Mikä on Control 6.7?
Ohjaus 6.7, Remote Working on tarkistetun ISO 27002:2022 -standardin ohjaus. Se suosittelee, että organisaatioilla olisi etätyöskentelypolitiikka sekä tietoturvan hallintajärjestelmä, joka sisältää menettelyt tietojärjestelmien ja -verkkojen etäkäytön turvaamiseksi.
Etätyöskentelyn tietoturvavaikutukset
Etätyöskentely on yleistynyt tekniikan kehittyessä ja työntekijöiden on nyt mahdollista työskennellä kotoa ilman, että tuottavuus tai tehokkuus kärsii. Se voi kuitenkin myös herättää huolta tietoturvasta.
Jos olet yrityksen omistaja, sinun kannattaa tietää, kuinka voit suojata immateriaalioikeuksiasi verkkorikollisilta ja varmistaa, että tietosi ovat turvassa hakkereilta.
Tässä on joitain etätyön tietoturvavaikutuksia:
Kulunvalvonta
Etätyöstä voi olla hyötyä, koska se mahdollistaa helpon pääsyn arkaluontoisiin tietoihin ja järjestelmiin. Etätyöllä on kuitenkin useita turvallisuusvaikutuksia.
Etätyöskentely voi olla alttiina tietoturvariskeille, kuten hakkeroinnille, haittaohjelmahyökkäyksille, luvattomalle käytölle, jos sitä ei hallinnoida kunnolla. Tämä pätee erityisesti silloin, kun työntekijät eivät ole fyysisesti turvallisessa ympäristössä.
Fyysisen turvallisuuden menetys
Etätyö voi vaikuttaa myös yrityksen fyysiseen turvallisuuteen. Tämä johtuu siitä, että se voi tarkoittaa, että työntekijät eivät enää ole fyysisesti toimistossa tai rakennuksessa, eivätkä he siten välttämättä näe tai kuule epäilyttävää toimintaa.
Luottamuksellisuus
Etätyöskentely voi myös aiheuttaa luottamuksellisuuteen liittyviä riskejä. Työntekijät voivat esimerkiksi päästä käsiksi luottamuksellisiin tietoihin etänä ja ilman yrityksen lupaa.
Lisäksi työntekijät pääsevät helposti käsiksi arkaluonteisiin yritystietoihin julkisessa Internetissä. Itse asiassa on jopa verkkosivustoja, joille työntekijät voivat ladata arkaluonteisia tietoja kaikkien nähtäväksi.
yksityisyys
Etätyö voi myös vaikuttaa organisaation yksityisyyteen. Jos työntekijät esimerkiksi työskentelevät kotoa käsin, he saattavat todennäköisemmin jättää henkilökohtaiset tavaransa makaamaan.
Nämä tavarat voivat sisältää arkaluonteisia tietoja, jotka voivat vaarantaa yrityksen yksityisyyden.
Tietosuojaseloste
Etätyö voi myös aiheuttaa riskin yrityksen tiedoille. Esimerkiksi työntekijät pääsevät etänä yrityksen tietoihin, joita voidaan tallentaa useisiin paikkoihin.
Tämä voi sisältää tietoja tietokoneista, palvelimista ja mobiililaitteista. Jos työntekijä poistuu toimistosta ja ottaa laitteen, tietojen palauttaminen voi olla vaikeampaa.
Lisäksi työntekijä voi tehdä virheen tai tehdä jotain haitallista laitteella, mikä voi vaarantaa tiedot.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Attribuuttien ohjaustaulukko 6.7
Attribuutteja käytetään ohjaimien luokitteluun. Voit yhdistää ohjausvaihtoehtosi välittömästi laajalti käytettyihin alan ilmauksiin ja teknisiin tietoihin käyttämällä attribuutteja.
Ohjaustoiminnon 6.7 attribuutit näkyvät alla.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Vahvuuksien hallinta | #Suojaus |
| #Integrity | #Tiedon suojaus | |||
| #Saatavuus | #Fyysinen turvallisuus | |||
| #Järjestelmä- ja verkkoturvallisuus |
Mikä on hallinnan tarkoitus 6.7?
Ohjaus 6.7:n tarkoituksena on varmistaa, että etätyössä työskentelevillä henkilöillä on riittävät pääsynvalvontajärjestelmät, jotka suojaavat arkaluonteisten tai omistusoikeudellisten tietojen, prosessien ja järjestelmien luottamuksellisuutta, eheyttä ja saatavuutta luvattomalta käytöltä tai luvattomalta paljastamiselta.
Tietoturvan varmistamiseksi henkilöstön etätyöskentelyn aikana organisaatioiden tulee laatia etätyöskentelyä koskeva aihekohtainen politiikka, jossa määritellään tietoturvan olennaiset ehdot ja rajoitukset. Käytäntö tulee jakaa koko henkilöstölle ja sisältää ohjeita siitä, kuinka he voivat käyttää etäkäyttötekniikoita turvallisesti ja turvallisesti.
Tällainen aihekohtainen käytäntö kattaa todennäköisesti:
- Olosuhteet, joissa etätyö on sallittua.
- Prosessit, joilla varmistetaan, että etätyöntekijöillä on oikeus käyttää luottamuksellisia tietoja.
- Menettelyt, joilla varmistetaan tietojen suojaus, kun niitä siirretään eri fyysisten paikkojen välillä.
Näiden perusvaatimusten lisäksi on tärkeää myös selkeästi määritelty menettely tapaturmien ilmoittamiseen, mukaan lukien asianmukaiset yhteystiedot. Tämä voi auttaa vähentämään tietoturvaloukkausten tai muun tyyppisten tietoturvaloukkausten riskiä.
Käytännössä saattaa myös olla tarpeen käsitellä ongelmia, kuten salausta, palomuureja ja virustorjuntaohjelmistopäivityksiä sekä työntekijöiden koulutusta etäyhteyden turvallisesta käytöstä.
Mitä se sisältää ja kuinka vaatimukset täytetään
Ohjauksen 6.7 vaatimusten täyttämiseksi etätyötä sallivien organisaatioiden tulee laatia etätyöskentelyyn aihekohtainen politiikka, jossa määritellään asiaankuuluvat ehdot ja rajoitukset.
Käytäntöä tulee tarkistaa säännöllisesti, erityisesti silloin, kun teknologiassa tai lainsäädännössä tapahtuu muutoksia.
Käytännöstä tulee tiedottaa kaikille työntekijöille, urakoitsijoille ja muille etätyötoimintaan osallistuville osapuolille.
Käytäntö on dokumentoitava ja asetettava kaikkien asiaankuuluvien kolmansien osapuolien saataville, mukaan lukien sääntelyviranomaiset ja tilintarkastajat.
Organisaatioiden on myös varmistettava, että niillä on käytössään riittävät toimenpiteet sähköisesti lähetettyjen tai tallennettujen arkaluonteisten tai luottamuksellisten tietojen suojaamiseksi etätyön aikana.
Valvontamääräysten 6.7 mukaisesti on otettava huomioon seuraavat asiat:
- Etätyöpaikan olemassa oleva tai ehdotettu fyysinen turvallisuus ottaen huomioon sijainnin ja paikallisen ympäristön fyysinen turvallisuus, mukaan lukien eri lainkäyttöalueet, joilla henkilöstö sijaitsee.
- Säännöt ja turvamekanismit fyysistä etäympäristöä varten, kuten lukittavat arkistokaapit, turvallinen kuljetus paikkojen välillä ja säännöt etäkäyttöä varten, selkeä työpöytä, tulostus ja tietojen ja muiden niihin liittyvien resurssien hävittäminen sekä tietoturvatapahtumien raportointi.
- Odotetut fyysiset etätyöympäristöt.
- Viestintäturvallisuusvaatimukset, ottaen huomioon etäkäytön tarve organisaation järjestelmiin, tietoliikennelinkin kautta käytettävän ja välitettävän tiedon herkkyys sekä järjestelmien ja sovellusten herkkyys.
- Etäkäytön käyttö, kuten virtuaalisen työpöydän käyttö, joka tukee tietojen käsittelyä ja tallentamista yksityisomistuksessa oleviin laitteisiin.
- Uhka luvattoman pääsyn tietoihin tai resursseihin muilta etätyöpaikalla olevilta henkilöiltä (esim. perheenjäseniltä ja ystäviltä).
- Uhka luvattoman pääsyn tietoihin tai resursseihin muilta henkilöiltä julkisilla paikoilla.
- Kotiverkkojen ja julkisten verkkojen käyttö sekä langattomien verkkopalvelujen konfiguroinnin vaatimukset tai rajoitukset.
- Suojaustoimenpiteiden käyttö, kuten palomuurit ja suojaus haittaohjelmia vastaan.
- Suojatut mekanismit järjestelmien etäkäyttöön ja alustamiseen.
- Turvalliset autentikointi- ja käyttöoikeuksien mahdollistamismekanismit, joissa otetaan huomioon yksivaiheisten todennusmekanismien haavoittuvuus, jossa etäkäyttö organisaation verkkoon on sallittu.
Harkittavia ohjeita ja toimenpiteitä tulisi sisältää:
- Sopivien laitteiden ja säilytyskalusteiden tarjoaminen etätyötoimintoihin, joissa ei ole sallittua käyttää yksityisomistuksessa olevia, organisaation hallinnassa olemattomia laitteita.
- Määritelmä sallitusta työstä, säilytettävien tietojen luokittelu sekä sisäiset järjestelmät ja palvelut, joihin etätyöntekijällä on oikeus käyttää.
- Koulutuksen järjestäminen etätyötä tekeville ja tukea antaville. Tämän pitäisi sisältää se, kuinka liiketoimintaa harjoitetaan turvallisesti etätyöskentelyn aikana.
- Sopivien viestintälaitteiden tarjoaminen, mukaan lukien menetelmät etäkäytön turvaamiseksi, kuten laitteiden näytön lukituksia ja passiivisuusajastimia koskevat vaatimukset.
- Laitteen sijainnin seurannan käyttöönotto.
- Etäpyyhintätoimintojen asennus.
- Fyysinen turvallisuus.
- Säännöt ja ohjeet perheen ja vierailijoiden pääsystä laitteisiin ja tietoihin.
- Laitteistojen ja ohjelmistojen tuki ja ylläpito.
- Vakuutuksen tarjoaminen.
- Varmuuskopiointia ja liiketoiminnan jatkuvuutta koskevat menettelyt.
- Auditointi ja turvavalvonta.
- Valtuutuksen ja käyttöoikeuksien peruuttaminen ja laitteiden palauttaminen etätyötoiminnan lopettamisen yhteydessä.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Muutokset ja erot standardista ISO 27002:2013
Ohjaus 6.7 standardissa ISO 27002:2022 on muutettu versio standardin ISO 6.2.2:27002 ohjausversiosta 2013, eikä se ole uusi ohjausobjekti.
Vaikka näillä kahdella säätimellä on monia ominaisuuksia, ne eroavat jonkin verran nimikkeistöstä ja sanamuodoista. Esimerkiksi säätimen nimi ei ole sama. Ohjausta 6.2.2 standardissa ISO 27002:2013 kutsutaan etätyöksi. Ohjaus 6.7 viittaa siihen etätyönä. Samalla etätyö korvattiin etätyöllä standardin uudessa versiossa.
Ohjauksessa 6.7, ISO 27002:2022, standardi määrittelee, mitä etätyö on ja millaisia töitä voidaan pitää etätyönä. Tämä sisältää etätyön, joka on standardin 2013 version alkuperäinen ohjausnimi.
Toteutusohjeet ovat jokseenkin samanlaisia, vaikka kieli ja termit ovat erilaisia. Versio 2022 käytti paljon käyttäjäystävällistä kieltä varmistaakseen, että standardin käyttäjät ymmärtävät, mitä he tekevät.
Joitakin kohtia lisättiin kuitenkin kontrolliin 6.7 ja osa poistettiin kontrollista 6.2.2.
Lisätty Control 6.7 Remote Working -ohjelmaan
- fyysisen etäympäristön säännöt ja suojausmekanismit, kuten lukittavat arkistokaapit, turvallinen kuljetus paikkojen välillä ja säännöt etäkäyttöä varten, selkeä työpöytä, tulostus ja tietojen ja muiden niihin liittyvien resurssien hävittäminen sekä tietoturvatapahtumien raportointi.
- odotetut fyysiset etätyöympäristöt.
- uhka, että muut henkilöt saavat luvattoman pääsyn tietoihin tai resursseihin julkisilla paikoilla.
- turvalliset mekanismit järjestelmien etäkäyttöön ja alustukseen.
- turvalliset mekanismit autentikointia ja käyttöoikeuksien mahdollistamista varten ottaen huomioon yksitekijätodennusmekanismien haavoittuvuus, jossa etäkäyttö organisaation verkkoon on sallittu.
Poistettu hallinnasta 6.2.2 Etätyö
- Kotiverkkojen käyttö ja langattomien verkkopalvelujen konfiguroinnin vaatimukset tai rajoitukset.
- Yksityisessä omistuksessa oleviin laitteisiin kehitetyt teollis- ja tekijänoikeuksia koskevat kiistat ja menettelytavat.
- Pääsy yksityisomistuksessa oleviin laitteisiin (koneen turvallisuuden tarkistamiseksi tai tutkinnan aikana), joka voidaan estää lainsäädännöllä.
- Ohjelmiston lisenssisopimukset, jotka ovat sellaisia, että organisaatiot voivat joutua vastuuseen asiakasohjelmistojen lisensoinnista työntekijöiden tai ulkopuolisten käyttäjien yksityisesti omistamilla työasemilla.
Lisäksi ISO 27002 -versio 2022 sisältää jokaiselle ohjausobjektille käyttötarkoitus- ja ominaisuustaulukot, jotka auttavat käyttäjiä ymmärtämään ja toteuttamaan säätimiä paremmin.
Vuoden 2013 versiossa ei ole näitä kahta osaa.
Kuka on vastuussa tästä prosessista?
Päävastuu etätyöntekijöiden tietoturvapolitiikan luomisesta on organisaation tietoturvapäälliköllä. Muiden sidosryhmien tulisi kuitenkin olla mukana prosessissa.
Tämä sisältää IT-päälliköt, jotka ovat vastuussa politiikan toteuttamisesta ja ylläpitämisestä, sekä henkilöstöjohtajat, jotka ovat vastuussa siitä, että työntekijät ymmärtävät sen ja noudattavat sitä.
Jos sinulla on toimittajan hallintaohjelma, vastaus riippuu siitä, kuka on vastuussa urakoitsijoiden ja toimittajien hallinnasta yleensä. Useimmissa tapauksissa tämä henkilö olisi myös vastuussa tietoturvakäytännön luomisesta kyseisen osaston etätyöntekijöille.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä nämä muutokset merkitsevät sinulle?
ISO 27002 ei muuttunut merkittävästi, joten sinun ei tarvitse tehdä paljon muuta kuin tarkistaa, että tietoturvaprosessisi ovat päivityksen mukaisia.
Suurin muutos oli joidenkin ohjainten muuttaminen ja joidenkin vaatimusten selkeyttäminen. Päävaikutus 6.7:n hallinnan osalta on, että jos ulkoistat jonkin toiminnoistasi kolmannelle osapuolelle tai joudut työskentelemään etänä, sinun on varmistettava, että heillä on asianmukainen suojaustaso.
Jos sinulla on jo ISO 27001 -sertifikaatti, nykyinen tietoturvan hallintaprosessisi täyttää uudet vaatimukset.
Tämä tarkoittaa, että jos aiot uusia nykyisen ISO 27001 -sertifikaattisi, sinun ei tarvitse tehdä mitään. Sinun on vain varmistettava, että prosessisi ovat edelleen uuden standardin mukaisia.
Jos kuitenkin aloitat tyhjästä, sinun on pohdittava, kuinka yrityksesi voi valmistautua kyberhyökkäuksiin ja muihin tietovaroihin kohdistuviin uhkiin.
Pääasia on, että kyberriskejä on suhtauduttava riittävän vakavasti, jotta niitä hallitaan osana kokonaisliiketoimintastrategiaasi sen sijaan, että IT- tai turvallisuusosastot käsittelisivät niitä erillisenä asiana.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.Online auttaa
ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.
Se tarjoaa tavan dokumentoida löydösi ja viestiä niistä tiimisi jäsenten kanssa verkossa. ISMS.Onlinen avulla voit myös luoda ja tallentaa tarkistuslistoja kaikille ISO 27002:n käyttöönottoon liittyville tehtäville, jotta voit helposti seurata organisaatiosi suojausohjelman edistymistä.
ISMS.Onlinen automatisoidun työkalusarjan ansiosta organisaatioiden on helppo osoittaa noudattavansa ISO 27002 -standardia.
Ota yhteyttä jo tänään aikataulun esittely.
Hyppää aiheeseen
