Controle 7.14, Veilige verwijdering of hergebruik van apparatuur

ISO 27002:2022 – Controle 7.14 – Veilige verwijdering of hergebruik van apparatuur

In ISO 27002:2022, Controle 7.14, worden de beste werkwijzen beschreven voor het veilig afvoeren of hergebruiken van apparatuur door volledige verwijdering van gegevens te garanderen, organisatorische identificatiegegevens te verwijderen en strikte afvoerprocedures te implementeren om ongeautoriseerde toegang te voorkomen.

Zorgen voor veilige verwijdering en hergebruik van apparatuur: ISO 27002-controle 7.14 uitgelegd

Wanneer IT-apparatuur zoals externe schijven, USB-schijven, laptops of printers niet langer nodig zijn, worden ze fysiek vernietigd, teruggestuurd naar de leaser, overgedragen aan een derde partij, gerecycled of beschikbaar gesteld voor hergebruik om andere zaken uit te voeren. activiteiten.

Gezien het feit dat deze apparatuur mogelijk bevat informatie-activa en gelicentieerde software moeten organisaties ervoor zorgen dat alle informatie en gelicentieerde software onherstelbaar wordt gewist of overschreven voordat verwijdering of hergebruik plaatsvindt. Dit helpt de vertrouwelijkheid van de informatie in deze apparatuur te behouden.

Als een organisatie bijvoorbeeld gebruik maakt van een externe dienstverlener voor de verwijdering van IT-middelen en oude laptops, printers en externe schijven overdraagt aan deze dienstverlener, kan deze dienstverlener ongeautoriseerde toegang krijgen tot de informatie die op deze apparatuur wordt gehost.

Controle 7.14 behandelt hoe organisaties kunnen de vertrouwelijkheid van de opgeslagen informatie handhaven op de apparatuur die moet worden weggegooid of hergebruikt door passende beveiligingsmaatregelen en -procedures te implementeren.

Doel van de controle 7.14

Controle 7.14 stelt organisaties in staat ongeautoriseerde toegang tot gevoelige informatie te voorkomen door te bevestigen dat alle informatie en gelicentieerde software die op apparatuur is opgeslagen, onomkeerbaar worden verwijderd of overschreven voordat de apparatuur wordt weggegooid of aan derden wordt verstrekt voor hergebruik.

Attributen Controletabel 7.14

Controle 7.14 is een preventieve vorm van controle vereist dat organisaties de vertrouwelijkheid van informatie waarborgen gehost op de apparatuur die zal worden verwijderd of ingezet voor hergebruik, door passende procedures en maatregelen voor verwijdering en hergebruik vast te stellen en toe te passen.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Fysieke bewaking	#Bescherming
			#Vermogensbeheer

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo

Eigendom van zeggenschap 7.14

Naleving van Controle 7.14 vereist het opzetten van een organisatiebrede procedure voor het verwijderen en hergebruiken van gegevens, het identificeren van alle apparatuur en het implementeren van geschikte technische verwijderingsmechanismen en het hergebruikproces.

Daarom moet de Chief Information Officer verantwoordelijk zijn voor het opzetten, implementeren en onderhouden van procedures en mechanismen voor het verwijderen en hergebruiken van apparatuur.

Algemene richtlijnen voor naleving

Controle 7.14 somt vier belangrijke overwegingen op waarmee organisaties rekening moeten houden bij naleving:

Er moet een proactieve aanpak worden gevolgd

Voordat verwijdering plaatsvindt of de apparatuur beschikbaar wordt gesteld voor hergebruik, moeten organisaties bevestigen of de apparatuur deze bevat informatiemiddelen en gelicentieerde software en moet ervoor zorgen dat dergelijke informatie of software permanent wordt verwijderd.

Fysieke vernietiging of onherstelbare verwijdering van informatie

Controle 7.14 somt twee methoden op waarmee de informatie in apparatuur veilig en permanent kan worden verwijderd:

Apparatuur die opslagmedia-apparaten host die informatie bevatten, moet fysiek worden vernietigd.
Informatie die op de apparatuur is opgeslagen, moet op een niet-herstelbare manier worden gewist, overschreven of vernietigd, zodat kwaadwillende partijen geen toegang hebben tot informatie. Organisaties wordt aangeraden om Control 7.10 over opslagmedia en Control 8.10 over het verwijderen van informatie te bekijken.

Verwijdering van alle labels en markeringen

Componenten van de apparatuur en de daarin opgenomen informatie kunnen labels en markeringen hebben die de organisatie identificeren of die de naam van de eigenaar van de activa, het netwerk of het toegekende informatieclassificatieniveau onthullen.

Al deze labels en markeringen moeten onherstelbaar worden vernietigd.

Verwijdering van controles

Rekening houdend met de volgende omstandigheden kunnen organisaties ervoor kiezen om alle beveiligingsmaatregelen, zoals toegangsbeperkingen of bewakingssystemen, te verwijderen wanneer zij faciliteiten verlaten:

In de voorwaarden van de leaseovereenkomst stonden de voorwaarden waarop het geretourneerd moet worden.
Het elimineren en beperken van het risico van ongeautoriseerde toegang tot gevoelige informatie door de volgende huurder.
Of de bestaande bedieningselementen kunnen worden hergebruikt in de volgende vestiging.

Aanvullend richtsnoer voor controle 7.14

Naast de Algemene Leidraad omvat de Controle 7.14 drie specifieke aanbevelingen voor organisaties.

Beschadigde apparatuur

Wanneer beschadigde apparatuur met informatie ter reparatie wordt verzonden, kan deze worden blootgesteld aan het risico van ongeoorloofde toegang door derden.

Organisaties moeten een risicobeoordeling, waarbij rekening wordt gehouden met de mate van gevoeligheid van de informatie en overweeg of het vernietigen van de apparatuur een meer haalbare optie is dan reparatie.

Versleuteling op volledige schijf

Hoewel de coderingstechniek op volledige schijf de risico's voor de vertrouwelijkheid van informatie aanzienlijk minimaliseert, moet deze aan de volgende normen voldoen:

De codering is robuust en bestrijkt alle delen van de schijf, inclusief vrije ruimte.
Cryptografische sleutels moeten lang genoeg zijn om brute force-aanvallen te voorkomen.
Organisaties moeten de vertrouwelijkheid van cryptografische sleutels handhaven. De coderingssleutel mag bijvoorbeeld niet op dezelfde schijf worden opgeslagen.

Hulpmiddelen voor overschrijven

Organisaties moeten een overschrijftechniek kiezen, rekening houdend met de volgende criteria:

Niveau van informatieclassificatie toegewezen aan het informatiemiddel.
Type opslagmedium waarop de informatie is opgeslagen.

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/7.14 replaces 27002:2013/(11.2.7)

De Control 7.14 is grotendeels vergelijkbaar met zijn tegenhanger in de 2013-versie. De Control 7.14 in de versie van 2022 bevat echter uitgebreidere vereisten in de Algemene Richtlijnen.

In tegenstelling tot de versie 2013 introduceert de versie 2022 de volgende vereisten:

Organisaties moeten alle markeringen en labels verwijderen die de organisatie, het netwerk en het classificatieniveau identificeren.
Organisaties moeten overwegen de controles die op een faciliteit zijn geïmplementeerd te verwijderen wanneer zij die faciliteit verlaten.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	NIEUW	Bedreigingsintelligentie
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.30	NIEUW	ICT gereed voor bedrijfscontinuïteit
7.4	NIEUW	Fysieke beveiligingsmonitoring
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.16	NIEUW	Monitoring activiteiten
8.23	NIEUW	Web filtering
8.28	NIEUW	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	NIEUW	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	5.30	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	NIEUW	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NIEUW	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	NIEUW	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	NIEUW	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online is een totaaloplossing voor ISO 27002 implementatie.

Het is een webgebaseerd systeem waarmee u kunt aantonen dat uw managementsysteem voor informatiebeveiliging (ISMS) voldoet aan de goedgekeurde normen met behulp van doordachte processen en procedures en checklists.

Neem vandaag nog contact op met boek een demo.

Wij zijn een leider in ons vakgebied