ISO 27002, Controle 7.6, Werken in beveiligde gebieden

ISO 27002:2022 – Controle 7.6 – Werken in beveiligde gebieden

ISO 27002 Control 7.6 - Werken in beveiligde gebieden beschrijft maatregelen om gevoelige informatie binnen beveiligde zones te beschermen door toegang te beperken, activiteiten te superviseren, persoonlijke en opnameapparaten te controleren en ervoor te zorgen dat noodprocedures zichtbaar zijn. Het benadrukt een need-to-know-basis, strikt toezicht en verbeterde beveiligingsprotocollen voor personeel dat in deze gebieden werkt.

ISO 27002 Controle 7.6: Beveiliging van beveiligde gebieden

Behuizing gevoelige informatiemiddelen in beveiligde gebieden zoals beveiligde serverruimtes en het implementeren van strikte toegangscontroles is niet voldoende om de veiligheid van deze activa te handhaven:

Werknemers met toegang tot beveiligde ruimtes kunnen, opzettelijk of door nalatigheid, schade toebrengen aan de hardwareapparatuur en digitale activa die zijn opgeslagen in beveiligde ruimtes, of deze informatiemiddelen en faciliteiten zonder toestemming openen, gebruiken en vernietigen.

Controle 7.6 behandelt hoe organisaties informatiemiddelen kunnen beschermen opgeslagen in beveiligde gebieden tegen de verschillende risico's die worden veroorzaakt door het personeel dat in deze gebieden werkt.

Doel van de controle 7.6

Controle 7.6 stelt organisaties in staat om te implementeren passende veiligheidsmaatregelen die van toepassing zijn op al het personeel dat in beveiligde gebieden werkt, zodat zij zonder toestemming geen toegang kunnen krijgen tot informatiemiddelen of informatiefaciliteiten, deze kunnen gebruiken, wijzigen, vernietigen, beschadigen of verstoren.

Attributen Controletabel 7.6

Controle 7.6 heeft een preventief karakter vereist dat organisaties de veiligheid handhaven, vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen die in beveiligde ruimtes zijn ondergebracht, door risico's te elimineren die kunnen ontstaan als gevolg van wangedrag van het personeel.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Fysieke bewaking	#Bescherming
	#Integriteit
	#Beschikbaarheid

ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start

Eigendom van zeggenschap 7.6

Overwegend dat Controle 7.6 vereist dat organisaties beveiligingsmaatregelen ontwerpen en invoeren die van toepassing zijn op alle operaties die in beveiligde gebieden worden uitgevoerd, Informatiebeveiligingsfunctionaris (ISO) moet verantwoordelijk zijn voor het creëren, implementeren en onderhouden van passende beveiligingsmaatregelen, rekening houdend met het risiconiveau voor elk aangewezen beveiligd gebied.

Bij het ontwerpen en toepassen van de juiste beveiligingscontroles in beveiligde gebieden kan de Information Security Officer samenwerken met het facilitaire managementteam en de eigenaren van informatiemiddelen om de ontworpen maatregelen effectief in de praktijk te brengen.

Algemene richtlijnen voor naleving

Controle 7.6 benadrukt dat beveiligingsmaatregelen betrekking moeten hebben op al het personeel dat in beveiligde gebieden werkt en van toepassing moeten zijn op alle activiteiten die in deze gebieden worden uitgevoerd.

Hoewel het type en de mate van geïmplementeerde beveiligingsmaatregelen kunnen variëren afhankelijk van het risiconiveau voor specifieke informatiemiddelenIn Control 7.6 worden zes specifieke vereisten opgesomd waaraan organisaties zich moeten houden:

Organisaties moeten hun personeel informeren over het bestaan van beveiligde gebieden en over de specifieke operaties die in deze gebieden worden uitgevoerd op een ‘need-to-know’-basis.
Het mag geen enkel personeel toegestaan zijn om zonder toezicht activiteiten uit te voeren in de aangewezen beveiligde gebieden.
Onbezette beveiligde gebieden moeten worden afgesloten en aan periodieke inspecties worden onderworpen.
Het gebruik van opnameapparatuur, inclusief de apparatuur die wordt gebruikt voor het opnemen van audio, video en foto's, moet onderworpen zijn aan strikte autorisatieprocedures.
Het vervoer en gebruik van eindpuntgebruikersapparatuur zoals laptops en smartphones in beveiligde ruimtes moet aan strenge controles worden onderworpen.
Noodprocedures moeten worden tentoongesteld op een plaats die gemakkelijk toegankelijk is voor al het personeel dat in beveiligde gebieden werkt.

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/7.6 replaces 27002:2013/(11.1.5)

Hoewel beide versies tot op zekere hoogte vergelijkbaar zijn, de versie van 2022 is uitgebreider wat betreft de vereisten voor de te nemen beveiligingsmaatregelen.

In het bijzonder introduceert de 2022-versie twee nieuwe eisen waarmee organisaties rekening moeten houden bij het implementeren van beveiligingsmaatregelen voor beveiligde gebieden:

Het vervoer en gebruik van apparaten van eindpuntpersoneel, zoals laptops en smartphones, in beveiligde ruimtes mag alleen worden toegestaan onder strikte controles.
Noodprocedures moeten worden tentoongesteld op een prominente plaats die gemakkelijk toegankelijk is voor al het personeel dat in beveiligde gebieden werkt.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	NIEUW	Bedreigingsintelligentie
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.30	NIEUW	ICT gereed voor bedrijfscontinuïteit
7.4	NIEUW	Fysieke beveiligingsmonitoring
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.16	NIEUW	Monitoring activiteiten
8.23	NIEUW	Web filtering
8.28	NIEUW	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	NIEUW	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	5.30	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	NIEUW	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NIEUW	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	NIEUW	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	NIEUW	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, vanaf het definiëren van de reikwijdte van uw ISMS door risico-identificatie en controle-implementatie.