ISO 27002:2022, ohjaus 6.7 – Etätyöskentely

Ominaisuustaulukko

Attribuutteja käytetään ohjaimien luokitteluun. Voit yhdistää ohjausvaihtoehtosi välittömästi laajalti käytettyihin alan ilmauksiin ja teknisiin tietoihin käyttämällä attribuutteja.

Ohjaustoiminnon 6.7 attribuutit näkyvät alla.

Mikä on hallinnan tarkoitus 6.7?

Ohjaus 6.7:n tarkoituksena on varmistaa, että etätyössä työskentelevillä henkilöillä on riittävät pääsynvalvontajärjestelmät, jotka suojaavat arkaluonteisten tai omistusoikeudellisten tietojen, prosessien ja järjestelmien luottamuksellisuutta, eheyttä ja saatavuutta luvattomalta käytöltä tai luvattomalta paljastamiselta.

Tietoturvan varmistamiseksi henkilöstön etätyöskentelyn aikana organisaatioiden tulee laatia etätyöskentelyä koskeva aihekohtainen politiikka, jossa määritellään tietoturvan olennaiset ehdot ja rajoitukset. Käytäntö tulee jakaa koko henkilöstölle ja sisältää ohjeita siitä, kuinka he voivat käyttää etäkäyttötekniikoita turvallisesti ja turvallisesti.

Tällainen aihekohtainen käytäntö kattaa todennäköisesti:

• Olosuhteet, joissa etätyö on sallittua.
• Prosessit, joilla varmistetaan, että etätyöntekijöillä on oikeus käyttää luottamuksellisia tietoja.
• Menettelyt, joilla varmistetaan tietojen suojaus, kun niitä siirretään eri fyysisten paikkojen välillä.

Näiden perusvaatimusten lisäksi on tärkeää myös selkeästi määritelty menettely tapaturmien ilmoittamiseen, mukaan lukien asianmukaiset yhteystiedot. Tämä voi auttaa vähentämään tietoturvaloukkausten tai muun tyyppisten tietoturvaloukkausten riskiä.

Käytännössä saattaa myös olla tarpeen käsitellä ongelmia, kuten salausta, palomuureja ja virustorjuntaohjelmistopäivityksiä sekä työntekijöiden koulutusta etäyhteyden turvallisesta käytöstä.

Mitä se sisältää ja kuinka vaatimukset täytetään

Ohjauksen 6.7 vaatimusten täyttämiseksi etätyötä sallivien organisaatioiden tulee laatia etätyöskentelyyn aihekohtainen politiikka, jossa määritellään asiaankuuluvat ehdot ja rajoitukset.

Käytäntöä tulee tarkistaa säännöllisesti, erityisesti silloin, kun teknologiassa tai lainsäädännössä tapahtuu muutoksia.

Käytännöstä tulee tiedottaa kaikille työntekijöille, urakoitsijoille ja muille etätyötoimintaan osallistuville osapuolille.

Käytäntö on dokumentoitava ja asetettava kaikkien asiaankuuluvien kolmansien osapuolien saataville, mukaan lukien sääntelyviranomaiset ja tilintarkastajat.

Organisaatioiden on myös varmistettava, että niillä on käytössään riittävät toimenpiteet sähköisesti lähetettyjen tai tallennettujen arkaluonteisten tai luottamuksellisten tietojen suojaamiseksi etätyön aikana.

Valvontamääräysten 6.7 mukaisesti on otettava huomioon seuraavat asiat:

• Etätyöpaikan olemassa oleva tai ehdotettu fyysinen turvallisuus ottaen huomioon sijainnin ja paikallisen ympäristön fyysinen turvallisuus, mukaan lukien eri lainkäyttöalueet, joilla henkilöstö sijaitsee.
• Säännöt ja turvamekanismit fyysistä etäympäristöä varten, kuten lukittavat arkistokaapit, turvallinen kuljetus paikkojen välillä ja säännöt etäkäyttöä varten, selkeä työpöytä, tulostus ja tietojen ja muiden niihin liittyvien resurssien hävittäminen sekä tietoturvatapahtumien raportointi.
• Odotetut fyysiset etätyöympäristöt.
• Viestintäturvallisuusvaatimukset, ottaen huomioon etäkäytön tarve organisaation järjestelmiin, tietoliikennelinkin kautta käytettävän ja välitettävän tiedon herkkyys sekä järjestelmien ja sovellusten herkkyys.
• Etäkäytön käyttö, kuten virtuaalisen työpöydän käyttö, joka tukee tietojen käsittelyä ja tallentamista yksityisomistuksessa oleviin laitteisiin.
• Uhka luvattoman pääsyn tietoihin tai resursseihin muilta etätyöpaikalla olevilta henkilöiltä (esim. perheenjäseniltä ja ystäviltä).
• Uhka luvattoman pääsyn tietoihin tai resursseihin muilta henkilöiltä julkisilla paikoilla.
• Kotiverkkojen ja julkisten verkkojen käyttö sekä langattomien verkkopalvelujen konfiguroinnin vaatimukset tai rajoitukset.
• Suojaustoimenpiteiden käyttö, kuten palomuurit ja suojaus haittaohjelmia vastaan.
• Suojatut mekanismit järjestelmien etäkäyttöön ja alustamiseen.
• Turvalliset autentikointi- ja käyttöoikeuksien mahdollistamismekanismit, joissa otetaan huomioon yksivaiheisten todennusmekanismien haavoittuvuus, jossa etäkäyttö organisaation verkkoon on sallittu.

Harkittavia ohjeita ja toimenpiteitä tulisi sisältää:

1. Sopivien laitteiden ja säilytyskalusteiden tarjoaminen etätyötoimintoihin, joissa ei ole sallittua käyttää yksityisomistuksessa olevia, organisaation hallinnassa olemattomia laitteita.
2. Määritelmä sallitusta työstä, säilytettävien tietojen luokittelu sekä sisäiset järjestelmät ja palvelut, joihin etätyöntekijällä on oikeus käyttää.
3. Koulutuksen järjestäminen etätyötä tekeville ja tukea antaville. Tämän pitäisi sisältää se, kuinka liiketoimintaa harjoitetaan turvallisesti etätyöskentelyn aikana.
4. Sopivien viestintälaitteiden tarjoaminen, mukaan lukien menetelmät etäkäytön turvaamiseksi, kuten laitteiden näytön lukituksia ja passiivisuusajastimia koskevat vaatimukset.
5. Laitteen sijainnin seurannan käyttöönotto.
6. Etäpyyhintätoimintojen asennus.
7. Fyysinen turvallisuus.
8. Säännöt ja ohjeet perheen ja vierailijoiden pääsystä laitteisiin ja tietoihin.
9. Laitteistojen ja ohjelmistojen tuki ja ylläpito.
10. Vakuutuksen tarjoaminen.
11. Varmuuskopiointia ja liiketoiminnan jatkuvuutta koskevat menettelyt.
12. Auditointi ja turvavalvonta.
13. Valtuutuksen ja käyttöoikeuksien peruuttaminen ja laitteiden palauttaminen etätyötoiminnan lopettamisen yhteydessä.

Muutokset ja erot standardista ISO 27002:2013

Ohjaus 6.7 standardissa ISO 27002:2022 on muutettu versio standardin ISO 6.2.2:27002 ohjausversiosta 2013, eikä se ole uusi ohjausobjekti.

Vaikka näillä kahdella säätimellä on monia ominaisuuksia, ne eroavat jonkin verran nimikkeistöstä ja sanamuodoista. Esimerkiksi säätimen nimi ei ole sama. Ohjausta 6.2.2 standardissa ISO 27002:2013 kutsutaan etätyöksi. Ohjaus 6.7 viittaa siihen etätyönä. Samalla etätyö korvattiin etätyöllä standardin uudessa versiossa.

Ohjauksessa 6.7, ISO 27002:2022, standardi määrittelee, mitä etätyö on ja millaisia ​​töitä voidaan pitää etätyönä. Tämä sisältää etätyön, joka on standardin 2013 version alkuperäinen ohjausnimi.

Toteutusohjeet ovat jokseenkin samanlaisia, vaikka kieli ja termit ovat erilaisia. Versio 2022 käytti paljon käyttäjäystävällistä kieltä varmistaakseen, että standardin käyttäjät ymmärtävät, mitä he tekevät.

Joitakin kohtia lisättiin kuitenkin kontrolliin 6.7 ja osa poistettiin kontrollista 6.2.2.

Lisätty Control 6.7 Remote Working -ohjelmaan

• fyysisen etäympäristön säännöt ja suojausmekanismit, kuten lukittavat arkistokaapit, turvallinen kuljetus paikkojen välillä ja säännöt etäkäyttöä varten, selkeä työpöytä, tulostus ja tietojen ja muiden niihin liittyvien resurssien hävittäminen sekä tietoturvatapahtumien raportointi.
• odotetut fyysiset etätyöympäristöt.
• uhka, että muut henkilöt saavat luvattoman pääsyn tietoihin tai resursseihin julkisilla paikoilla.
• turvalliset mekanismit järjestelmien etäkäyttöön ja alustukseen.
• turvalliset mekanismit autentikointia ja käyttöoikeuksien mahdollistamista varten ottaen huomioon yksitekijätodennusmekanismien haavoittuvuus, jossa etäkäyttö organisaation verkkoon on sallittu.

Poistettu hallinnasta 6.2.2 Etätyö

• Kotiverkkojen käyttö ja langattomien verkkopalvelujen konfiguroinnin vaatimukset tai rajoitukset.
• Yksityisessä omistuksessa oleviin laitteisiin kehitetyt teollis- ja tekijänoikeuksia koskevat kiistat ja menettelytavat.
• Pääsy yksityisomistuksessa oleviin laitteisiin (koneen turvallisuuden tarkistamiseksi tai tutkinnan aikana), joka voidaan estää lainsäädännöllä.
• Ohjelmiston lisenssisopimukset, jotka ovat sellaisia, että organisaatiot voivat joutua vastuuseen asiakasohjelmistojen lisensoinnista työntekijöiden tai ulkopuolisten käyttäjien yksityisesti omistamilla työasemilla.

Lisäksi ISO 27002 -versio 2022 sisältää jokaiselle ohjausobjektille käyttötarkoitus- ja ominaisuustaulukot, jotka auttavat käyttäjiä ymmärtämään ja toteuttamaan säätimiä paremmin.

Vuoden 2013 versiossa ei ole näitä kahta osaa.

Kuka on vastuussa tästä prosessista?

Päävastuu etätyöntekijöiden tietoturvapolitiikan luomisesta on organisaation tietoturvapäälliköllä. Muiden sidosryhmien tulisi kuitenkin olla mukana prosessissa.

Tämä sisältää IT-päälliköt, jotka ovat vastuussa politiikan toteuttamisesta ja ylläpitämisestä, sekä henkilöstöjohtajat, jotka ovat vastuussa siitä, että työntekijät ymmärtävät sen ja noudattavat sitä.

Jos sinulla on toimittajan hallintaohjelma, vastaus riippuu siitä, kuka on vastuussa urakoitsijoiden ja toimittajien hallinnasta yleensä. Useimmissa tapauksissa tämä henkilö olisi myös vastuussa tietoturvakäytännön luomisesta kyseisen osaston etätyöntekijöille.

Mitä nämä muutokset merkitsevät sinulle?

ISO 27002 ei muuttunut merkittävästi, joten sinun ei tarvitse tehdä paljon muuta kuin tarkistaa, että tietoturvaprosessisi ovat päivityksen mukaisia.

Suurin muutos oli joidenkin ohjainten muuttaminen ja joidenkin vaatimusten selkeyttäminen. Päävaikutus 6.7:n hallinnan osalta on, että jos ulkoistat jonkin toiminnoistasi kolmannelle osapuolelle tai joudut työskentelemään etänä, sinun on varmistettava, että heillä on asianmukainen suojaustaso.

Jos sinulla on jo ISO 27001 -sertifikaatti, nykyinen tietoturvan hallintaprosessisi täyttää uudet vaatimukset.

Tämä tarkoittaa, että jos aiot uusia nykyisen ISO 27001 -sertifikaattisi, sinun ei tarvitse tehdä mitään. Sinun on vain varmistettava, että prosessisi ovat edelleen uuden standardin mukaisia.

Jos kuitenkin aloitat tyhjästä, sinun on pohdittava, kuinka yrityksesi voi valmistautua kyberhyökkäuksiin ja muihin tietovaroihin kohdistuviin uhkiin.

Pääasia on, että kyberriskejä on suhtauduttava riittävän vakavasti, jotta niitä hallitaan osana kokonaisliiketoimintastrategiaasi sen sijaan, että IT- tai turvallisuusosastot käsittelisivät niitä erillisenä asiana.

Miten ISMS.Online auttaa

ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.

Se tarjoaa tavan dokumentoida löydösi ja viestiä niistä tiimisi jäsenten kanssa verkossa. ISMS.Onlinen avulla voit myös luoda ja tallentaa tarkistuslistoja kaikille ISO 27002:n käyttöönottoon liittyville tehtäville, jotta voit helposti seurata organisaatiosi suojausohjelman edistymistä.

ISMS.Onlinen automatisoidun työkalusarjan ansiosta organisaatioiden on helppo osoittaa noudattavansa ISO 27002 -standardia.

Ota yhteyttä jo tänään aikataulun esittely.