ISO 27002, Beheer 7.9, Sekuriteit van bates buite die perseel

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002 Beheer 7.9: Beveiliging van bates buite die kantoor

Wanneer toestelle wat inligtingsbates bevat uit 'n organisasie se perseel geneem word, sal hulle blootgestel word aan hoër risiko's van skade, verlies, vernietiging, diefstal of kompromie.

Dit is omdat fisiese sekuriteitskontroles wat binne 'n organisasie se fasiliteite geïmplementeer word, sal nie effektief wees nie, wat die bates wat van die terrein af geneem word, kwesbaar sal maak vir bedreigings soos fisiese risiko's en ongemagtigde toegang deur kwaadwillige partye.

Werknemers wat van die perseel af werk, kan byvoorbeeld korporatiewe rekenaars wat sensitiewe inligting bevat uit die besigheidsperseel neem, by 'n koffiehuis of 'n hotelvoorportaal werk, aan 'n onveilige openbare Wi-Fi koppel en hul toestelle sonder toesig laat. Al hierdie is teenwoordig risiko's vir die sekuriteit, vertroulikheid, integriteit en beskikbaarheid van inligting wat op hierdie toestelle gehuisves word.

Daarom moet organisasies verseker dat toestelle wat van die terrein af geneem word, veilig gehou word.

Beheer 7.9-adresse hoe organisasies die sekuriteit kan handhaaf van toestelle buite die perseel wat inligtingbates huisves deur toepaslike beheermaatreëls en prosedures daar te stel en te implementeer.

Doel van beheer 7.9

Beheer 7.9 stel organisasies in staat om handhaaf die sekuriteit van toerusting wat inligtingbates bevat deur twee spesifieke risiko's te voorkom:

Uitskakeling en/of vermindering van risiko's van verlies, skade, vernietiging of kompromie van toestelle wat inligtingsbates huisves wanneer dit van die perseel af geneem word.
Voorkoming van die risiko van onderbreking van die organisasie se inligtingverwerking aktiwiteite as gevolg van die kompromie van off-site toestelle.

Eienskappe Tabel van beheer 7.9

Beheer 7.9 is voorkomend van aard. Dit stel organisasies in staat om toepaslike beheermaatreëls en prosedures voorkomend te implementeer sodat toestelle wat van 'n organisasie se perseel verwyder word dieselfde vlak van beskerming gebied word wat verskaf word aan toestelle wat op die perseel gehuisves word.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	#Fisiese sekuriteit	#Beskerming
	#Integriteit		#Batebestuur
	#Beskikbaarheid

Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

Eienaarskap van beheer 7.9

Beheer 7.9 vereis van organisasies om prosedures en kontroles daar te stel en toe te pas wat alle toestelle dek wat deur die organisasie besit word of namens die organisasie gebruik word. Verder is die skep van 'n bate-inventaris en die hoër bestuur se goedkeuring van die gebruik van persoonlike toestelle noodsaaklik vir die doeltreffende beskerming van off-site toestelle.

Daarom moet die inligtingsekuriteitsbestuurder met die bestuur en relevante bate-eienaars konsulteer en moet verantwoordelik wees vir die skepping, implementering en instandhouding van prosedures en maatreëls om die sekuriteit te handhaaf van toestelle wat van korporatiewe persele verwyder is.

Algemene riglyne oor nakoming

Beheer 7.9 lys ses vereistes waaraan organisasies moet voldoen wanneer maatreëls en riglyne ontwerp en geïmplementeer word vir die beskerming van bates wat van die terrein af geneem word:

Rekenaartoerusting en bergingsmedia wat van die terrein af geneem word, soos korporatiewe rekenaars, USB's, hardeskywe en monitors, moet nie onbewaak gelaat word in openbare ruimtes soos koffiehuise of in enige onveilige area nie.
Toestelvervaardiger se leiding en spesifikasies oor die fisiese beskerming van die betrokke toestel moet te alle tye nagekom word. Die toestelvervaardiger se instruksies kan byvoorbeeld insluit hoe om die toestel/toerusting teen water, hitte, elektromagnetiese velde en stof te beskerm.
Werknemers en/of ander organisasies wat rekenaartoerusting buite die korporatiewe perseel neem, mag hierdie toerusting aan ander werknemers of derde partye oordra. Om die sekuriteit van hierdie toerusting te handhaaf, moet organisasies 'n logboek hou wat die ketting van bewaring definieer. Hierdie log rekord moet ten minste die name van individue bevat verantwoordelik vir die toestel en hul organisasie.
Indien 'n organisasie ag dat 'n magtigingsproses nodig en prakties is vir die verwydering van toerusting uit die korporatiewe perseel, moet dit 'n magtigingsprosedure instel en toepas vir die neem van sekere toerusting van die perseel af. Hierdie magtigingsprosedure moet ook die hou van rekord van alle toestelverwyderingsaksies insluit sodat die organisasie het 'n ouditspoor.
Toepaslike maatreëls moet geïmplementeer word om die risiko van ongemagtigde besigtiging van inligting op die skerm op openbare vervoer uit te skakel.
Liggingopsporingsnutsgoed en afstandtoegang moet in plek wees sodat die toestel opgespoor kan word en die inligting wat in die toestel vervat is, op afstand uitgevee kan word indien nodig.

Aanvullende leiding oor beheer 7.9

Beheer 7.9 skryf ook vereistes voor vir die beskerming van toerusting wat permanent buite die korporatiewe perseel geïnstalleer is.

Hierdie toerusting kan antennas en OTM'e insluit.

Aangesien hierdie toerusting onderhewig kan wees aan verhoogde risiko's van skade en verlies, vereis Beheer 7.9 dat organisasies die volgende in ag neem wanneer hulle hierdie toerusting buite die terrein beskerm:

Beheer 7.4, naamlik die Fisiese sekuriteitsmonitering, moet oorweeg word.
Beheer 7.5, naamlik die beskerming teen omgewings- en fisiese bedreigings moet in ag geneem word
Toegangsbeheer moet ingestel word en toepaslike maatreëls moet geïmplementeer word om gepeuter te voorkom.
Logiese toegangskontroles moet geskep en toegepas word.

Verder beveel Beheer 7.9 aan dat organisasies beheermaatreëls 6.7 en 8.1 oorweeg wanneer maatreëls gedefinieer en implementeer word om toestelle en toerusting te beskerm.

Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/ 7.9 vervang 27002:2013/(11.2.6)

Daar is drie sleutelverskille wat uitgelig moet word:

Beheer 7.9 skryf meer omvattende vereistes voor

In vergelyking met die 2013-weergawe, Beheer 7.9 in die 2022-weergawe stel die volgende twee vereistes bekend:

Toepaslike maatreëls moet geïmplementeer word om die risiko van ongemagtigde besigtiging van inligting op die skerm op openbare vervoer uit te skakel.
Liggingopsporingsnutsgoed en afstandtoegang moet in plek wees sodat die toestel opgespoor kan word en die inligting wat in die toestel vervat is, op afstand uitgevee kan word indien nodig.

Beheer 7.9 stel nuwe vereistes vir permanent geïnstalleerde toestelle buite die perseel bekend

In teenstelling met die 2013-weergawe, bevat Beheer 7.9 in die 2022-weergawe aparte riglyne oor die beskerming van toerusting wat permanent op 'n plek buite die perseel geïnstalleer is.

Dit kan antennas en OTM'e insluit.

Verbod op afstandwerk om risiko's uit te skakel

Die 2013-weergawe het uitdruklik gesê dat organisasies werknemers mag verbied om op afstand te werk wanneer dit gepas is vir die vlak van risiko wat geïdentifiseer is. Die 2022-weergawe verwys egter nie na so 'n maatreël nie.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	Nuut	Bedreigingsintelligensie
5.23	Nuut	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	Nuut	IKT-gereedheid vir besigheidskontinuïteit
7.4	Nuut	Fisiese sekuriteitsmonitering
8.9	Nuut	Konfigurasiebestuur
8.10	Nuut	Inligting verwydering
8.11	Nuut	Datamaskering
8.12	Nuut	Voorkoming van datalekkasies
8.16	Nuut	Moniteringsaktiwiteite
8.23	Nuut	Webfiltrering
8.28	Nuut	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	Nuut	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	Nuut	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	Nuut	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	Nuut	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	Nuut	Konfigurasiebestuur
8.10	Nuut	Inligting verwydering
8.11	Nuut	Datamaskering
8.12	Nuut	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nuut	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	Nuut	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	Nuut	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

Jy kan ISMS.online gebruik om bestuur jou ISO 27002 implementering, aangesien dit spesifiek ontwerp is om 'n maatskappy te help met die implementering van hul inligtingsekuriteitbestuurstelsel (ISMS) om aan die vereistes van ISO 27002 te voldoen.

Die platform gebruik 'n risiko-gebaseerde benadering gekombineer met toonaangewende beste praktyke en sjablone om jou te help om die risiko's te identifiseer wat jou organisasie in die gesig staar en die kontroles wat nodig is om daardie risiko's te bestuur. Dit laat jou toe om beide jou risikoblootstelling en jou nakomingskoste stelselmatig te verminder.

Kontak vandag nog om bespreek 'n demo.

ISO 27002:2022 – Beheer 7.9 – Sekuriteit van bates buite die perseel