Wenn IT-Geräte wie externe Laufwerke, USB-Laufwerke, Laptops oder Drucker nicht mehr benötigt werden, werden sie entweder physisch zerstört, an den Mieter zurückgegeben, an Dritte weitergegeben, recycelt oder zur Wiederverwendung für andere Geschäfte bereitgestellt Operationen.
In Anbetracht dessen, dass dieses Gerät Folgendes enthalten kann Informationsvermögen und lizenzierter Software sollten Organisationen sicherstellen, dass alle Informationen und lizenzierte Software unwiederbringlich gelöscht oder überschrieben werden, bevor sie entsorgt oder wiederverwendet werden. Dies trägt dazu bei, die Vertraulichkeit der in diesem Gerät enthaltenen Informationen zu wahren.
Wenn eine Organisation beispielsweise einen externen Dienstleister für die Entsorgung von IT-Ressourcen in Anspruch nimmt und alte Laptops, Drucker und externe Laufwerke an diesen Anbieter überträgt, kann dieser Dienstleister unbefugten Zugriff auf die auf diesen Geräten gehosteten Informationen erhalten.
Control 7.14 befasst sich mit dem Wie Organisationen können die Vertraulichkeit der gespeicherten Informationen wahren über die Geräte, die entsorgt oder wiederverwendet werden sollen, durch die Umsetzung geeigneter Sicherheitsmaßnahmen und -verfahren.
Control 7.14 ermöglicht es Organisationen, unbefugten Zugriff auf sensible Informationen zu verhindern, indem bestätigt wird, dass alle auf Geräten gespeicherten Informationen und lizenzierten Software unwiderruflich gelöscht oder überschrieben werden, bevor die Geräte entsorgt oder an Dritte zur Wiederverwendung weitergegeben werden.
Bei der Kontrolle 7.14 handelt es sich um eine vorbeugende Art der Kontrolle verlangt von Organisationen, die Vertraulichkeit von Informationen zu wahren auf der Ausrüstung gehostet, die entsorgt oder zur Wiederverwendung eingesetzt wird, indem geeignete Verfahren und Maßnahmen für die Entsorgung und Wiederverwendung festgelegt und angewendet werden.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Physische Sicherheit #Vermögensverwaltung | #Schutz |
Die Einhaltung von Control 7.14 erfordert die Einrichtung eines organisationsweiten Verfahrens zur Datenentsorgung und -wiederverwendung, die Identifizierung aller Geräte und die Implementierung geeigneter technischer Entsorgungsmechanismen und Wiederverwendungsverfahren.
Daher sollte der Chief Information Officer für die Einrichtung, Umsetzung und Wartung von Verfahren und Mechanismen zur Entsorgung und Wiederverwendung von Geräten verantwortlich sein.
Die Control 7.14 listet vier wichtige Überlegungen auf, die Unternehmen bei der Einhaltung von Vorschriften berücksichtigen sollten:
Bevor die Entsorgung erfolgt oder die Ausrüstung zur Wiederverwendung bereitgestellt wird, müssen Organisationen bestätigen, ob die Ausrüstung welche enthält Informationsressourcen und lizenzierte Software und sollte sicherstellen, dass solche Informationen oder Software dauerhaft gelöscht werden.
Control 7.14 listet zwei Methoden auf, mit denen die in Geräten enthaltenen Informationen sicher und dauerhaft entfernt werden können:
Komponenten der Ausrüstung und die darin enthaltenen Informationen können mit Etiketten und Markierungen versehen sein, die die Organisation identifizieren oder den Namen des Anlageneigentümers, das Netzwerk oder die zugewiesene Informationsklassifizierungsstufe offenlegen.
Alle diese Etiketten und Markierungen sollten unwiederbringlich zerstört werden.
Unter Berücksichtigung der folgenden Bedingungen können sich Organisationen dafür entscheiden, alle Sicherheitskontrollen wie Zugangsbeschränkungen oder Überwachungssysteme zu deinstallieren, wenn sie Einrichtungen verlassen:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Zusätzlich zu den allgemeinen Leitlinien enthält die Control 7.14 drei spezifische Empfehlungen für Organisationen.
Wenn beschädigte Geräte, die Informationen enthalten, zur Reparatur geschickt werden, besteht möglicherweise das Risiko eines unbefugten Zugriffs durch Dritte.
Organisationen sollten Folgendes durchführen: Risikobewertung unter Berücksichtigung der Sensibilität der Informationen und überlegen Sie, ob die Zerstörung der Ausrüstung eine praktikablere Option als die Reparatur ist.
Während die Technik der vollständigen Festplattenverschlüsselung die Risiken für die Vertraulichkeit von Informationen erheblich minimiert, sollte sie die folgenden Standards einhalten:
Organisationen sollten eine Überschreibtechnik unter Berücksichtigung der folgenden Kriterien wählen:
27002:2022/7.14 replaces 27002:2013/(11.2.7)
Das Control 7.14 ähnelt weitgehend seinem Pendant in der 2013er Version. Das Control 7.14 in der Version 2022 enthält jedoch umfassendere Anforderungen in der General Guidance.
Im Gegensatz zur Version 2013 führt die Version 2022 folgende Anforderungen ein:
ISMS.Online ist eine Komplettlösung für ISO 27002 Umsetzung.
Es handelt sich um ein webbasiertes System, mit dem Sie zeigen können, dass Sie Informationssicherheits-Managementsystem (ISMS) erfüllt die anerkannten Standards mithilfe durchdachter Prozesse, Verfahren und Checklisten.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
