ISO 27002 Controle 7.7: Versterk de beveiliging met Clear Desk & Screen Practices
Wanneer een werknemer zijn/haar werkstation onbeheerd achterlaat, wordt gevoelige informatie in digitale en fysieke materialen op zijn werkruimte blootgesteld aan een verhoogd risico op ongeoorloofde toegang, verlies van vertrouwelijkheid en schade.
Als een werknemer bijvoorbeeld een tool voor klantrelatiebeheer gebruikt die medische dossiers verwerkt en zijn/haar computer tijdens de lunchpauze onbeheerd achterlaat, kunnen kwaadwillende partijen deze kans benutten om gevoelige gezondheidsgegevens te stelen en te misbruiken.
Controle 7.7 behandelt hoe organisaties clear desk- en clear screen-regels kunnen ontwerpen en handhaven om de vertrouwelijkheid van gevoelige informatie op digitale schermen en op papier te beschermen en te behouden.
Doel van de controle 7.7
Controle 7.7 stelt organisaties in staat om en/of om de risico's van ongeoorloofde toegang te beperken, gebruik, beschadiging of verlies van gevoelige informatie op schermen en op papieren die zich op de werkstations van werknemers bevinden wanneer er geen werknemers aanwezig zijn.
Attributen Controletabel 7.7
Controle 7.7 is een preventieve vorm van controle waarbij organisaties de vertrouwelijkheid van informatiemiddelen moeten handhaven door het beschrijven en handhaven van clear desk- en clear screen-regels.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke bewaking | #Bescherming |
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Eigendom van zeggenschap 7.7
Gezien het feit dat Controle 7.7 vereist dat organisaties een organisatiebreed clear desk en clear screen-beleid aannemen en implementeren, moeten informatiebeveiligingsfunctionarissen verantwoordelijk zijn voor het opstellen, onderhouden en handhaven van clear desk en clear screen-regels die voor de hele organisatie gelden.
Algemene richtlijnen voor naleving
Controle 7.7 benadrukt dat organisaties een onderwerpspecifiek beleid moeten creëren en handhaven dat duidelijke bureau- en duidelijke schermregels vastlegt.
Bovendien somt Controle 7.7 zeven specifieke vereisten op waar organisaties rekening mee moeten houden bij het vaststellen en handhaven van clear desk- en clear screen-regels:
- Gevoelig of kritisch Informatiemiddelen die op digitale of fysieke items zijn opgeslagen, moeten veilig worden vergrendeld wanneer ze niet in gebruik zijn of wanneer de werkplek waarop deze materialen staan, wordt verlaten. Items zoals papieren documenten, computers en printers moeten bijvoorbeeld worden bewaard in veilig meubilair, zoals een afgesloten of met een wachtwoord beveiligde kast of lade.
- Apparaten die door werknemers worden gebruikt, zoals computers, scanners, printers en notebooks, moeten worden beschermd via beveiligingsmechanismen zoals sleutelsloten wanneer ze niet worden gebruikt of onbeheerd worden achtergelaten.
- Wanneer werknemers hun werkplek verlaten en hun apparaten onbeheerd achterlaten, moeten ze hun apparaten uitgelogd achterlaten en mag het apparaat alleen opnieuw worden geactiveerd via een gebruikersauthenticatiemechanisme. Bovendien moeten automatische time-out- en uitlogfuncties worden geïnstalleerd op alle eindpuntwerknemersapparaten, zoals computers.
- Printers moeten zo worden ontworpen dat afdrukken onmiddellijk worden opgehaald door de persoon (de maker) die het document heeft afgedrukt. Bovendien moet er een sterk authenticatiemechanisme aanwezig zijn, zodat alleen de maker de afdruk mag ophalen.
- Fysieke materialen en verwijderbare opslagmedia die gevoelige informatie bevatten, moeten te allen tijde veilig worden bewaard. Wanneer ze niet langer nodig zijn, moeten ze via een beveiligd mechanisme worden verwijderd.
- Organisaties moeten regels opstellen voor de weergave van pop-ups op schermen en deze regels moeten aan alle relevante medewerkers worden gecommuniceerd. Pop-ups van e-mail en berichten kunnen bijvoorbeeld gevoelige informatie bevatten en als deze tijdens een presentatie of in een openbare ruimte op het scherm worden weergegeven, kan dit de vertrouwelijkheid van gevoelige informatie in gevaar brengen.
- Gevoelige of kritische informatie die op whiteboards wordt weergegeven, moet worden gewist wanneer deze niet langer nodig is.
Aanvullende richtlijnen – Controle 7.7
Controle 7.7 waarschuwt organisaties voor risico's die voortvloeien uit verlaten faciliteiten. Wanneer een organisatie een faciliteit verlaat, moeten fysieke en digitale materialen die voorheen in die faciliteit waren opgeslagen, aanwezig zijn veilig verwijderd zodat gevoelige informatie wordt niet onzeker gelaten.
Daarom vereist controle 7.7 dat organisaties procedures opstellen voor het vrijgeven van faciliteiten, zodat iedereen gevoelige informatiemiddelen die in die instelling zijn gehuisvest, worden veilig verwijderd. Deze procedures kunnen het uitvoeren van een laatste controle omvatten, zodat geen gevoelige informatie onbeschermd blijft.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/7.7 replaces 27002:2013/(11.2.9)
Er zijn twee significante verschillen tussen de versies van 2022 en 2013.
- De versie van 2022 verwijst niet naar criteria waarmee rekening moet worden gehouden bij het vaststellen en implementeren van clear desk- en clear screen-regels.
In tegenstelling tot de versie uit 2022 stelde de versie uit 2013 expliciet dat organisaties bij het vaststellen van een clear desk en clear screen-beleid rekening moeten houden met organisatiebrede informatieclassificatieniveaus, wettelijke en contractuele vereisten en de soorten risico's waarmee de organisatie wordt geconfronteerd.
Uw partner voor ISO 27002:2022-versieverwijst echter niet naar deze elementen.
- De versie 2022 introduceert nieuwe en uitgebreidere vereisten voor de clear desk- en clear screen-regels.
In tegenstelling tot de versie uit 2013 stelt de versie uit 2022 de volgende eisen waar organisaties rekening mee moeten houden bij het vaststellen van clear desk en clear screen regels.
- Organisaties moeten specifieke regels opstellen voor pop-upschermen om de vertrouwelijkheid van gevoelige informatie te waarborgen.
- Gevoelige informatie die op whiteboards is geschreven, moet worden verwijderd wanneer deze niet langer nodig is.
- Eindpuntapparaten van werknemers, zoals computers, moeten worden beveiligd met sleutelsloten wanneer ze niet worden gebruikt of wanneer ze zonder toezicht worden achtergelaten.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt. Je bent compleet compliance-oplossing voor ISO/IEC 27002:2022.
- Tot 81% voortgang vanaf het moment dat u inlogt
- Eenvoudige en totale compliance-oplossing
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
