Fyysisiltä ja ympäristöuhkilta suojautuminen

ISO 27002:2022 – Valvonta 7.5 – Fyysisiltä ja ympäristöuhkilta suojautuminen

ISO 27002:2022 Control 7.5 korostaa, että organisaatioiden on arvioitava ja lievennettävä fyysisiä ja ympäristöuhkia (esim. luonnonkatastrofit, levottomuudet ja rikollisuus) kriittisen infrastruktuurin ja tietoresurssien suojelemiseksi. Se korostaa riskinarviointeja ja ennaltaehkäiseviä toimenpiteitä, kuten palontorjuntaa ja turvatoimia tietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi.

Suojaa organisaatiosi fyysisiltä ja ympäristöuhkilta

Tietovaroihin kohdistuvat uhat eivät ole pelkästään digitaalisia: Organisaation kriittinen fyysinen infrastruktuuri, jossa tietoresursseja isännöi, on alttiina myös ympäristö- ja fyysisille uhille, jotka voivat johtaa tietovarojen ja arkaluonteisten tietojen katoamiseen, tuhoutumiseen, varkauksiin ja vaarantumiseen.

Näitä uhkia voivat olla luonnontapahtumat, kuten maanjäristykset, tulvat ja metsäpalot. Niihin voi kuulua myös ihmisen aiheuttamia katastrofeja, kuten kansalaislevottomuuksia ja rikollista toimintaa.

Ohjaus 7.5 käsittelee sitä, miten organisaatiot voivat arvioida, tunnistaa ja lieventää kriittiseen fyysiseen infrastruktuuriin kohdistuvia riskejä fyysisistä ja ympäristöuhkista.

Valvonnan tarkoitus 7.5

Control 7.5 mahdollistaa organisaatioiden mittaamisen ympäristö- ja fyysisten uhkien mahdolliset haitalliset vaikutukset sekä lieventää ja/tai poistaa näitä vaikutuksia ottamalla käyttöön asianmukaisia toimenpiteitä.

Attribuuttien ohjaustaulukko 7.5

Ohjaus 7.5 on ennaltaehkäisevä hallinta, joka vaatii organisaatioita poistamaan ja/tai lieventämään seurauksia jotka todennäköisesti johtuvat ulkoisista riskeistä, kuten luonnonkatastrofeista ja ihmisen aiheuttamista vaaratilanteista.

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Luottamuksellisuus	#Suojella	#Fyysinen turvallisuus	#Suojaus
	#Integrity
	#Saatavuus

Määräysvallan omistus 7.5

Ohjaus 7.5 edellyttää organisaatioilta tehdä perusteellinen riskiarviointi ennen minkään toiminnan aloittamista fyysisessä tiloissa ja toteuttamaan tarvittavat toimenpiteet, jotka ovat oikeassa suhteessa tunnistettuun riskitasoon.

Turvallisuuspäälliköiden tulisi siksi olla vastuussa koko prosessin luomisesta, hallinnasta, toteutuksesta ja tarkistamisesta.

ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita

Yleiset noudattamisohjeet

Control 7.5 määrittelee kolmivaiheisen prosessin fyysisistä ja ympäristöuhkista johtuvien riskien tunnistamiseksi ja poistamiseksi:

Vaihe 1: Suorita riskiarviointi

Organisaatioiden pitäisi suorittaa riskinarviointi tunnistaa mahdolliset fyysiset ja ympäristökatastrofit, joita voi tapahtua kussakin tietyssä fyysisessä tiloissa, ja mitata sitten tunnistettujen fyysisten ja ympäristöuhkien aiheuttamat vaikutukset.

Ottaen huomioon, että jokaiseen fyysiseen tilaan ja sen infrastruktuuriin kohdistuvat erilaiset ympäristöolosuhteet ja fyysiset riskitekijät, uhan tyyppi ja tunnistetun riskin taso vaihtelevat kunkin toimitilan ja sen sijainnin mukaan.

Esimerkiksi vaikka yksi toimitila voi olla kaikkein haavoittuvin maastopalolle, toinen toimitila voi sijaita alueella, jossa maanjäristyksiä esiintyy usein.

Toinen valvonnan 7.5 asettama kriittinen vaatimus on, että tämä riskinarviointi tulee tehdä ennen toiminnan aloittamista fyysisessä tiloissa.

Vaihe 2: Tunnista ja ota hallintalaitteet käyttöön

Ensimmäisessä vaiheessa tunnistetun uhan tyypin ja riskitason perusteella organisaatioiden tulee ottaa käyttöön asianmukaisia valvontatoimia, joissa otetaan huomioon ympäristö- ja fyysisten uhkien todennäköiset seuraukset.

Ohjaus 7.5 tarjoaa havainnollistamiseksi esimerkkejä ohjaimista, jotka voidaan ottaa käyttöön seuraaville uhille:

Antaa potkut: Organisaatioiden tulee ottaa käyttöön järjestelmiä, jotka laukaisevat hälytyksen, kun tulipalo havaitaan, tai aktivoivat palontorjuntajärjestelmiä, jotka pystyvät suojaamaan tallennusvälineitä ja tietojärjestelmiä vaurioilta.

Tulvat: Järjestelmät tulee ottaa käyttöön ja määrittää havaitsemaan tulvia alueilla, joilla tietovarat on tallennettu. Lisäksi työkalujen, kuten vesipumppujen, tulee olla käyttövalmiita tulvien varalta.

Sähköpiikit: Palvelimet ja kriittinen tiedonhallintajärjestelmät tulee huoltaa ja suojata sähkökatkoilta.

Räjähteet ja aseet: Organisaatioiden pitäisi suorittaa satunnaisia tarkastuksia ja kaikkien henkilöiden, esineiden ja ajoneuvojen tarkastukset tiloihin, joissa on kriittistä infrastruktuuria.

Vaihe 3: Valvonta

Ottaen huomioon, että uhkien tyypit ja riskien tasot voivat muuttua ajan myötä, organisaatioiden tulee jatkuvasti seurata riskiarviointeja ja harkita tarvittaessa uudelleen toteuttamiaan valvontatoimia.

Täydentävä opas

Ohjaus 7.5 luettelee neljä erityistä seikkaa, jotka organisaatioiden tulee ottaa huomioon.

Konsultointi asiantuntijoiden kanssa

Jokainen erityinen ympäristö- ja fyysinen uhka, olipa kyseessä myrkyllinen jäte, maanjäristys tai tulipalo, on ainutlaatuinen luonteeltaan, sen aiheuttamilta riskeiltä ja vastatoimilta, joita se vaatii.

Siksi organisaatioiden tulee pyytää asiantuntija-apua näiden uhkien aiheuttamien riskien poistamiseksi ja/tai vähentämiseksi.

Paikan valinta tiloihin

Tilan mahdollisen sijainnin paikallisen topografian, vedenpinnan ja tektonisten liikkeiden huomioon ottaminen voi auttaa tunnistamaan ja eliminoimaan riskit varhaisessa vaiheessa.

Lisäksi organisaatioiden tulee ottaa huomioon ihmisen aiheuttamien katastrofien, kuten poliittisten levottomuuksien ja rikollisen toiminnan, riskit valitulla kaupunkialueella.

Ylimääräinen turvataso

Toteutettujen erityisten valvontatoimien lisäksi turvallinen tiedon tallennus menetelmät, kuten kassakaapit, voivat lisätä ylimääräistä suojausta katastrofeja, kuten tulipaloa ja tulvia vastaan.

Rikoksentorjunta ympäristösuunnittelun avulla

Valvonta 7.5 suosittelee, että organisaatiot ottavat tämän käsitteen huomioon toteuttaessaan valvontatoimia tilojen turvallisuuden parantamiseksi. Tätä menetelmää voidaan käyttää kaupunkien uhkien, kuten rikollisen toiminnan, kansalaislevottomuuksien ja terrorismin, poistamiseen.

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi

Muutokset ja erot ISO 27002:2013:sta

27002:2022/7.5 replaces 27002:2013/(11.1.4)

Vuoden 2013 versiossa käsiteltiin sitä, kuinka organisaatioiden tulisi ottaa käyttöön asianmukaiset ennaltaehkäisevät toimenpiteet fyysisiä ja ympäristöuhkia vastaan, kun taas vuoden 2022 versio on paljon kattavampi niiden erityisten vaatimustenmukaisuustoimenpiteiden osalta, joihin organisaatioiden tulisi ryhtyä.

Kaiken kaikkiaan on kaksi keskeistä eroa:

Vuoden 2022 versio antaa ohjeita vaatimustenmukaisuudesta

Vuoden 2013 versio ei sisältänyt ohjeistusta siitä, miten organisaatioiden tulisi tunnistaa ja eliminoida ympäristö- ja fyysisistä uhista johtuvia riskejä.

Vuoden 2022 versio sopimuksessa kuvaa kolmivaiheista prosessia, jota organisaatioiden tulee noudattaa, mukaan lukien riskinarvioinnin tekeminen.

2022-versio suosittelee, että organisaatiot harkitsevat ylimääräisen toimenpidekerroksen käyttöönottoa

Täydentävässä ohjeessa vuoden 2022 versio viittaa toimenpiteisiin, kuten kassakaappien käyttöön ja rikosten ehkäisyyn ympäristösuunnittelukonseptien avulla, joita voidaan hyödyntää uhkia vastaan suojautumisen tehostamiseksi.

Vuoden 2013 versiossa ei sen sijaan käsitelty tällaisia lisätoimenpiteitä.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	UUSI	Uhan älykkyys
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.30	UUSI	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	UUSI	Fyysisen turvallisuuden valvonta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.16	UUSI	Toimien seuranta
8.23	UUSI	Web-suodatus
8.28	UUSI	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	UUSI	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	5.30	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	UUSI	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	UUSI	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	UUSI	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	UUSI	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

Focus-patjan ISMS.online-alusta tarjoaa joukon tehokkaita työkaluja, jotka yksinkertaistavat tapaa, jolla voit dokumentoida, toteuttaa, ylläpitää ja parantaa tietoturvan hallintajärjestelmääsi (ISMS) ja saavuttaa ISO 27002 -standardin mukaisuus.

Kattava työkalupaketti tarjoaa sinulle yhden keskeisen paikan, jossa voit luoda räätälöityjä käytäntöjä ja menettelytapoja, jotka sopivat organisaation erityiset riskit ja tarpeet.

Ota yhteyttä jo tänään varaa esittely.

Olemme alamme johtaja