ISO 27002 Control 7.8: Parhaat käytännöt laitteiden sijoittamiseen ja suojaamiseen
Vaikka kyberuhat, kuten haittaohjelmahyökkäykset, SQL-injektiot ja liikenteen sieppaukset, kehittyvät yhä kehittyneemmiksi ja muodostavat suuren riskin tietovarojen turvallisuutta.
Riskiympäristö ei rajoitu ohjelmistopohjaisiin kyberhyökkäuksiin:
- IT-laitteisiin, kuten palvelimiin, tietokoneisiin, kiintolevyihin ja siirrettäviin tallennusvälineisiin kohdistuvat fyysiset ja ympäristöuhat voivat myös vaarantaa tietovarojen saatavuus, luottamuksellisuus ja eheys.
Esimerkiksi juoman roiskuminen palvelimelle, tietokonejärjestelmän sammuminen korkean lämpötilan vuoksi ja luvaton pääsy tietokonejärjestelmään, joka ei sijaitse suojatulla alueella, ovat kaikki esimerkkejä laitekoteloon kohdistuvista fyysisistä uhista. tietovarat.
Ohjaus 7.8 käsittelee sitä, miten organisaatiot voivat poistaa ja lieventää fyysisistä ja ympäristöuhkista aiheutuvia riskejä tietoresursseja isännöiviin laitteisiin.
Valvonnan tarkoitus 7.8
Ohjaus 7.8 antaa organisaatioille mahdollisuuden poistaa ja/tai lieventää kahdentyyppisiä riskejä tietoresursseja sisältäville laitteille:
- Laitteisiin kohdistuvat fyysiset ja ympäristöuhat, kuten valaistus, sähkökatkot, varkaudet, tietoliikennehäiriöt ja sähköiset häiriöt. Näitä uhkia ovat myös muutokset ympäristöolosuhteissa, kuten kosteus- ja lämpötilatasoissa, jotka voivat häiritä tiedonkäsittelytoimintoja.
- Sellaisten laitteiden luvaton käyttö, käyttö, vahingoittaminen ja tuhoaminen, joita ei ole säilytetty suojatuilla alueilla.
Attribuuttien ohjaustaulukko 7.8
Ohjaus 7.8 on ennaltaehkäisevä hallinta, joka vaatii organisaatioita säilyttämään tietoresurssien eheyden, saatavuuden ja luottamuksellisuuden suojaamalla tietoresursseja sisältävät laitteet fyysisiltä ja ympäristöuhkilta.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Fyysinen turvallisuus | #Suojaus |
| #Integrity | #Vahvuuksien hallinta | |||
| #Saatavuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Määräysvallan omistus 7.8
Valvonta 7.8:n noudattaminen edellyttää inventaarion luomista tietoresursseja isännöivät laitteet, kaikkien laitteiden sijoittaminen suojatuille alueille ja asianmukaisten toimenpiteiden toteuttaminen fyysisten ja ympäristöuhkien ehkäisemiseksi.
Näin ollen, Tietoturvavastaavien tulee olla vastuussa tarvittavien toimenpiteiden laatimisesta, toteuttamisesta ja ylläpidosta sekä turvallista sijoittamista ja laitteiden suojaamista koskevat ohjeet.
Yleiset noudattamisohjeet
Ohjaus 7.8 sisältää yhdeksän erityisvaatimusta, jotka on otettava huomioon vaatimustenmukaisuuden kannalta:
- Laitteet tulee sijoittaa suojatuille alueille, jotta asiattomat eivät pääse käsiksi laitteisiin.
- Arkaluonteisten tietojen käsittelyyn käytettävät työkalut, kuten tietokoneet, näytöt ja tulostimet, tulee sijoittaa luvatta henkilöt eivät voi nähdä näytöillä näkyvää tietoa ilman lupaa.
- Asianmukaisia toimenpiteitä olisi toteutettava fyysisistä ja ympäristöllisistä uhista, kuten räjähteistä, viestintähäiriöistä, tulipalosta, pölystä ja sähkömagneettisesta säteilystä, aiheutuvien riskien poistamiseksi ja/tai vähentämiseksi.
- Esimerkiksi salamanvarsi voi olla tehokas torjunta salamaniskuja vastaan.
- Ohjeet syömisestä ja juomisesta laitteiden ympärillä on laadittava ja niistä on ilmoitettava kaikille asianomaisille osapuolille.
- Ympäristöolosuhteita, jotka voivat häiritä tietojenkäsittelytoimintoja, tulee seurata jatkuvasti. Näitä voivat olla lämpötila- ja kosteustasot.
- Kaikissa rakennuksissa ja toimistoissa tulee olla ukkossuojamekanismit. Lisäksi kaikkiin saapuviin sähkölinjoihin, mukaan lukien tietoliikennelinjat, tulisi rakentaa salamansuojasuodattimet.
- Jos laitteet sijaitsevat teollisuusympäristössä, erityisiä suojauslaitteita, kuten näppäimistön kalvoja, tulee käyttää tarvittaessa.
- Sähkömagneettinen säteily voi johtaa arkaluonteisten tietojen vuotamiseen. Siksi laitekotelo on herkkä tai kriittinen tietovarat olisi suojattava tällaisen riskin estämiseksi.
- Organisaation omistamat ja hallitsemat IT-laitteet tulee erottaa selkeästi niistä, joita organisaatio ei omista ja hallitse.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27002:2013
27002:2022/7.8 replaces 27002:2013/(11.2.1)
Vaikka vuoden 2022 ja 2013 versiot ovat suurelta osin samankaltaisia, on yksi keskeinen ero, joka on korostettava:
Toisin kuin vuoden 2013 versiossa, Control 7.8 2022-versiossa sisältää seuraavan vaatimuksen:
- Organisaation omistamat ja hallitsemat IT-laitteet tulee erottaa selkeästi niistä, joita organisaatio ei omista ja hallitse.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
Alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan ISMS:n rakentamiseen, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.
Osa avaimesta ISMS.onlinen käytön edut sisältää:
- Voit rakentaa omasi ISO 27001 -yhteensopiva ISMS alustan sisällä.
- Käyttäjät voivat suorittaa tehtäviä ja toimittaa todisteita standardin noudattamisesta.
- On helppoa delegoida vastuita ja seurata edistymistä vaatimustenmukaisuuden saavuttamisessa.
- Laaja riskinarviointi työkalusarja säästää aikaa ja vaivaa koko prosessin ajan.
- Meillä on omistautunut konsulttien tiimi valmiina tukemaan sinua koko matkasi ajan vaatimustenmukaisuuteen.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
