ISO 27701 – Lauseke 6.3.2 – Mobiililaitteet ja etätyö

ISO 27701:n lauseke 6.3.2 käsittelee mobiililaitteiden hallintaa ja etätyötä koskevia käytäntöjä ja korostaa, että organisaatioiden on otettava käyttöön erityisiä valvontatoimia päätelaitteiden suojaamiseksi ja tietosuojan varmistamiseksi etätoimintojen aikana.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 25
LinkedIn Twitter Twitter

ISO 27701 -vaatimustenmukaisuus: Mobiililaitteiden ja etätyön riskien hallinta

Mobiililaitteista ja etätyöstä on nopeasti tulossa osa nykyaikaista työpaikkaa.

Organisaation tarve varmistaa, että kaikenlaiset laitteet kuuluvat loppukäyttäjän yleisen laitepolitiikan piiriin, jossa otetaan huomioon laitteen luonne, kuinka sitä käytetään henkilökohtaisten tunnistetietojen kanssa, miten organisaatio hallinnoi sitä ja mitkä ovat loppukäyttäjän velvoitteet. ovat laitteen käytön aikana.

ISO pyytää organisaatioita luokittelemaan päätelaitteet kahdella tavalla:

  1. Laitteet, joita on tarkoitus käyttää organisaation verkon ja fyysisten tilojen rajoissa.
  2. Laitteet, joita käytetään sekä organisaation lähiverkon ja fyysisten tilojen sisällä että ulkopuolella.

Mitä ISO 27701:n lauseke 6.3.2 kattaa

Lauseke 6.3.2 kattaa kaksi keskeistä näkökohtaa, jotka tunnettiin aiemmin nimellä "etätyö", mutta tunnetaan nykyään yleisemmin "etätyönä" – laitehallinnan ja yleiset etätyöperiaatteet.

Kohdassa 6.3.2 nämä jaetaan kahteen alalauseeseen, jotka sisältävät ohjeita kahdesta linkitetystä alalauseesta, jotka käsittelevät organisaation tietoturvaa ISO 27002:ssa:

  1. ISO 27701 6.3.2.1 – Mobiililaitteet ja etätyö (viitteet ISO 27002 Control 8.1)
  2. ISO 27701 6.3.2.2 – Etätyö (viitteet ISO 27002 Control 6.7)

Kohdassa 6.3.2.1 on lisäohjeita sovellettavista GDPR-lainsäädännön alueista.

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.

Kumpikaan alalauseke ei sisällä lisäohjeita PIMS:n luomiseen tai ylläpitoon etätyöskentelyn tai käyttäjän laitehallinnan yhteydessä.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


ISO 27701, lauseke 6.3.2.1 – Mobiililaitekäytännöt

Viitteet ISO 27002 Control 8.1

Organisaatioiden tulee ottaa käyttöön aihekohtaisia ​​käytäntöjä, jotka koskevat päätelaitteiden eri luokkia ja mobiililaitteiden ohjelmistoversioita ja kuinka tietoturvan hallintaa tulisi räätälöidä parantamaan tietoturvaa.

Organisaation mobiililaitteiden käytännöissä, menettelyissä ja tukitoimissa tulee ottaa huomioon:

  1. Eri tietoluokat, joita laite voi sekä käsitellä että tallentaa.
  2. Miten laitteet rekisteröidään ja tunnistetaan verkossa.
  3. Miten laitteet suojataan fyysisesti.
  4. Kaikki rajoitukset sovelluksille ja ohjelmistoasennuksille.
  5. Etähallinta, mukaan lukien päivitykset ja korjaukset.
  6. Käyttäjien pääsynhallinta, mukaan lukien RBAC tarvittaessa.
  7. Salaus.
  8. Haittaohjelmien vastatoimet (hallittu tai hallitsematon).
  9. BUDR.
  10. Selausrajoitukset.
  11. Käyttäjäanalytiikka (katso ISO 27002 Control 8.16).
  12. Irrotettavien tallennuslaitteiden tai irrotettavien oheislaitteiden asennus, käyttö ja etähallinta.
  13. Laitteen tietojen erotteleminen siten, että PII-tiedot erotetaan tavallisista laitetiedoista (mukaan lukien käyttäjän henkilökohtaiset tiedot). Tämä sisältää sen pohtimisen, onko tarkoituksenmukaista tallentaa minkäänlaisia ​​organisaatiotietoja fyysiseen laitteeseen sen sijaan, että laitetta käytettäisiin online-käytön tarjoamiseen.
  14. Mitä tapahtuu, kun laite katoaa tai varastetaan – eli lain, säädösten tai sopimusehtojen noudattaminen ja yhteydenpito organisaation vakuutuksenantajien kanssa.

Yksittäisen käyttäjän vastuu

Kaikille organisaation jäsenille, jotka käyttävät etäkäyttöä, on oltava selkeästi tietoisia kaikista mobiililaitteiden käytännöistä ja menettelyistä, jotka koskevat heitä suojatun päätelaitteen hallinnan yhteydessä.

Käyttäjiä tulee neuvoa:

  1. Sulje kaikki aktiiviset työistunnot, kun ne eivät ole enää käytössä.
  2. Ota käyttöön fyysisiä ja digitaalisia suojausohjaimia politiikan edellyttämällä tavalla.
  3. Ota huomioon heidän fyysinen ympäristönsä – ja niihin liittyvät turvallisuusriskit – kun käytät suojattua tietoa laitteen avulla.

Tuo oma laite (BYOD)

Organisaatioiden, jotka sallivat henkilöstön käyttää henkilökohtaisesti omistamiaan laitteita, tulee harkita myös seuraavia turvatoimia:

  • Ohjelmiston asentaminen laitteeseen (mukaan lukien matkapuhelimet), joka auttaa erottamaan yritystiedot ja henkilötiedot.
  • BYOD-käytännön täytäntöönpano, joka sisältää:
    • Henkilökohtaisten tunnistetietojen organisaation omistajuuden tunnustaminen.
    • Fyysiset ja digitaaliset suojatoimenpiteet (katso edellä).
    • Tietojen etäpoisto.
    • Kaikki toimenpiteet, joilla varmistetaan yhdenmukaisuus henkilökohtaisia ​​tunnistetietoja koskevan lainsäädännön ja sääntelyohjeiden kanssa.
  • IP-oikeudet, jotka koskevat yrityksen omistusta kaikkeen, mikä on tuotettu henkilökohtaisella laitteella.
  • Organisaation pääsy laitteeseen – joko yksityisyyden suojaamiseksi tai sisäisen tai ulkoisen tutkimuksen noudattamiseksi.
  • Käyttöoikeussopimukset ja ohjelmistolisenssit, joihin kaupallisten ohjelmistojen käyttö yksityisomistuksessa olevassa laitteessa voi vaikuttaa.

Langattomat asetukset

Laadittaessa menettelyjä, jotka koskevat päätelaitteiden langatonta yhteyttä, organisaatioiden tulee:

  • Harkitse huolellisesti, kuinka tällaisten laitteiden pitäisi mahdollistaa yhteyden langattomiin verkkoihin pääsyä varten henkilökohtaisten tunnistetietojen turvaamiseksi.
  • Varmista, että langattomissa yhteyksissä on riittävästi kapasiteettia varmuuskopiointia tai muita aihekohtaisia ​​toimintoja varten.

Asiaankuuluvat ISO 27002 -säätimet

  • ISO 27002 -ohjaus 8.9 – Konfiguroinnin hallinta
  • ISO 27002 -ohjaus 8.16 – Valvontatoiminnot

Sovellettavat GDPR-artikkelit

  • 5 artikla – 1 kohdan f alakohta


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701, lauseke 6.3.2.2 – Etätyö

Viitteet ISO 27002 Control 6.7

Kuten käyttäjien laitehallinnassa, etätyöskentelykäytäntöjen tulee olla aihekohtaisia ​​ja liittyä organisaation eri rooleihin.

Etätyökäytäntöjä laatiessaan organisaatioiden tulee ottaa huomioon:

  • Mahdolliset riskit vaikuttavat laitteiden fyysiseen turvallisuuteen ja tietoturvallisuuteen tietyissä etätyöpaikoissa, mukaan lukien luvaton henkilökunnan pääsy.
  • Hallintalaitteet, jotka suojaavat yritystietoja, mukaan lukien kuljetusten turvallisuus, selkeät työpöytäkäytännöt, suojattu tulostus, haittaohjelmien torjunta-alustat, palomuurit jne.
  • Kategorinen luettelo hyväksytyistä etätyöpaikoista, mukaan lukien julkiset alueet, kuten hotellit, julkiset kokoushuoneet ja etätyöpaikat.
  • Miten laite tulee kommunikoimaan organisaation verkon kanssa (VPN-parametrit jne.) siirrettävän tiedon luokkaan ja organisaation PII-toiminnan luonteeseen liittyen.
  • Virtuaaliset työpöytäympäristöt.
  • Langattomat suojausprotokollat ​​ja taustalla olevat koti- tai julkisissa verkoissa vallitsevat turvallisuusriskit.
  • Laitteiden etähallinta (etäkäytöstä poistaminen, asennukset, tietojen poistaminen jne.).
  • Todennusmenetelmät, tarkemmin sanottuna MFA:n käyttö.

Yksityisyyden suojan parantamiseksi ja henkilökohtaisten tunnistetietojen turvaamiseksi yleisten ja aihekohtaisten etätyökäytäntöjen tulisi sisältää:

  1. Asianmukaisten laitteiden (ICT-laitteiden ja fyysisten varastointitoimenpiteiden) toimittaminen, jos sellaisia ​​ei ole etätyöympäristössä.
  2. Selkeät ohjeet siitä, millaista työtä saa tehdä ja mitä järjestelmiä, tietoja ja sovelluksia voidaan käyttää etänä.
  3. Koulutusohjelmat, jotka ohjaavat etätyötä sekä käytettävien laitteiden että etätyöntekijöiden odotusten käytännön ja sopimusten kannalta.
  4. Toimenpiteet, jotka tarjoavat päätelaitteiden yksityiskohtaisen etähallinnan, mukaan lukien näytön lukitustoiminnot, GPS-seuranta ja etäauditointi.
  5. Fyysiset turvatoimenpiteet, jotka säätelevät organisaation ja käyttäjien omistaman paketin käyttöä sivuston ulkopuolella, mukaan lukien kolmannen osapuolen pääsy.
  6. Vakuutusturva.
  7. Etätyöskentelykohtainen BUDR-suunnitelma, joka sisältää liiketoiminnan jatkuvuuden hallinnan.
  8. Menettelyt, joissa kerrotaan, kuinka etäkäyttäjän käyttöoikeuksia rajoitetaan tai peruutetaan tarpeen mukaan.

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

ISO 27701 -lausekkeen tunnisteISO 27701 -lausekkeen nimiISO 27002 -vaatimusAsiaan liittyvät GDPR-artikkelit
6.3.2.1Mobiililaitekäytäntö
8.1 – User Endpoint Devices for ISO 27002
 Artikkeli (5)
6.3.2.2etätyö
6.7 – Etätyöskentely ISO 27002:lle
Ei eristetty

Miten ISMS.online auttaa

ISMS.online-sivustolla voimme sisällyttää toimitusketjun tietoturvahallinnan ISMS-järjestelmääsi.

Nopeiden ja käytännöllisten suorituskykymittareiden avulla voidaan myös seurata toimittajien ja muiden kolmansien osapuolten kumppanuuksien edistymistä.

Käytä ISMS.online-klustereita kokoaaksesi koko toimitusketjun yhteen paikkaan selkeyden, näkemyksen ja hallinnan vuoksi.

Lue lisää ja tutustu esittelyyn varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!