Kontrolle 7.14, Sichere Entsorgung oder Wiederverwendung von Geräten

ISO 27002:2022 – Kontrolle 7.14 – Sichere Entsorgung oder Wiederverwendung von Geräten

ISO 27002:2022 Control 7.14 beschreibt bewährte Vorgehensweisen für die sichere Entsorgung oder Wiederverwendung von Geräten, indem eine vollständige Datenlöschung sichergestellt, Organisationskennungen entfernt und strenge Entsorgungsverfahren implementiert werden, um unbefugten Zugriff zu verhindern.

Sichere Entsorgung und Wiederverwendung von Geräten gewährleisten: Erläuterung der ISO 27002-Kontrolle 7.14

Wenn IT-Geräte wie externe Laufwerke, USB-Laufwerke, Laptops oder Drucker nicht mehr benötigt werden, werden sie entweder physisch zerstört, an den Mieter zurückgegeben, an Dritte weitergegeben, recycelt oder zur Wiederverwendung für andere Geschäfte bereitgestellt Operationen.

In Anbetracht dessen, dass dieses Gerät Folgendes enthalten kann Informationsvermögen und lizenzierter Software sollten Organisationen sicherstellen, dass alle Informationen und lizenzierte Software unwiederbringlich gelöscht oder überschrieben werden, bevor sie entsorgt oder wiederverwendet werden. Dies trägt dazu bei, die Vertraulichkeit der in diesem Gerät enthaltenen Informationen zu wahren.

Wenn eine Organisation beispielsweise einen externen Dienstleister für die Entsorgung von IT-Ressourcen in Anspruch nimmt und alte Laptops, Drucker und externe Laufwerke an diesen Anbieter überträgt, kann dieser Dienstleister unbefugten Zugriff auf die auf diesen Geräten gehosteten Informationen erhalten.

Control 7.14 befasst sich mit dem Wie Organisationen können die Vertraulichkeit der gespeicherten Informationen wahren über die Geräte, die entsorgt oder wiederverwendet werden sollen, durch die Umsetzung geeigneter Sicherheitsmaßnahmen und -verfahren.

Zweck der Kontrolle 7.14

Control 7.14 ermöglicht es Organisationen, unbefugten Zugriff auf sensible Informationen zu verhindern, indem bestätigt wird, dass alle auf Geräten gespeicherten Informationen und lizenzierten Software unwiderruflich gelöscht oder überschrieben werden, bevor die Geräte entsorgt oder an Dritte zur Wiederverwendung weitergegeben werden.

Attributtabelle der Steuerung 7.14

Bei der Kontrolle 7.14 handelt es sich um eine vorbeugende Art der Kontrolle verlangt von Organisationen, die Vertraulichkeit von Informationen zu wahren auf der Ausrüstung gehostet, die entsorgt oder zur Wiederverwendung eingesetzt wird, indem geeignete Verfahren und Maßnahmen für die Entsorgung und Wiederverwendung festgelegt und angewendet werden.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Physische Sicherheit	#Schutz
			#Vermögensverwaltung

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

Eigentum an der Kontrolle 7.14

Die Einhaltung von Control 7.14 erfordert die Einrichtung eines organisationsweiten Verfahrens zur Datenentsorgung und -wiederverwendung, die Identifizierung aller Geräte und die Implementierung geeigneter technischer Entsorgungsmechanismen und Wiederverwendungsverfahren.

Daher sollte der Chief Information Officer für die Einrichtung, Umsetzung und Wartung von Verfahren und Mechanismen zur Entsorgung und Wiederverwendung von Geräten verantwortlich sein.

Allgemeine Richtlinien zur Compliance

Die Control 7.14 listet vier wichtige Überlegungen auf, die Unternehmen bei der Einhaltung von Vorschriften berücksichtigen sollten:

Es sollte ein proaktiver Ansatz gewählt werden

Bevor die Entsorgung erfolgt oder die Ausrüstung zur Wiederverwendung bereitgestellt wird, müssen Organisationen bestätigen, ob die Ausrüstung welche enthält Informationsressourcen und lizenzierte Software und sollte sicherstellen, dass solche Informationen oder Software dauerhaft gelöscht werden.

Physische Zerstörung oder unwiederbringliche Löschung von Informationen

Control 7.14 listet zwei Methoden auf, mit denen die in Geräten enthaltenen Informationen sicher und dauerhaft entfernt werden können:

Geräte, auf denen sich Speichermedien befinden, die Informationen enthalten, sollten physisch zerstört werden.
Auf dem Gerät gespeicherte Informationen sollten unwiederbringlich gelöscht, überschrieben oder zerstört werden, damit böswillige Parteien keinen Zugriff auf die Informationen haben. Organisationen wird empfohlen, sich mit Control 7.10 zu Speichermedien und Control 8.10 zum Löschen von Informationen vertraut zu machen.

Entfernung aller Etiketten und Markierungen

Komponenten der Ausrüstung und die darin enthaltenen Informationen können mit Etiketten und Markierungen versehen sein, die die Organisation identifizieren oder den Namen des Anlageneigentümers, das Netzwerk oder die zugewiesene Informationsklassifizierungsstufe offenlegen.

Alle diese Etiketten und Markierungen sollten unwiederbringlich zerstört werden.

Entfernung von Kontrollen

Unter Berücksichtigung der folgenden Bedingungen können sich Organisationen dafür entscheiden, alle Sicherheitskontrollen wie Zugangsbeschränkungen oder Überwachungssysteme zu deinstallieren, wenn sie Einrichtungen verlassen:

Die Bedingungen des Mietvertrags beziehen sich auf die Bedingungen, zu denen die Rückgabe erfolgen muss.
Eliminierung und Minderung des Risikos eines unbefugten Zugriffs auf sensible Informationen durch den Nachmieter.
Ob die vorhandenen Steuerungen in der nächsten Anlage wiederverwendet werden können.

Ergänzende Leitlinien zur Kontrolle 7.14

Zusätzlich zu den allgemeinen Leitlinien enthält die Control 7.14 drei spezifische Empfehlungen für Organisationen.

Beschädigte Ausrüstung

Wenn beschädigte Geräte, die Informationen enthalten, zur Reparatur geschickt werden, besteht möglicherweise das Risiko eines unbefugten Zugriffs durch Dritte.

Organisationen sollten Folgendes durchführen: Risikobewertung unter Berücksichtigung der Sensibilität der Informationen und überlegen Sie, ob die Zerstörung der Ausrüstung eine praktikablere Option als die Reparatur ist.

Vollständige Festplattenverschlüsselung

Während die Technik der vollständigen Festplattenverschlüsselung die Risiken für die Vertraulichkeit von Informationen erheblich minimiert, sollte sie die folgenden Standards einhalten:

Die Verschlüsselung ist robust und deckt alle Teile der Festplatte ab, einschließlich des freien Speicherplatzes.
Kryptografische Schlüssel sollten lang genug sein, um Brute-Force-Angriffe zu verhindern.
Organisationen sollten die Vertraulichkeit kryptografischer Schlüssel wahren. Beispielsweise sollte der Verschlüsselungsschlüssel nicht auf derselben Festplatte gespeichert werden.

Überschreibwerkzeuge

Organisationen sollten eine Überschreibtechnik unter Berücksichtigung der folgenden Kriterien wählen:

Dem Informationsasset zugewiesene Informationsklassifizierungsstufe.
Art des Speichermediums, auf dem die Informationen gespeichert sind.

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/7.14 replaces 27002:2013/(11.2.7)

Das Control 7.14 ähnelt weitgehend seinem Pendant in der 2013er Version. Das Control 7.14 in der Version 2022 enthält jedoch umfassendere Anforderungen in der General Guidance.

Im Gegensatz zur Version 2013 führt die Version 2022 folgende Anforderungen ein:

Organisationen sollten alle Markierungen und Etiketten entfernen, die die Organisation, das Netzwerk und die Klassifizierungsebene identifizieren.
Organisationen sollten die Aufhebung der in einer Einrichtung implementierten Kontrollen in Betracht ziehen, wenn sie diese Einrichtung verlassen.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.Online ist eine Komplettlösung für ISO 27002 Umsetzung.

Es handelt sich um ein webbasiertes System, mit dem Sie zeigen können, dass Sie Informationssicherheits-Managementsystem (ISMS) erfüllt die anerkannten Standards mithilfe durchdachter Prozesse, Verfahren und Checklisten.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet