisiese en omgewingsbedreigings vir toerusting soos beligting, kragonderbrekings, diefstal, kommunikasie-inmenging en elektriese steurings. Hierdie bedreigings sluit ook veranderinge in omgewingstoestande soos humiditeit en temperatuurvlakke in wat die inligtingverwerkingsaktiwiteite kan ontwrig.
Ongemagtigde toegang tot, gebruik van, beskadiging en vernietiging van toerusting wat nie in veilige areas gestoor word nie.

Eienskappe Tabel van beheer 7.8

Beheer 7.8 is 'n voorkomende tipe beheer wat vereis dat organisasies die integriteit, beskikbaarheid en vertroulikheid van inligtingsbates handhaaf deur toerusting wat inligtingbates bevat teen fisiese en omgewingsbedreigings te beskerm.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	#Fisiese sekuriteit	#Beskerming
	#Integriteit		#Batebestuur
	#Beskikbaarheid

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Eienaarskap van beheer 7.8

Voldoening aan Beheer 7.8 behels die skep van 'n voorraad van toerusting wat inligtingsbates huisves, plasing van alle toerusting in veilige gebiede en implementering van toepaslike maatreëls om fisiese en omgewingsbedreigings te voorkom.

Daarom, inligtingsekuriteitbestuurders moet verantwoordelik wees vir die daarstelling, implementering en instandhouding van nodige maatreëls en riglyne oor veilige ligging en beskerming van toerusting.

Algemene riglyne oor nakoming

Beheer 7.8 skryf nege spesifieke vereistes voor wat vir voldoening in ag geneem moet word:

Toerusting moet in veilige areas geplaas word sodat ongemagtigde persone nie toegang tot toerusting kan kry nie.
Gereedskap wat gebruik word vir die verwerking van sensitiewe inligting soos rekenaars, monitors en drukkers moet geplaas word op 'n manier wat ongemagtig persone kan nie inligting sien wat op skerms vertoon word sonder toestemming nie.
Toepaslike maatreëls moet ingestel word om risiko's wat voortspruit uit fisiese en omgewingsbedreigings soos plofstof, kommunikasie-interferens, brand, stof en elektromagnetiese straling uit te skakel en/of te versag.
Byvoorbeeld, 'n weerligstok kan 'n doeltreffende beheer teen weerligstaking wees.
Riglyne oor eet en drink rondom toerusting moet vasgestel word en aan alle relevante partye gekommunikeer word.
Omgewingstoestande wat die inligtingverwerkingsbedrywighede kan ontwrig, moet deurlopend gemonitor word. Dit kan temperatuur- en humiditeitsvlakke insluit.
Weerligbeskermingsmeganismes moet in alle geboue en kantore geïmplementeer word. Verder moet weerligbeskermingsfilters in alle inkomende kraglyne ingebou word, insluitend kommunikasielyne.
As toerusting in 'n industriële omgewing geleë is, moet spesiale beskermingskontroles soos sleutelbordmembrane gebruik word indien nodig.
Elektromagnetiese emanasie kan lei tot die lekkasie van sensitiewe inligting. Daarom, toerusting behuising sensitief of kritiek inligtingsbates moet beveilig word om sulke risiko te voorkom.
IT-toerusting wat deur 'n organisasie besit en beheer word, moet duidelik geskei word van dié wat nie deur die organisasie besit en beheer word nie.

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

Alhoewel die 2022- en die 2013-weergawes in 'n groot mate soortgelyk is, is daar een sleutelverskil wat uitgelig moet word:

In teenstelling met die 2013-weergawe, stel Beheer 7.8 in 2022-weergawe die volgende vereiste in:

IT-toerusting wat deur 'n organisasie besit en beheer word, moet duidelik geskei word van dié wat nie deur die organisasie besit en beheer word nie.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

Ons platform is intuïtief en maklik om te gebruik. Dit is nie net vir hoogs tegniese mense nie; dis vir almal in jou organisasie. Ons moedig jou aan om personeel op alle vlakke van jou besigheid te betrek by die proses om jou ISMS te bou, want dit help jou om 'n werklik volhoubare stelsel te bou.

Sommige van die sleutels voordele van die gebruik van ISMS.online sluit die volgende in:

Jy kan jou bou ISO 27001 voldoen ISMS binne die platform.
Gebruikers kan take voltooi en bewyse indien om voldoening aan die standaard te demonstreer.
Dit is maklik om verantwoordelikhede te delegeer en vordering in die rigting van voldoening te monitor.
die uitgebreide risiko-assessering gereedskapstel bespaar tyd en moeite regdeur die proses.
Ons het 'n toegewyde span konsultante byderhand om te ondersteun jou regdeur jou reis na voldoening.

Kontak vandag nog om bespreek 'n demo.

Ons is 'n leier in ons veld