ISO 27002, ohjaus 7.13, laitteiden huolto

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Turvallisen ja vaatimustenmukaisen laitteiden huollon varmistaminen ISO 27002 -valvonnan 7.13 mukaisesti

IT-laitteet, kuten palvelimet, kannettavat tietokoneet, verkkolaitteet ja tulostimet, ovat elintärkeitä monissa tietojenkäsittelytoiminnoissa, kuten tietovarantojen tallentamisessa, käytössä ja siirtämisessä.

Jos tätä laitetta ei kuitenkaan huolleta ottaen huomioon tuotteen tekniset tiedot ja ympäristöriskit, sen laatu ja suorituskyky voi heikentyä. Huollon puute voi johtaa saatavuuden, eheyden ja tietovarojen luottamuksellisuus tallennettu tähän laitteeseen.

Jos organisaatio esimerkiksi ei suorita säännöllistä palvelinlaitteiston huoltoa, se ei välttämättä tunnista levytilan täyttymistä. Tämä voi johtaa palvelimelle lähetettyjen tai sieltä pois lähetettyjen tietojen katoamiseen.

Lisäksi työntekijät tai ulkopuoliset palveluntarjoajat voivat päästä käsiksi IT-laitteisiin osana ylläpitomenettelyä, mikä voi myös vaarantaa arkaluonteisten tietojen luottamuksellisuuden.

Esimerkiksi ulkoinen huoltopalveluntarjoaja voi päästä käsiksi kannettaviin tietokoneisiin tallennettuihin arkaluontoisiin tietoihin tai asentaa haittaohjelmia laitteisiin.

Valvonta 7.13 käsittelee sitä, kuinka organisaatiot voivat laatia ja toteuttaa asianmukaiset menettelyt ja toimenpiteet laitteiden asianmukaista huoltoa varten, jotta tietovarat tähän laitteeseen tallennetut tiedot eivät vaarannu.

Valvonnan tarkoitus 7.13

Valvonta 7.13 antaa organisaatioille mahdollisuuden ottaa käyttöön tarvittavat tekniset toimenpiteet ja menettelyt tietovarojen säilyttämiseen käytettävien laitteiden asianmukaisten huoltotoimien suorittamiseksi.

Näillä toimenpiteillä ja menettelyillä varmistetaan, että tietovarat eivät katoa tai vahingoitu, eivätkä ne ole alttiina vaaralle, kuten luvattomalle pääsylle.

Attribuuttien ohjaustaulukko 7.13

Ohjaus 7.13 on ennaltaehkäisevä valvonta, joka edellyttää organisaatioilta ennakoivaa lähestymistapaa laitteiden kunnossapitoon.

Se sisältää huollon puutteesta mahdollisesti aiheutuvien riskien havaitsemisen, laitteiden huoltomenettelyjen laatimisen kunkin laitteen tekniset tiedot huomioon ottaen ja asianmukaisten hallintalaitteet, jotka suojaavat tietoomaisuutta isännöi tässä laitteessa kompromisseja vastaan.

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Luottamuksellisuus	#Suojella	#Fyysinen turvallisuus	#Suojaus
	#Integrity		#Vahvuuksien hallinta	#Kestävyys
	#Saatavuus

Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo

Määräysvallan omistus 7.13

Control 7.13:n noudattaminen edellyttää laiteluettelon luomista, riskiarvioinnin tekeminen ympäristötekijöihin ja tuotespesifikaatioihin perustuen sekä asianmukaisten menettelyjen ja toimenpiteiden laatiminen ja toteuttaminen asianmukaista huoltoa varten.

Vaikka tätä laitetta päivittäin käsittelevien henkilöiden rooli on kriittinen, tietoturvapäällikön tulisi kantaa vastuu Control 7.13:n noudattamisesta.

Yleiset noudattamisohjeet

Ohjaus 7.13 luettelee 11 erityistä suositusta organisaatioille, jotka on otettava huomioon:

Huoltotoimenpiteiden tulee noudattaa laitteen valmistajan ohjeita, kuten suositeltua huoltoväliä.
Organisaatioiden tulee laatia ja soveltaa huolto-ohjelmaa kaikille laitteille.
Vain valtuutetut henkilöt tai kolmannet osapuolet saavat suorittaa laitteiden huoltotoimia tai korjauksia.
Organisaatioiden tulee luoda ja ylläpitää kirjaa kaikista laitteiden toimintahäiriöistä ja vioista. Lisäksi tämän tietueen tulee sisältää myös kaikki laitteiden huoltotoimet.
Organisaatioiden tulee toteuttaa kunnossapidon aikana asianmukaisia toimenpiteitä ottaen huomioon, suorittaako huollon työntekijä vai ulkopuolinen palveluntarjoaja. Lisäksi asianomaisen henkilöstön tulee allekirjoittaa salassapitosopimus.
Huoltotyötä suorittavaa henkilökuntaa tulee valvoa koko ajan.
Etähuoltotöiden tulee olla tiukkoja pääsy- ja lupamenettelyjä.
Jos laitteita viedään pois tiloista kunnossapitotöitä varten, organisaatioiden tulee soveltaa asianmukaisia turvatoimenpiteitä kohdan Valvonta 7.9 mukaisesti.
Organisaatioiden tulee noudattaa kaikkia vakuutusyhtiöiden asettamia huoltotoimenpiteitä koskevia vaatimuksia.
Organisaatioiden tulee tarkastaa huoltotöiden läpikäyneet laitteet varmistaakseen, ettei niitä ole peukaloitu ja että ne toimivat kunnolla.
Jos laitteet hävitetään tai käytetään uudelleen, organisaatioiden tulee ottaa käyttöön ja toteuttaa sopivat toimenpiteet ja menettelyt ottaen huomioon kohdassa Valvonta 7.14 asetetut vaatimukset.

Valvontaa koskevat lisäohjeet 7.14

Ohjaus 7.13 toteaa, että seuraavat katsotaan laitteiksi ja kuuluvat Ohjauksen 7.13 soveltamisalaan:

Tietojenkäsittelylaitteiden tekniset komponentit
Akut
Palosammuttimet
Hissit
Tehomuuntajat
Ilmastointilaitteet
Samanlainen omaisuus

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo

Muutokset ja erot standardista ISO 27002:2013

27002: 2022/7.13 korvaa 27002:2013/(11.2.4)

Vuoden 2022 versio sisältää kattavampia vaatimuksia

Vuoden 2013 versioon verrattuna vuoden 7.13 version Control 2022 asettaa kattavampia vaatimuksia. Vuoden 2013 versiossa lueteltiin vain kuusi erityisvaatimusta, kun taas Control 7.13 sisältää 11 vaatimusta.

Control 7.13 sisältää viisi seuraavaa vaatimusta, joita ei käsitelty vuoden 2013 versiossa:

Organisaatioiden tulee laatia ja soveltaa huolto-ohjelmaa kaikille laitteille.
Huoltotyötä suorittavaa henkilökuntaa tulee valvoa koko ajan.
Etähuoltotöiden tulee olla tiukkoja pääsy- ja lupamenettelyjä.
Jos laitteet hävitetään tai käytetään uudelleen, organisaatioiden tulee ottaa käyttöön ja toteuttaa sopivat toimenpiteet ja menettelyt kohdan Valvonta 7.14 mukaisesti.
Jos laitteita viedään pois tiloista kunnossapitotöitä varten, organisaatioiden tulee soveltaa asianmukaisia turvatoimenpiteitä kohdan Valvonta 7.9 mukaisesti.

Vuoden 2022 versio määrittelee "laitteet"

Täydentävässä oppaassa ohjausobjekti 7.13 määrittelee, mikä kuuluu "Laitteiston" soveltamisalaan. Sitä vastoin vuoden 2013 versiossa ei viitattu "laitteiston" merkitykseen.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	Uusi	Uhan älykkyys
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	Uusi	Fyysisen turvallisuuden valvonta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.16	Uusi	Toimien seuranta
8.23	Uusi	Web-suodatus
8.28	Uusi	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	Uusi	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	Uusi	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	Uusi	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	Uusi	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	Uusi	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISMS.Onlinen avulla voit:

Dokumentoi prosessisi. Tämän intuitiivisen käyttöliittymän avulla voit dokumentoida prosessisi ilman ohjelmiston asentamista tietokoneellesi tai verkkoon.
Automatisoi omasi riskinarviointiprosessi.
Osoita vaatimustenmukaisuus helposti online-raporttien ja tarkistuslistojen avulla.
Pidä kirjaa edistymisestä työskennellessäsi sertifiointiin.
ISMS.Online tarjoaa täyden valikoiman ominaisuuksia, jotka auttavat organisaatioita ja yrityksiä noudattamaan vaatimuksia teollisuusstandardi ISO 27001 ja/tai ISO 27002 ISMS.

Ota yhteyttä jo tänään varaa esittely.

ISO 27002:2022 – Ohjaus 7.13 – Laitteiden huolto