Zorgen voor veilige verwijdering en hergebruik van apparatuur: ISO 27002-controle 7.14 uitgelegd
Wanneer IT-apparatuur zoals externe schijven, USB-schijven, laptops of printers niet langer nodig zijn, worden ze fysiek vernietigd, teruggestuurd naar de leaser, overgedragen aan een derde partij, gerecycled of beschikbaar gesteld voor hergebruik om andere zaken uit te voeren. activiteiten.
Gezien het feit dat deze apparatuur mogelijk bevat informatie-activa en gelicentieerde software moeten organisaties ervoor zorgen dat alle informatie en gelicentieerde software onherstelbaar wordt gewist of overschreven voordat verwijdering of hergebruik plaatsvindt. Dit helpt de vertrouwelijkheid van de informatie in deze apparatuur te behouden.
Als een organisatie bijvoorbeeld gebruik maakt van een externe dienstverlener voor de verwijdering van IT-middelen en oude laptops, printers en externe schijven overdraagt aan deze dienstverlener, kan deze dienstverlener ongeautoriseerde toegang krijgen tot de informatie die op deze apparatuur wordt gehost.
Controle 7.14 behandelt hoe organisaties kunnen de vertrouwelijkheid van de opgeslagen informatie handhaven op de apparatuur die moet worden weggegooid of hergebruikt door passende beveiligingsmaatregelen en -procedures te implementeren.
Doel van de controle 7.14
Controle 7.14 stelt organisaties in staat ongeautoriseerde toegang tot gevoelige informatie te voorkomen door te bevestigen dat alle informatie en gelicentieerde software die op apparatuur is opgeslagen, onomkeerbaar worden verwijderd of overschreven voordat de apparatuur wordt weggegooid of aan derden wordt verstrekt voor hergebruik.
Attributen Controletabel 7.14
Controle 7.14 is een preventieve vorm van controle vereist dat organisaties de vertrouwelijkheid van informatie waarborgen gehost op de apparatuur die zal worden verwijderd of ingezet voor hergebruik, door passende procedures en maatregelen voor verwijdering en hergebruik vast te stellen en toe te passen.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke bewaking | #Bescherming |
| #Vermogensbeheer |
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Eigendom van zeggenschap 7.14
Naleving van Controle 7.14 vereist het opzetten van een organisatiebrede procedure voor het verwijderen en hergebruiken van gegevens, het identificeren van alle apparatuur en het implementeren van geschikte technische verwijderingsmechanismen en het hergebruikproces.
Daarom moet de Chief Information Officer verantwoordelijk zijn voor het opzetten, implementeren en onderhouden van procedures en mechanismen voor het verwijderen en hergebruiken van apparatuur.
Algemene richtlijnen voor naleving
Controle 7.14 somt vier belangrijke overwegingen op waarmee organisaties rekening moeten houden bij naleving:
- Er moet een proactieve aanpak worden gevolgd
Voordat verwijdering plaatsvindt of de apparatuur beschikbaar wordt gesteld voor hergebruik, moeten organisaties bevestigen of de apparatuur deze bevat informatiemiddelen en gelicentieerde software en moet ervoor zorgen dat dergelijke informatie of software permanent wordt verwijderd.
- Fysieke vernietiging of onherstelbare verwijdering van informatie
Controle 7.14 somt twee methoden op waarmee de informatie in apparatuur veilig en permanent kan worden verwijderd:
- Apparatuur die opslagmedia-apparaten host die informatie bevatten, moet fysiek worden vernietigd.
- Informatie die op de apparatuur is opgeslagen, moet op een niet-herstelbare manier worden gewist, overschreven of vernietigd, zodat kwaadwillende partijen geen toegang hebben tot informatie. Organisaties wordt aangeraden om Control 7.10 over opslagmedia en Control 8.10 over het verwijderen van informatie te bekijken.
- Verwijdering van alle labels en markeringen
Componenten van de apparatuur en de daarin opgenomen informatie kunnen labels en markeringen hebben die de organisatie identificeren of die de naam van de eigenaar van de activa, het netwerk of het toegekende informatieclassificatieniveau onthullen.
Al deze labels en markeringen moeten onherstelbaar worden vernietigd.
- Verwijdering van controles
Rekening houdend met de volgende omstandigheden kunnen organisaties ervoor kiezen om alle beveiligingsmaatregelen, zoals toegangsbeperkingen of bewakingssystemen, te verwijderen wanneer zij faciliteiten verlaten:
- In de voorwaarden van de leaseovereenkomst stonden de voorwaarden waarop het geretourneerd moet worden.
- Het elimineren en beperken van het risico van ongeautoriseerde toegang tot gevoelige informatie door de volgende huurder.
- Of de bestaande bedieningselementen kunnen worden hergebruikt in de volgende vestiging.
Aanvullend richtsnoer voor controle 7.14
Naast de Algemene Leidraad omvat de Controle 7.14 drie specifieke aanbevelingen voor organisaties.
Beschadigde apparatuur
Wanneer beschadigde apparatuur met informatie ter reparatie wordt verzonden, kan deze worden blootgesteld aan het risico van ongeoorloofde toegang door derden.
Organisaties moeten een risicobeoordeling, waarbij rekening wordt gehouden met de mate van gevoeligheid van de informatie en overweeg of het vernietigen van de apparatuur een meer haalbare optie is dan reparatie.
Versleuteling op volledige schijf
Hoewel de coderingstechniek op volledige schijf de risico's voor de vertrouwelijkheid van informatie aanzienlijk minimaliseert, moet deze aan de volgende normen voldoen:
- De codering is robuust en bestrijkt alle delen van de schijf, inclusief vrije ruimte.
- Cryptografische sleutels moeten lang genoeg zijn om brute force-aanvallen te voorkomen.
- Organisaties moeten de vertrouwelijkheid van cryptografische sleutels handhaven. De coderingssleutel mag bijvoorbeeld niet op dezelfde schijf worden opgeslagen.
Hulpmiddelen voor overschrijven
Organisaties moeten een overschrijftechniek kiezen, rekening houdend met de volgende criteria:
- Niveau van informatieclassificatie toegewezen aan het informatiemiddel.
- Type opslagmedium waarop de informatie is opgeslagen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/7.14 replaces 27002:2013/(11.2.7)
De Control 7.14 is grotendeels vergelijkbaar met zijn tegenhanger in de 2013-versie. De Control 7.14 in de versie van 2022 bevat echter uitgebreidere vereisten in de Algemene Richtlijnen.
In tegenstelling tot de versie 2013 introduceert de versie 2022 de volgende vereisten:
- Organisaties moeten alle markeringen en labels verwijderen die de organisatie, het netwerk en het classificatieniveau identificeren.
- Organisaties moeten overwegen de controles die op een faciliteit zijn geïmplementeerd te verwijderen wanneer zij die faciliteit verlaten.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
ISMS.Online is een totaaloplossing voor ISO 27002 implementatie.
Het is een webgebaseerd systeem waarmee u kunt aantonen dat uw managementsysteem voor informatiebeveiliging (ISMS) voldoet aan de goedgekeurde normen met behulp van doordachte processen en procedures en checklists.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
