- nähdä ISO 27002:2022 Control 7.10 lisätietoja.
- nähdä ISO 27001:2013 Liite A 8.3.1 lisätietoja.
- nähdä ISO 27001:2013 Liite A 8.3.2 lisätietoja.
- nähdä ISO 27001:2013 Liite A 8.3.3 lisätietoja.
- nähdä ISO 27001:2013 Liite A 11.2.5 lisätietoja.
ISO 27001 Liite A 7.10: Arkaluonteisten tietojen suojaaminen tallennusvälineillä
Tallennusvälinelaitteiden, kuten SSD-levyjen, USB-levyjen, ulkoisten asemien ja matkapuhelimien, käyttö on välttämätöntä useissa olennaisissa tiedonkäsittelytoiminnoissa, mukaan lukien tietojen varmuuskopiointi, tallennus ja siirto.
Arkaluonteisten ja tärkeiden tietojen tallentaminen näille laitteille vaarantaa tietoresurssien tarkkuuden, salassapitoisuuden ja saavutettavuuden. Näihin riskeihin voi sisältyä luottamuksellisia tietoja sisältävien tallennusvälineiden katoaminen tai varkaus, haittaohjelmien siirtyminen kaikissa yrityksen tietoverkoissa tallennusvälineiden kautta sekä varmuuskopiointiin käytettyjen tallennusvälineiden hajoaminen tai laadun heikkeneminen.
ISO 27001:2022 liitteessä A 7.10 hahmotellaan toimenpiteet, jotka organisaatioiden on toteutettava varmistaakseen tallennusvälineiden turvallisuuden koko sen elinkaaren ajan hankinnasta hävittämiseen. Sen turvallisuuden takaamiseksi on otettava käyttöön politiikkaa ja valvontaa.
ISO 27001:2022 liitteen A tarkoitus 7.10
ISO 27001:2022 liite A 7.10 helpottaa organisaatioiden lieventämistä ja poistamista tallennusvälinelaitteilla olevien luottamuksellisten tietojen luvattomaan käyttöön, käyttöön, poistamiseen, muuttamiseen ja lähettämiseen liittyvistä riskeistä. Siinä määritellään menetelmät tallennusvälineiden hallintaan sen koko elinkaaren ajan.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Mitä liite A 7.10 kattaa?
ISO 27001:2022 Liite A 7.10 koskee sekä digitaalisia että fyysisiä tallennusvälineitä. Tämä valvonta kattaa myös esimerkiksi fyysisten asiakirjojen tietojen tallentamisen.
Kiintolevyt kiinteänä tallennusvälineenä ovat irrotettavien tallennusvälineiden ohella myös ISO 27001:2022 liitteen A kohdan 7.10 alaisia.
Liitteen A omistusoikeus 7.10
ISO 27001:2022 liite A 7.10 velvoittaa organisaatiot luomaan ja toteuttamaan sopivat menettelyt, tekniset tarkastukset ja organisaation laajuiset käytännöt koskien tallennusvälineiden käyttöä organisaation oman luokitusjärjestelmän ja tietojenkäsittelyn mukaisesti. vaatimukset, kuten lailliset ja sopimukset olosuhteissa.
Tietoturvapäälliköt pitäisi ottaa vastuulleen koko vaatimustenmukaisuussykli.
ISO 27001:2022 -standardin liite A 7.10 Vaatimustenmukaisuus
Irrotettava tallennusväline
Irrotettavat tietovälineet ovat välttämättömiä monissa liiketoiminnoissa ja ovat henkilöstön laajasti käytössä. Ne muodostavat kuitenkin suurimman riskin arkaluontoisille tiedoille.
ISO 27001:2022 liitteessä A 7.10 esitetään kymmenen ehtoa, jotka organisaatioiden on noudatettava hallitakseen irrotettavia tallennusvälineitä niiden elinkaaren aikana:
- Organisaatioiden tulisi luoda politiikka, joka keskittyy irrotettavien tallennusvälineiden hankintaan, valtuutukseen, käyttöön ja hävittämiseen ja tiedottaa koko henkilöstölle ja asianomaisille osapuolille niiden olemassaolosta.
- Organisaatioiden tulee, jos se on käytännöllistä ja tarpeellista, ottaa käyttöön valtuutusmenettelyt irrotettavien tallennusvälineiden viemiseksi ulos yrityksen tiloista. Lisäksi muuttopäiväkirjaa tulee pitää tarkastuksen seuranta.
- Säilytä kaikki irrotettavat tallennusvälineet turvallisessa paikassa, kuten tallelokerossa, ottaen huomioon tietojen luokittelu tiedot ja tiedotusvälineiden ympäristö- ja fyysiset uhat.
- Jos siirrettävien tietovälineiden tietojen luottamuksellisuuden ja luotettavuuden säilyttäminen on äärimmäisen tärkeää, salausmenetelmiä tulisi käyttää tietovälineiden suojaamiseksi luvattomalta käytöltä.
- Siirrettävien tallennusvälineiden huononemisen ja tietojen katoamisen estämiseksi tiedot on siirrettävä uuteen tallennusvälinelaitteeseen ennen riskin syntymistä.
- On erittäin tärkeää kopioida ja tallentaa arkaluontoiset tiedot useille tallennusvälineille, jotta kriittisten tietojen katoamisriski pienenee.
- Irrotettavien tallennusvälineiden rekisteröinti voi olla varteenotettava ratkaisu tietojen häviämisen mahdollisuuden vähentämiseksi.
- USB-portteja ja SD-korttipaikkoja ei tule käyttää, ellei se ole liiketoiminnan kannalta välttämätöntä.
- Tietojen siirtoa kaikkiin irrotettaviin tallennusvälineisiin on tarpeen valvoa.
- Kun fyysisiin asiakirjoihin sisältyviä tietoja siirretään postin tai kuriirin kautta, on suuri mahdollisuus päästä luvatta. Tämän torjumiseksi on ryhdyttävä asianmukaisiin toimenpiteisiin.
Ohjeet tallennusvälineiden turvalliseen uudelleenkäyttöön ja hävittämiseen
ISO 27001: 2022 Liite A 7.10 tarjoaa ohjeita tallennusvälineiden turvallisesta uudelleenkäytöstä ja hävittämisestä, jotta organisaatiot voivat vähentää tietojen luottamuksellisuuden loukkaamisen vaaraa ja päästä eroon siitä.
Liite A 7.10 toteaa, että organisaatioiden tulee laatia ja toteuttaa tallennusvälineiden kierrätystä ja hävittämistä koskevia suunnitelmia ottaen huomioon tallennusvälineissä olevien tietojen herkkyys.
Organisaatioiden tulee ottaa huomioon seuraavat toimenpiteitä määrittäessään:
- Jos organisaation sisäinen osapuoli aikoo käyttää tallennusvälinettä uudelleen, sillä isännöidyt arkaluontoiset tiedot tulee peruuttamattomasti poistaa tai muotoilla uudelleen ennen valtuutusta.
- Arkaluonteisia tietoja isännöivien tallennusvälineiden turvallinen tuhoaminen on välttämätöntä, kun niitä ei enää tarvita. Paperiasiakirjat voidaan silputa ja digitaaliset laitteet fyysisesti tuhota.
- Olisi kehitettävä järjestelmä hävitettävän tallennusvälineen tunnistamiseksi.
- Organisaatioiden tulee noudattaa asianmukaista huolellisuutta valitessaan ulkopuolista tahoa keräämään ja hävittämään tallennusvälineitä ja varmistamaan, että valittu toimittaja on pätevä ja että sillä on asianmukaiset valvontatoimet.
- Kaikkien hävitettyjen kohteiden dokumentointi kirjausketjua varten.
- Kun hävitetään useita tallennusvälineitä yhdessä, on otettava huomioon kumulatiivinen vaikutus: Erilaisten tietojen yhdistäminen kustakin tallennusvälineestä voi johtaa ei-arkaluonteisten tietojen muuttumiseen arkaluontoiseksi materiaaliksi.
Lopuksi ISO 27001:2022 liite A 7.10 velvoittaa organisaatiot arvioimaan vaurioituneisiin laitteisiin tallennettujen luottamuksellisten tietojen riskiä määrittääkseen, pitäisikö laite tuhota vai korjata.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27001:2013
ISO 27001:2022 Liite A 7.10 korvaa standardin ISO 27001:2013 Liite A 08.3.1, 08.3.2, 08.3.3 ja 11.2.5.
Siinä on neljä huomattavaa eroa.
Muutokset rakenteessa
Toisin kuin vuoden 2013 versiossa, jossa oli kolme erillistä ohjausta median hallintaa, hävittämistä ja fyysistä median siirtoa varten, vuoden 2022 versio yhdistää ne liitteen A 7.10 alle.
Vaatimukset tallennusvälineiden uudelleenkäytölle lisätty 2022-versioon
Toisin kuin 2013-versio, joka kattoi vain suojatun median hävittämisen, vuoden 2022 versio sisältää myös suojatun median uudelleenkäyttövaatimukset.
Fyysiset siirtovaatimukset ovat kattavampia vuoden 2013 versiossa
Vuoden 2013 versiossa oli laajemmat vaatimukset tallennusvälineiden fyysiselle siirrolle, mukaan lukien kuriirien henkilöllisyystodistus ja pakkausstandardit. Sitä vastoin vuoden 7 version liitteessä A 7.10 2022 vain kehotetaan organisaatioita toimimaan varoen kuriireita valitessaan.
Aihekohtainen irrotettavan tallennusvälineen käytäntö vaaditaan 2022-versiossa
Vaikka versiot 2022 ja 2013 ovat samanlaisia siirrettävien tallennusvälineiden vaatimusten suhteen, vuoden 2022 versio edellyttää aihekohtaista käytäntöä irrotettaville tallennusvälineille. Vuoden 2013 versio ei kattanut tätä vaatimusta.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Miten ISMS.online Ohje
ISMS.online ottaa riskiperusteisen lähestymistavan, jossa hyödynnetään alan johtavia parhaita käytäntöjä ja malleja, joiden avulla voit havaita organisaatiosi riskit ja niiden hallintaan tarvittavat kontrollit. Tämä auttaa vähentämään sekä riskejä että noudattamiskustannuksia.
Ota meihin yhteyttä nyt järjestää mielenosoitus.