ISO 27002:2022, Beheer 8.1 – Gebruikerseindpunttoestelle

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

vrou,gebruik,skootrekenaar,binnehuis.close up,hand

Terwyl die verskuiwing na afgeleë werk en toenemende gebruik van mobiele toestelle werknemers se produktiwiteit 'n hupstoot gee en organisasies geld spaar, is gebruikerseindpunttoestelle soos skootrekenaars, selfone en tablette kwesbaar vir kuberbedreigings. Dit is omdat kubermisdadigers hierdie toestelle dikwels uitbuit om te wen ongemagtigde toegang tot korporatiewe netwerke en kompromie inligting bates.

Byvoorbeeld, kubermisdadigers kan werknemers teiken met 'n uitvissing-aanval, werknemers oorreed om 'n wanware-aanhangsel af te laai, en dan hierdie wanware-geïnfekteerde gebruiker-eindpunttoestel gebruik om die wanware oor die hele korporatiewe netwerk te versprei. Hierdie aanval kan lei tot die verlies van beskikbaarheid, integriteit of vertroulikheid van inligtingsbates.

Volgens 'n opname uitgevoer met 700 IT-professionele persone, het ongeveer 70% van organisasies in 2020 inbreuk op inligtingbates en IT-infrastruktuur ervaar as gevolg van 'n eindpuntgebruiker-toestelverwante aanval.

Beheer 8.1 spreek aan hoe organisasies onderwerpspesifieke beleid, prosedures en tegniese maatreëls kan vestig, in stand hou en implementeer om te verseker dat inligtingsbates wat op gebruikereindpunttoestelle gehuisves of verwerk word, nie gekompromitteer, verlore of gesteel word nie.

Doel van beheer 8.1

Beheer 8.1 stel organisasies in staat om die sekuriteit, vertroulikheid, integriteit en beskikbaarheid van inligtingsbates gehuisves op of toeganklik via eindpuntgebruikerstoestelle te beskerm en in stand te hou deur in plek te stel geskikte beleide, prosedures en kontroles.

Eienskappe tabel

Beheer 8.1 is voorkomend van aard. Dit vereis van organisasies om beleide, prosedures en tegniese maatreëls te implementeer wat van toepassing is op alle gebruikereindpunttoestelle wat inligtingbates huisves of verwerk sodat dit nie gekompromitteer, verlore of gesteel word nie.

beheer Tipe Eienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende #Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm #Batebestuur
#Inligtingbeskerming		#Beskerming
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 8.1

Aangesien voldoening aan Beheer 8.1 die skepping, instandhouding van en nakoming van organisasiewye onderwerpspesifieke beleid, prosedures en tegniese maatreëls behels, het die hoof inligtingsekuriteitsbeampte moet verantwoordelikheid dra vir voldoening met die vereistes van Beheer 8.1.

Algemene riglyne oor nakoming

Beheer 8.1 vereis van organisasies om 'n onderwerpspesifieke beleid te skep wat aanspreek hoe gebruikerseindpunttoestelle veilig gekonfigureer moet word en hoe hierdie toestelle deur gebruikers hanteer moet word.

Alle personeel moet oor hierdie Polis ingelig word en die Polis moet die volgende dek:

  • Watter tipe inligting, veral op watter vlak van klassifikasie, kan in gebruikerseindpunttoestelle verwerk, gestoor of gebruik word.

  • Hoe die toestelle geregistreer moet word.

  • Vereistes vir die fisiese beskerming van toestelle.

  • Beperkings op die installering van sagtewareprogramme op toestelle.

  • Reëls oor die paaiement van sagteware op die toestelle en oor sagteware-opdaterings.

  • Reëls oor hoe die gebruiker se eindpunttoestelle aan publieke netwerke of aan netwerke op ander perseel buite die perseel gekoppel kan word.

  • Toegangskontroles.

  • Enkripsie van die stoormedia wat inligtingbates huisves.

  • Hoe toestelle teen wanware-aanvalle beskerm sal word.

  • Hoe toestelle gedeaktiveer of uitgesluit kan word. Hoe inligting vervat in die toestelle op afstand uitgevee kan word.

  • Rugsteunmetodes en -prosedures.

  • Reëls oor die gebruik van webtoepassings en dienste.

  • Ontleding van eindgebruikersgedrag.

  • Hoe verwyderbare bergingsmedia soos USB-aandrywers gebruik kan word en hoe fisiese poorte soos USB-poorte gedeaktiveer kan word.

  • Hoe segregasievermoëns kan gebruik word om die organisasie se inligting te skei bates van ander bates wat op die gebruikertoestel gestoor is.

Verder merk die Algemene Riglyne op dat organisasies dit moet oorweeg om die berging van sensitiewe inligtingbates op gebruikereindpunttoestelle te verbied deur tegniese kontroles te implementeer.

Hierdie tegniese kontroles kan die deaktivering van plaaslike bergingsfunksies soos SD-kaarte insluit.

Om hierdie aanbevelings in die praktyk toe te pas, moet organisasies hul wend tot Konfigurasiebestuur soos uiteengesit in die Beheer 8.9 en geoutomatiseerde gereedskap gebruik.

Aanvullende leiding oor gebruikersverantwoordelikheid

Alle personeel moet ingelig word oor die sekuriteitsmaatreëls vir gebruikerseindpunttoestelle en prosedures waaraan hulle moet voldoen. Verder moet hulle wees bewus gemaak van hul verantwoordelikhede vir die toepassing van hierdie maatreëls en prosedures.

Organisasies moet personeel opdrag gee om aan die volgende reëls en prosedures te voldoen:

  • Wanneer 'n diens nie meer benodig word nie of wanneer 'n sessie eindig, moet gebruikers uit sessie afmeld en dienste beëindig.

  • Personeel moet nie hul toestelle sonder toesig los nie. Wanneer toestelle nie gebruik word nie, moet personeel die onderhou sekuriteit van die toestelle teen ongemagtigde toegang of gebruik deur fisiese kontroles toe te pas soos sleutelslotte en deur tegniese kontroles soos robuuste wagwoorde.

  • Personeel moet met ekstra sorg optree wanneer hulle eindpunttoestelle wat sensitiewe inligting bevat in onveilige openbare areas gebruik.

  • Gebruikerseindpunttoestelle moet teen diefstal beskerm word, veral in riskante areas soos hotelkamers, konferensiekamers of openbare vervoer.

Verder word organisasies ook aangeraai om 'n spesiale prosedure in te stel vir die verlies of diefstal van gebruikerseindpunttoestelle. Hierdie prosedure moet geskep word met inagneming van wetlike, kontraktuele en sekuriteitsvereistes.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding oor die gebruik van persoonlike toestelle (BYOD)

Terwyl personeel toe te laat om hul eie persoonlike toestelle vir werkverwante doeleindes te gebruik, organisasies geld bespaar, stel dit sensitiewe inligtingbates aan nuwe risiko's bloot.

Beheer 8.1 lys vyf aanbevelings wat organisasies moet oorweeg wanneer hulle werknemers toelaat om hul eie toestelle vir werkverwante take te gebruik:

  1. Daar moet tegniese maatreëls soos sagteware-instrumente in plek wees om die persoonlike en besigheidsgebruik van die toestelle te skei sodat die organisasie se inligting beskerm word.

  2. Personeel moet slegs toegelaat word om hul eie toestel te gebruik nadat hulle tot die volgende ingestem het:

    • Personeel erken hul pligte om toestelle fisies te beskerm en nodige sagteware-opdaterings uit te voer.

    • Personeel stem in om geen eienaarskap van die organisasie se inligtingsbates op te eis nie.

    • Personeel stem in dat inligting vervat in die toestel oor 'n afstand uitgevee kan word wanneer die toestel verlore of gesteel word, onderhewig aan wetlike vereistes vir persoonlike data.
  3. Vestiging van beleide oor die eienaarskap van intellektuele eiendomsregte wat geskep word deur die gebruik van gebruikerseindpunttoestelle.

  4. Hoe toegang tot die privaat toestelle van personeel verkry sal word, met inagneming van die statutêre beperkings op sodanige toegang.

  5. Om personeel toe te laat om hul private toestelle te gebruik, kan lei tot wetlike aanspreeklikheid as gevolg van die gebruik van derdeparty-sagteware op hierdie toestelle. Organisasies moet die sagteware-lisensiëringsooreenkomste wat hulle met hul verskaffers het, oorweeg.

Aanvullende leiding oor draadlose verbindings

Organisasies moet prosedures ontwikkel en in stand hou vir:

Bykomende leiding oor beheer 8.1

Wanneer gebruikerseindpunttoestelle uit die organisasie se perseel geneem word, kan inligtingsbates aan verhoogde risiko's van kompromie blootgestel word. Daarom sal organisasies dalk verskillende kontroles moet instel vir toestelle wat buite die perseel gebruik word.

Verder waarsku Control 8.1 organisasies teen verlies van inligting as gevolg van twee risiko's wat verband hou met draadlose verbindings:

  • Draadlose verbindings met lae bandwydte kan lei tot mislukking van data-rugsteun.

  • Gebruikerseindpunttoestelle kan soms van die draadlose netwerk ontkoppel word en geskeduleerde rugsteune kan misluk.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.1 vervang 27002:2013/(6.2.1 en 12.2.8)

Strukturele verskille

In in teenstelling met die 2022-weergawe wat gebruikerseindpunttoestelle onder een beheer (8.1) aanspreek, het die 2013-weergawe twee afsonderlike kontroles ingesluit: Mobiele toestelbeleid in beheer 6.2.1 en onbewaakte gebruikertoerusting in beheer 11.2.8.

Verder, terwyl die Beheer 8.1 in die 2022-weergawe van toepassing is op alle gebruiker-eindpunttoestelle soos skootrekenaars, tablette en selfone, het die 2013-weergawe slegs na die mobiele toestelle verwys.

2022-weergawe skryf bykomende vereistes vir gebruikersverantwoordelikheid voor

Alhoewel beide weergawes grootliks soortgelyk is in terme van die vereistes vir gebruikersverantwoordelikheid, bevat die 2022-weergawe een bykomende vereiste:

  • Personeel moet met ekstra sorg optree wanneer hulle eindpunttoestelle wat sensitiewe inligting bevat in onveilige openbare areas gebruik.

2022-weergawe is meer omvattend in terme van BYOD

In vergelyking met die 2013-weergawe stel beheer 8.1 in die 2022-weergawe drie nuwe vereistes vir die gebruik van personeel se private toestelle (BYOD):

  • Vestiging van beleide oor die eienaarskap van intellektuele eiendomsregte wat geskep word deur die gebruik van gebruikerseindpunttoestelle.

  • Hoe toegang tot die privaat toestelle van personeel verkry sal word, met inagneming van die statutêre beperkings op sodanige toegang.

  • Om personeel toe te laat om hul private toestelle te gebruik, kan lei tot wetlike aanspreeklikheid as gevolg van die gebruik van derdeparty-sagteware op hierdie toestelle. Organisasies moet die sagteware-lisensiëringsooreenkomste wat hulle met hul verskaffers het, oorweeg.

2022-weergawe vereis 'n meer gedetailleerde onderwerpspesifieke beleid

Soortgelyk aan die 2013-weergawe, vereis die 2022-weergawe ook van organisasies om 'n onderwerpspesifieke beleid op gebruikereindpunttoestelle aan te neem.

Die beheer 8.1 in die 2022-weergawe is egter meer omvattend aangesien dit drie nuwe elemente bevat wat ingesluit moet word:

  1. Ontleding van eindgebruikersgedrag.
  2. Hoe verwyderbare toestelle soos USB-aandrywers gebruik kan word en hoe fisiese poorte soos USB-poorte gedeaktiveer kan word.
  3. Hoe segregasievermoëns kan gebruik word om die organisasie se inligting te skei bates van ander bates wat op die gebruikertoestel gestoor is.

Hoe ISMS.online help

ISMS.Online is die toonaangewende ISO 27002-bestuurstelselsagteware wat voldoening aan ISO 27002, en help maatskappye om hul sekuriteitsbeleide in lyn te bring en prosedures met die standaard.

Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.

Kontak vandag nog om bespreek 'n demo.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind