Wanneer IT-apparatuur zoals externe schijven, USB-schijven, laptops of printers niet langer nodig zijn, worden ze fysiek vernietigd, teruggestuurd naar de leaser, overgedragen aan een derde partij, gerecycled of beschikbaar gesteld voor hergebruik om andere zaken uit te voeren. activiteiten.
Gezien het feit dat deze apparatuur mogelijk bevat informatie-activa en gelicentieerde software moeten organisaties ervoor zorgen dat alle informatie en gelicentieerde software onherstelbaar wordt gewist of overschreven voordat verwijdering of hergebruik plaatsvindt. Dit helpt de vertrouwelijkheid van de informatie in deze apparatuur te behouden.
Als een organisatie bijvoorbeeld gebruik maakt van een externe dienstverlener voor de verwijdering van IT-middelen en oude laptops, printers en externe schijven overdraagt aan deze dienstverlener, kan deze dienstverlener ongeautoriseerde toegang krijgen tot de informatie die op deze apparatuur wordt gehost.
Controle 7.14 behandelt hoe organisaties kunnen de vertrouwelijkheid van de opgeslagen informatie handhaven op de apparatuur die moet worden weggegooid of hergebruikt door passende beveiligingsmaatregelen en -procedures te implementeren.
Controle 7.14 stelt organisaties in staat ongeautoriseerde toegang tot gevoelige informatie te voorkomen door te bevestigen dat alle informatie en gelicentieerde software die op apparatuur is opgeslagen, onomkeerbaar worden verwijderd of overschreven voordat de apparatuur wordt weggegooid of aan derden wordt verstrekt voor hergebruik.
Controle 7.14 is een preventieve vorm van controle vereist dat organisaties de vertrouwelijkheid van informatie waarborgen gehost op de apparatuur die zal worden verwijderd of ingezet voor hergebruik, door passende procedures en maatregelen voor verwijdering en hergebruik vast te stellen en toe te passen.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke bewaking #Vermogensbeheer | #Bescherming |
Naleving van Controle 7.14 vereist het opzetten van een organisatiebrede procedure voor het verwijderen en hergebruiken van gegevens, het identificeren van alle apparatuur en het implementeren van geschikte technische verwijderingsmechanismen en het hergebruikproces.
Daarom moet de Chief Information Officer verantwoordelijk zijn voor het opzetten, implementeren en onderhouden van procedures en mechanismen voor het verwijderen en hergebruiken van apparatuur.
Controle 7.14 somt vier belangrijke overwegingen op waarmee organisaties rekening moeten houden bij naleving:
Voordat verwijdering plaatsvindt of de apparatuur beschikbaar wordt gesteld voor hergebruik, moeten organisaties bevestigen of de apparatuur deze bevat informatiemiddelen en gelicentieerde software en moet ervoor zorgen dat dergelijke informatie of software permanent wordt verwijderd.
Controle 7.14 somt twee methoden op waarmee de informatie in apparatuur veilig en permanent kan worden verwijderd:
Componenten van de apparatuur en de daarin opgenomen informatie kunnen labels en markeringen hebben die de organisatie identificeren of die de naam van de eigenaar van de activa, het netwerk of het toegekende informatieclassificatieniveau onthullen.
Al deze labels en markeringen moeten onherstelbaar worden vernietigd.
Rekening houdend met de volgende omstandigheden kunnen organisaties ervoor kiezen om alle beveiligingsmaatregelen, zoals toegangsbeperkingen of bewakingssystemen, te verwijderen wanneer zij faciliteiten verlaten:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Naast de Algemene Leidraad omvat de Controle 7.14 drie specifieke aanbevelingen voor organisaties.
Wanneer beschadigde apparatuur met informatie ter reparatie wordt verzonden, kan deze worden blootgesteld aan het risico van ongeoorloofde toegang door derden.
Organisaties moeten een risicobeoordeling, waarbij rekening wordt gehouden met de mate van gevoeligheid van de informatie en overweeg of het vernietigen van de apparatuur een meer haalbare optie is dan reparatie.
Hoewel de coderingstechniek op volledige schijf de risico's voor de vertrouwelijkheid van informatie aanzienlijk minimaliseert, moet deze aan de volgende normen voldoen:
Organisaties moeten een overschrijftechniek kiezen, rekening houdend met de volgende criteria:
27002:2022/7.14 replaces 27002:2013/(11.2.7)
De Control 7.14 is grotendeels vergelijkbaar met zijn tegenhanger in de 2013-versie. De Control 7.14 in de versie van 2022 bevat echter uitgebreidere vereisten in de Algemene Richtlijnen.
In tegenstelling tot de versie 2013 introduceert de versie 2022 de volgende vereisten:
ISMS.Online is een totaaloplossing voor ISO 27002 implementatie.
Het is een webgebaseerd systeem waarmee u kunt aantonen dat uw managementsysteem voor informatiebeveiliging (ISMS) voldoet aan de goedgekeurde normen met behulp van doordachte processen en procedures en checklists.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |