Suojaa organisaatiosi fyysisiltä ja ympäristöuhkilta
Tietovaroihin kohdistuvat uhat eivät ole pelkästään digitaalisia: Organisaation kriittinen fyysinen infrastruktuuri, jossa tietoresursseja isännöi, on alttiina myös ympäristö- ja fyysisille uhille, jotka voivat johtaa tietovarojen ja arkaluonteisten tietojen katoamiseen, tuhoutumiseen, varkauksiin ja vaarantumiseen.
Näitä uhkia voivat olla luonnontapahtumat, kuten maanjäristykset, tulvat ja metsäpalot. Niihin voi kuulua myös ihmisen aiheuttamia katastrofeja, kuten kansalaislevottomuuksia ja rikollista toimintaa.
Ohjaus 7.5 käsittelee sitä, miten organisaatiot voivat arvioida, tunnistaa ja lieventää kriittiseen fyysiseen infrastruktuuriin kohdistuvia riskejä fyysisistä ja ympäristöuhkista.
Valvonnan tarkoitus 7.5
Control 7.5 mahdollistaa organisaatioiden mittaamisen ympäristö- ja fyysisten uhkien mahdolliset haitalliset vaikutukset sekä lieventää ja/tai poistaa näitä vaikutuksia ottamalla käyttöön asianmukaisia toimenpiteitä.
Attribuuttien ohjaustaulukko 7.5
Ohjaus 7.5 on ennaltaehkäisevä hallinta, joka vaatii organisaatioita poistamaan ja/tai lieventämään seurauksia jotka todennäköisesti johtuvat ulkoisista riskeistä, kuten luonnonkatastrofeista ja ihmisen aiheuttamista vaaratilanteista.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Fyysinen turvallisuus | #Suojaus |
| #Integrity | ||||
| #Saatavuus |
Määräysvallan omistus 7.5
Ohjaus 7.5 edellyttää organisaatioilta tehdä perusteellinen riskiarviointi ennen minkään toiminnan aloittamista fyysisessä tiloissa ja toteuttamaan tarvittavat toimenpiteet, jotka ovat oikeassa suhteessa tunnistettuun riskitasoon.
Turvallisuuspäälliköiden tulisi siksi olla vastuussa koko prosessin luomisesta, hallinnasta, toteutuksesta ja tarkistamisesta.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset noudattamisohjeet
Control 7.5 määrittelee kolmivaiheisen prosessin fyysisistä ja ympäristöuhkista johtuvien riskien tunnistamiseksi ja poistamiseksi:
- Vaihe 1: Suorita riskiarviointi
Organisaatioiden pitäisi suorittaa riskinarviointi tunnistaa mahdolliset fyysiset ja ympäristökatastrofit, joita voi tapahtua kussakin tietyssä fyysisessä tiloissa, ja mitata sitten tunnistettujen fyysisten ja ympäristöuhkien aiheuttamat vaikutukset.
Ottaen huomioon, että jokaiseen fyysiseen tilaan ja sen infrastruktuuriin kohdistuvat erilaiset ympäristöolosuhteet ja fyysiset riskitekijät, uhan tyyppi ja tunnistetun riskin taso vaihtelevat kunkin toimitilan ja sen sijainnin mukaan.
Esimerkiksi vaikka yksi toimitila voi olla kaikkein haavoittuvin maastopalolle, toinen toimitila voi sijaita alueella, jossa maanjäristyksiä esiintyy usein.
Toinen valvonnan 7.5 asettama kriittinen vaatimus on, että tämä riskinarviointi tulee tehdä ennen toiminnan aloittamista fyysisessä tiloissa.
- Vaihe 2: Tunnista ja ota hallintalaitteet käyttöön
Ensimmäisessä vaiheessa tunnistetun uhan tyypin ja riskitason perusteella organisaatioiden tulee ottaa käyttöön asianmukaisia valvontatoimia, joissa otetaan huomioon ympäristö- ja fyysisten uhkien todennäköiset seuraukset.
Ohjaus 7.5 tarjoaa havainnollistamiseksi esimerkkejä ohjaimista, jotka voidaan ottaa käyttöön seuraaville uhille:
Antaa potkut: Organisaatioiden tulee ottaa käyttöön järjestelmiä, jotka laukaisevat hälytyksen, kun tulipalo havaitaan, tai aktivoivat palontorjuntajärjestelmiä, jotka pystyvät suojaamaan tallennusvälineitä ja tietojärjestelmiä vaurioilta.
Tulvat: Järjestelmät tulee ottaa käyttöön ja määrittää havaitsemaan tulvia alueilla, joilla tietovarat on tallennettu. Lisäksi työkalujen, kuten vesipumppujen, tulee olla käyttövalmiita tulvien varalta.
Sähköpiikit: Palvelimet ja kriittinen tiedonhallintajärjestelmät tulee huoltaa ja suojata sähkökatkoilta.
Räjähteet ja aseet: Organisaatioiden pitäisi suorittaa satunnaisia tarkastuksia ja kaikkien henkilöiden, esineiden ja ajoneuvojen tarkastukset tiloihin, joissa on kriittistä infrastruktuuria.
- Vaihe 3: Valvonta
Ottaen huomioon, että uhkien tyypit ja riskien tasot voivat muuttua ajan myötä, organisaatioiden tulee jatkuvasti seurata riskiarviointeja ja harkita tarvittaessa uudelleen toteuttamiaan valvontatoimia.
Täydentävä opas
Ohjaus 7.5 luettelee neljä erityistä seikkaa, jotka organisaatioiden tulee ottaa huomioon.
Konsultointi asiantuntijoiden kanssa
Jokainen erityinen ympäristö- ja fyysinen uhka, olipa kyseessä myrkyllinen jäte, maanjäristys tai tulipalo, on ainutlaatuinen luonteeltaan, sen aiheuttamilta riskeiltä ja vastatoimilta, joita se vaatii.
Siksi organisaatioiden tulee pyytää asiantuntija-apua näiden uhkien aiheuttamien riskien poistamiseksi ja/tai vähentämiseksi.
Paikan valinta tiloihin
Tilan mahdollisen sijainnin paikallisen topografian, vedenpinnan ja tektonisten liikkeiden huomioon ottaminen voi auttaa tunnistamaan ja eliminoimaan riskit varhaisessa vaiheessa.
Lisäksi organisaatioiden tulee ottaa huomioon ihmisen aiheuttamien katastrofien, kuten poliittisten levottomuuksien ja rikollisen toiminnan, riskit valitulla kaupunkialueella.
Ylimääräinen turvataso
Toteutettujen erityisten valvontatoimien lisäksi turvallinen tiedon tallennus menetelmät, kuten kassakaapit, voivat lisätä ylimääräistä suojausta katastrofeja, kuten tulipaloa ja tulvia vastaan.
Rikoksentorjunta ympäristösuunnittelun avulla
Valvonta 7.5 suosittelee, että organisaatiot ottavat tämän käsitteen huomioon toteuttaessaan valvontatoimia tilojen turvallisuuden parantamiseksi. Tätä menetelmää voidaan käyttää kaupunkien uhkien, kuten rikollisen toiminnan, kansalaislevottomuuksien ja terrorismin, poistamiseen.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot ISO 27002:2013:sta
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Vuoden 2013 versiossa käsiteltiin sitä, kuinka organisaatioiden tulisi ottaa käyttöön asianmukaiset ennaltaehkäisevät toimenpiteet fyysisiä ja ympäristöuhkia vastaan, kun taas vuoden 2022 versio on paljon kattavampi niiden erityisten vaatimustenmukaisuustoimenpiteiden osalta, joihin organisaatioiden tulisi ryhtyä.
Kaiken kaikkiaan on kaksi keskeistä eroa:
- Vuoden 2022 versio antaa ohjeita vaatimustenmukaisuudesta
Vuoden 2013 versio ei sisältänyt ohjeistusta siitä, miten organisaatioiden tulisi tunnistaa ja eliminoida ympäristö- ja fyysisistä uhista johtuvia riskejä.
Vuoden 2022 versio sopimuksessa kuvaa kolmivaiheista prosessia, jota organisaatioiden tulee noudattaa, mukaan lukien riskinarvioinnin tekeminen.
- 2022-versio suosittelee, että organisaatiot harkitsevat ylimääräisen toimenpidekerroksen käyttöönottoa
Täydentävässä ohjeessa vuoden 2022 versio viittaa toimenpiteisiin, kuten kassakaappien käyttöön ja rikosten ehkäisyyn ympäristösuunnittelukonseptien avulla, joita voidaan hyödyntää uhkia vastaan suojautumisen tehostamiseksi.
Vuoden 2013 versiossa ei sen sijaan käsitelty tällaisia lisätoimenpiteitä.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
- ISMS.online-alusta tarjoaa joukon tehokkaita työkaluja, jotka yksinkertaistavat tapaa, jolla voit dokumentoida, toteuttaa, ylläpitää ja parantaa tietoturvan hallintajärjestelmääsi (ISMS) ja saavuttaa ISO 27002 -standardin mukaisuus.
Kattava työkalupaketti tarjoaa sinulle yhden keskeisen paikan, jossa voit luoda räätälöityjä käytäntöjä ja menettelytapoja, jotka sopivat organisaation erityiset riskit ja tarpeet.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
