Controle 7.8, Locatie en bescherming van apparatuur

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002 Controle 7.8: Beste praktijken voor het plaatsen en beschermen van apparatuur

Terwijl cyberdreigingen zoals malware-aanvallen, SQL-injectie en het onderscheppen van verkeer steeds geavanceerder worden en een groot risico vormen voor de beveiliging van informatiemiddelen.

Het risicolandschap beperkt zich niet tot op software gebaseerde cyberaanvallen:

Fysieke en omgevingsbedreigingen voor IT-apparatuur zoals servers, computers, harde schijven en verwijderbare opslagmedia kunnen ook de beveiliging in gevaar brengen beschikbaarheid, vertrouwelijkheid en integriteit van informatiemiddelen.

Het morsen van een drankje op een server, het afsluiten van een computersysteem vanwege hoge temperaturen en ongeoorloofde toegang tot een computersysteem dat zich niet in een beveiligde ruimte bevindt, zijn bijvoorbeeld allemaal voorbeelden van fysieke bedreigingen voor de behuizing van apparatuur. informatie-activa.

Controle 7.8 gaat in op hoe organisaties dit kunnen doen het elimineren en beperken van risico's die voortvloeien uit fysieke en ecologische bedreigingen tot apparatuur die informatiemiddelen host.

Doel van de controle 7.8

Controle 7.8 stelt organisaties in staat om deze te elimineren en/of te beperken twee soorten risico's voor apparatuur die informatiemiddelen bevat:

Fysieke en omgevingsbedreigingen voor apparatuur, zoals verlichting, stroomuitval, diefstal, communicatie-interferentie en elektrische interferentie. Deze bedreigingen omvatten ook veranderingen in omgevingsomstandigheden zoals vochtigheid en temperatuurniveaus die de informatieverwerkingsactiviteiten kunnen verstoren.
Ongeoorloofde toegang tot, gebruik van, schade aan en vernietiging van apparatuur die niet in beveiligde ruimtes is opgeslagen.

Attributen Controletabel 7.8

Controle 7.8 is een preventieve vorm van controle die organisaties verplicht de integriteit, beschikbaarheid en vertrouwelijkheid van informatiemiddelen te handhaven door apparatuur die informatiemiddelen bevat te beschermen tegen fysieke en ecologische bedreigingen.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Fysieke bewaking	#Bescherming
	#Integriteit		#Vermogensbeheer
	#Beschikbaarheid

Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Eigendom van zeggenschap 7.8

Het voldoen aan Controle 7.8 houdt het opmaken van een inventaris in van apparatuur waarin informatiemiddelen zijn ondergebracht, plaatsing van alle apparatuur in beveiligde gebieden en implementatie van passende maatregelen om fysieke en ecologische bedreigingen te voorkomen.

daarom Informatiebeveiligingsmanagers moeten verantwoordelijk zijn voor het vaststellen, implementeren en onderhouden van de noodzakelijke maatregelen en richtlijnen voor veilige plaatsing en bescherming van apparatuur.

Algemene richtlijnen voor naleving

Controle 7.8 schrijft negen specifieke eisen voor waarmee rekening moet worden gehouden bij naleving:

Apparatuur moet in beveiligde ruimtes worden geplaatst, zodat onbevoegde personen geen toegang kunnen krijgen tot de apparatuur.
Hulpmiddelen die worden gebruikt voor het verwerken van gevoelige informatie, zoals computers, monitoren en printers, moeten op een manier worden geplaatst die ongeautoriseerd is personen kunnen zonder toestemming geen informatie zien die op schermen wordt weergegeven.
Er moeten passende maatregelen worden genomen om de risico's die voortkomen uit fysieke en omgevingsbedreigingen zoals explosieven, communicatiestoringen, brand, stof en elektromagnetische straling te elimineren en/of te beperken.
Een bliksemafleider kan bijvoorbeeld een effectieve bestrijding zijn tegen blikseminslagen.
Er moeten richtlijnen over eten en drinken in de buurt van apparatuur worden opgesteld en aan alle relevante partijen worden gecommuniceerd.
Omgevingsomstandigheden die de informatieverwerkingsactiviteiten kunnen verstoren, moeten voortdurend worden gemonitord. Deze kunnen temperatuur- en vochtigheidsniveaus omvatten.
Bliksembeveiligingsmechanismen moeten in alle gebouwen en kantoren worden geïmplementeerd. Bovendien moeten bliksembeveiligingsfilters worden ingebouwd in alle inkomende stroomleidingen, inclusief communicatielijnen.
Als apparatuur zich in een industriële omgeving bevindt, moeten indien nodig speciale beschermingsmaatregelen zoals toetsenbordmembranen worden gebruikt.
Elektromagnetische straling kan leiden tot het lekken van gevoelige informatie. Daarom is apparatuurbehuizing gevoelig of kritisch informatiemiddelen moeten worden beveiligd om dergelijke risico's te voorkomen.
IT-apparatuur die eigendom is van en beheerd wordt door een organisatie moet duidelijk gescheiden zijn van apparatuur die geen eigendom is van en beheerd wordt door de organisatie.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

Hoewel de versies van 2022 en 2013 grotendeels vergelijkbaar zijn, moet er één belangrijk verschil worden benadrukt:

In tegenstelling tot de versie 2013 introduceert Control 7.8 in de versie 2022 de volgende vereiste:

IT-apparatuur die eigendom is van en beheerd wordt door een organisatie moet duidelijk gescheiden zijn van apparatuur die geen eigendom is van en beheerd wordt door de organisatie.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons platform is intuïtief en gemakkelijk te gebruiken. Het is niet alleen voor zeer technische mensen; het is voor iedereen in uw organisatie. We moedigen u aan om personeel op alle niveaus van uw bedrijf te betrekken bij het proces van het bouwen van uw ISMS, omdat dat u helpt een echt duurzaam systeem op te bouwen.

Enkele van de sleutels voordelen van het gebruik van ISMS.online omvatten:

U kunt uw bouwen ISO 27001-compatibel ISMS binnen het platform.
Gebruikers kunnen taken voltooien en bewijsmateriaal indienen om naleving van de norm aan te tonen.
Het is gemakkelijk om verantwoordelijkheden te delegeren en de voortgang op weg naar naleving te monitoren.
Het uitgebreide risico-evaluatie toolset bespaart tijd en moeite tijdens het hele proces.
We hebben een toegewijde Een team van adviseurs staat klaar om u te ondersteunen u tijdens uw hele traject naar compliance.

Neem vandaag nog contact op met boek een demo.