ISO 27002:2022, Beheer 7.9 – Sekuriteit van bates buite die perseel

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

binnekant, van, kontemporêre, multi-vloer, besigheid, sentrum, met, groot, vensters, en

Wanneer toestelle wat inligtingsbates bevat uit 'n organisasie se perseel geneem word, sal hulle blootgestel word aan hoër risiko's van skade, verlies, vernietiging, diefstal of kompromie.

Dit is omdat fisiese sekuriteitskontroles wat binne 'n organisasie se fasiliteite geïmplementeer word, sal nie effektief wees nie, wat die bates wat van die terrein af geneem word, kwesbaar sal maak vir bedreigings soos fisiese risiko's en ongemagtigde toegang deur kwaadwillige partye.

Werknemers wat van die perseel af werk, kan byvoorbeeld korporatiewe rekenaars wat sensitiewe inligting bevat uit die besigheidsperseel neem, by 'n koffiehuis of 'n hotelvoorportaal werk, aan 'n onveilige openbare Wi-Fi koppel en hul toestelle sonder toesig laat. Al hierdie is teenwoordig risiko's vir die sekuriteit, vertroulikheid, integriteit en beskikbaarheid van inligting wat op hierdie toestelle gehuisves word.

Daarom moet organisasies verseker dat toestelle wat van die terrein af geneem word, veilig gehou word.

Beheer 7.9-adresse hoe organisasies die sekuriteit kan handhaaf van toestelle buite die perseel wat inligtingbates huisves deur toepaslike beheermaatreëls en prosedures daar te stel en te implementeer.

Doel van beheer 7.9

Beheer 7.9 stel organisasies in staat om handhaaf die sekuriteit van toerusting wat inligtingbates bevat deur twee spesifieke risiko's te voorkom:

Eienskappe tabel

Beheer 7.9 is voorkomend van aard. Dit stel organisasies in staat om toepaslike beheermaatreëls en prosedures voorkomend te implementeer sodat toestelle wat van 'n organisasie se perseel verwyder word dieselfde vlak van beskerming gebied word wat verskaf word aan toestelle wat op die perseel gehuisves word.

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm#Fisiese sekuriteit
#Batebestuur		#Beskerming
Spring na Onderwerp
Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Eienaarskap van beheer 7.9

Beheer 7.9 vereis van organisasies om prosedures en kontroles daar te stel en toe te pas wat alle toestelle dek wat deur die organisasie besit word of namens die organisasie gebruik word. Verder is die skep van 'n bate-inventaris en die hoër bestuur se goedkeuring van die gebruik van persoonlike toestelle noodsaaklik vir die doeltreffende beskerming van off-site toestelle.

Daarom moet die inligtingsekuriteitsbestuurder met die bestuur en relevante bate-eienaars konsulteer en moet verantwoordelik wees vir die skepping, implementering en instandhouding van prosedures en maatreëls om die sekuriteit te handhaaf van toestelle wat van korporatiewe persele verwyder is.

Algemene riglyne oor nakoming

Beheer 7.9 lys ses vereistes waaraan organisasies moet voldoen wanneer maatreëls en riglyne ontwerp en geïmplementeer word vir die beskerming van bates wat van die terrein af geneem word:

  1. Rekenaartoerusting en bergingsmedia wat van die terrein af geneem word, soos korporatiewe rekenaars, USB's, hardeskywe en monitors, moet nie onbewaak gelaat word in openbare ruimtes soos koffiehuise of in enige onveilige area nie.

  2. Toestelvervaardiger se leiding en spesifikasies oor die fisiese beskerming van die betrokke toestel moet te alle tye nagekom word. Die toestelvervaardiger se instruksies kan byvoorbeeld insluit hoe om die toestel/toerusting teen water, hitte, elektromagnetiese velde en stof te beskerm.

  3. Werknemers en/of ander organisasies wat rekenaartoerusting buite die korporatiewe perseel neem, mag hierdie toerusting aan ander werknemers of derde partye oordra. Om die sekuriteit van hierdie toerusting te handhaaf, moet organisasies 'n logboek hou wat die ketting van bewaring definieer. Hierdie log rekord moet ten minste die name van individue bevat verantwoordelik vir die toestel en hul organisasie.

  4. Indien 'n organisasie ag dat 'n magtigingsproses nodig en prakties is vir die verwydering van toerusting uit die korporatiewe perseel, moet dit 'n magtigingsprosedure instel en toepas vir die neem van sekere toerusting van die perseel af. Hierdie magtigingsprosedure moet ook die hou van rekord van alle toestelverwyderingsaksies insluit sodat die organisasie het 'n ouditspoor.

  5. Toepaslike maatreëls moet geïmplementeer word om die risiko van ongemagtigde besigtiging van inligting op die skerm op openbare vervoer uit te skakel.

  6. Liggingopsporingsnutsgoed en afstandtoegang moet in plek wees sodat die toestel opgespoor kan word en die inligting wat in die toestel vervat is, op afstand uitgevee kan word indien nodig.

Aanvullende leiding oor beheer 7.9

Beheer 7.9 skryf ook vereistes voor vir die beskerming van toerusting wat permanent buite die korporatiewe perseel geïnstalleer is.

Hierdie toerusting kan antennas en OTM'e insluit.

Aangesien hierdie toerusting onderhewig kan wees aan verhoogde risiko's van skade en verlies, vereis Beheer 7.9 dat organisasies die volgende in ag neem wanneer hulle hierdie toerusting buite die terrein beskerm:

  1. Beheer 7.4, naamlik die Fisiese sekuriteitsmonitering, moet oorweeg word.

  2. Beheer 7.5, naamlik die beskerming teen omgewings- en fisiese bedreigings moet in ag geneem word

  3. Toegangsbeheer moet ingestel word en toepaslike maatreëls moet geïmplementeer word om gepeuter te voorkom.

  4. Logiese toegangskontroles moet geskep en toegepas word.

Verder beveel Beheer 7.9 aan dat organisasies beheermaatreëls 6.7 en 8.1 oorweeg wanneer maatreëls gedefinieer en implementeer word om toestelle en toerusting te beskerm.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/ 7.9 vervang 27002:2013/(11.2.6)

Daar is drie sleutelverskille wat uitgelig moet word:

  • Beheer 7.9 skryf meer omvattende vereistes voor

In vergelyking met die 2013-weergawe, Beheer 7.9 in die 2022-weergawe stel die volgende twee vereistes bekend:

  1. Toepaslike maatreëls moet geïmplementeer word om die risiko van ongemagtigde besigtiging van inligting op die skerm op openbare vervoer uit te skakel.

  2. Liggingopsporingsnutsgoed en afstandtoegang moet in plek wees sodat die toestel opgespoor kan word en die inligting wat in die toestel vervat is, op afstand uitgevee kan word indien nodig.
  • Beheer 7.9 stel nuwe vereistes vir permanent geïnstalleerde toestelle buite die perseel bekend

In teenstelling met die 2013-weergawe, bevat Beheer 7.9 in die 2022-weergawe aparte riglyne oor die beskerming van toerusting wat permanent op 'n plek buite die perseel geïnstalleer is.

Dit kan antennas en OTM'e insluit.

  • Verbod op afstandwerk om risiko's uit te skakel

Die 2013-weergawe het uitdruklik gesê dat organisasies werknemers mag verbied om op afstand te werk wanneer dit gepas is vir die vlak van risiko wat geïdentifiseer is. Die 2022-weergawe verwys egter nie na so 'n maatreël nie.

Hoe ISMS.online help

Jy kan ISMS.online gebruik om bestuur jou ISO 27002 implementering, aangesien dit spesifiek ontwerp is om 'n maatskappy te help met die implementering van hul inligtingsekuriteitbestuurstelsel (ISMS) om aan die vereistes van ISO 27002 te voldoen.

Die platform gebruik 'n risiko-gebaseerde benadering gekombineer met toonaangewende beste praktyke en sjablone om jou te help om die risiko's te identifiseer wat jou organisasie in die gesig staar en die kontroles wat nodig is om daardie risiko's te bestuur. Dit laat jou toe om beide jou risikoblootstelling en jou nakomingskoste stelselmatig te verminder.

Kontak vandag nog om bespreek 'n demo.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind