Sichere Entsorgung und Wiederverwendung von Geräten gewährleisten: Erläuterung der ISO 27002-Kontrolle 7.14
Wenn IT-Geräte wie externe Laufwerke, USB-Laufwerke, Laptops oder Drucker nicht mehr benötigt werden, werden sie entweder physisch zerstört, an den Mieter zurückgegeben, an Dritte weitergegeben, recycelt oder zur Wiederverwendung für andere Geschäfte bereitgestellt Operationen.
In Anbetracht dessen, dass dieses Gerät Folgendes enthalten kann Informationsvermögen und lizenzierter Software sollten Organisationen sicherstellen, dass alle Informationen und lizenzierte Software unwiederbringlich gelöscht oder überschrieben werden, bevor sie entsorgt oder wiederverwendet werden. Dies trägt dazu bei, die Vertraulichkeit der in diesem Gerät enthaltenen Informationen zu wahren.
Wenn eine Organisation beispielsweise einen externen Dienstleister für die Entsorgung von IT-Ressourcen in Anspruch nimmt und alte Laptops, Drucker und externe Laufwerke an diesen Anbieter überträgt, kann dieser Dienstleister unbefugten Zugriff auf die auf diesen Geräten gehosteten Informationen erhalten.
Control 7.14 befasst sich mit dem Wie Organisationen können die Vertraulichkeit der gespeicherten Informationen wahren über die Geräte, die entsorgt oder wiederverwendet werden sollen, durch die Umsetzung geeigneter Sicherheitsmaßnahmen und -verfahren.
Zweck der Kontrolle 7.14
Control 7.14 ermöglicht es Organisationen, unbefugten Zugriff auf sensible Informationen zu verhindern, indem bestätigt wird, dass alle auf Geräten gespeicherten Informationen und lizenzierten Software unwiderruflich gelöscht oder überschrieben werden, bevor die Geräte entsorgt oder an Dritte zur Wiederverwendung weitergegeben werden.
Attributtabelle der Steuerung 7.14
Bei der Kontrolle 7.14 handelt es sich um eine vorbeugende Art der Kontrolle verlangt von Organisationen, die Vertraulichkeit von Informationen zu wahren auf der Ausrüstung gehostet, die entsorgt oder zur Wiederverwendung eingesetzt wird, indem geeignete Verfahren und Maßnahmen für die Entsorgung und Wiederverwendung festgelegt und angewendet werden.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Physische Sicherheit | #Schutz |
| #Vermögensverwaltung |
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Eigentum an der Kontrolle 7.14
Die Einhaltung von Control 7.14 erfordert die Einrichtung eines organisationsweiten Verfahrens zur Datenentsorgung und -wiederverwendung, die Identifizierung aller Geräte und die Implementierung geeigneter technischer Entsorgungsmechanismen und Wiederverwendungsverfahren.
Daher sollte der Chief Information Officer für die Einrichtung, Umsetzung und Wartung von Verfahren und Mechanismen zur Entsorgung und Wiederverwendung von Geräten verantwortlich sein.
Allgemeine Richtlinien zur Compliance
Die Control 7.14 listet vier wichtige Überlegungen auf, die Unternehmen bei der Einhaltung von Vorschriften berücksichtigen sollten:
- Es sollte ein proaktiver Ansatz gewählt werden
Bevor die Entsorgung erfolgt oder die Ausrüstung zur Wiederverwendung bereitgestellt wird, müssen Organisationen bestätigen, ob die Ausrüstung welche enthält Informationsressourcen und lizenzierte Software und sollte sicherstellen, dass solche Informationen oder Software dauerhaft gelöscht werden.
- Physische Zerstörung oder unwiederbringliche Löschung von Informationen
Control 7.14 listet zwei Methoden auf, mit denen die in Geräten enthaltenen Informationen sicher und dauerhaft entfernt werden können:
- Geräte, auf denen sich Speichermedien befinden, die Informationen enthalten, sollten physisch zerstört werden.
- Auf dem Gerät gespeicherte Informationen sollten unwiederbringlich gelöscht, überschrieben oder zerstört werden, damit böswillige Parteien keinen Zugriff auf die Informationen haben. Organisationen wird empfohlen, sich mit Control 7.10 zu Speichermedien und Control 8.10 zum Löschen von Informationen vertraut zu machen.
- Entfernung aller Etiketten und Markierungen
Komponenten der Ausrüstung und die darin enthaltenen Informationen können mit Etiketten und Markierungen versehen sein, die die Organisation identifizieren oder den Namen des Anlageneigentümers, das Netzwerk oder die zugewiesene Informationsklassifizierungsstufe offenlegen.
Alle diese Etiketten und Markierungen sollten unwiederbringlich zerstört werden.
- Entfernung von Kontrollen
Unter Berücksichtigung der folgenden Bedingungen können sich Organisationen dafür entscheiden, alle Sicherheitskontrollen wie Zugangsbeschränkungen oder Überwachungssysteme zu deinstallieren, wenn sie Einrichtungen verlassen:
- Die Bedingungen des Mietvertrags beziehen sich auf die Bedingungen, zu denen die Rückgabe erfolgen muss.
- Eliminierung und Minderung des Risikos eines unbefugten Zugriffs auf sensible Informationen durch den Nachmieter.
- Ob die vorhandenen Steuerungen in der nächsten Anlage wiederverwendet werden können.
Ergänzende Leitlinien zur Kontrolle 7.14
Zusätzlich zu den allgemeinen Leitlinien enthält die Control 7.14 drei spezifische Empfehlungen für Organisationen.
Beschädigte Ausrüstung
Wenn beschädigte Geräte, die Informationen enthalten, zur Reparatur geschickt werden, besteht möglicherweise das Risiko eines unbefugten Zugriffs durch Dritte.
Organisationen sollten Folgendes durchführen: Risikobewertung unter Berücksichtigung der Sensibilität der Informationen und überlegen Sie, ob die Zerstörung der Ausrüstung eine praktikablere Option als die Reparatur ist.
Vollständige Festplattenverschlüsselung
Während die Technik der vollständigen Festplattenverschlüsselung die Risiken für die Vertraulichkeit von Informationen erheblich minimiert, sollte sie die folgenden Standards einhalten:
- Die Verschlüsselung ist robust und deckt alle Teile der Festplatte ab, einschließlich des freien Speicherplatzes.
- Kryptografische Schlüssel sollten lang genug sein, um Brute-Force-Angriffe zu verhindern.
- Organisationen sollten die Vertraulichkeit kryptografischer Schlüssel wahren. Beispielsweise sollte der Verschlüsselungsschlüssel nicht auf derselben Festplatte gespeichert werden.
Überschreibwerkzeuge
Organisationen sollten eine Überschreibtechnik unter Berücksichtigung der folgenden Kriterien wählen:
- Dem Informationsasset zugewiesene Informationsklassifizierungsstufe.
- Art des Speichermediums, auf dem die Informationen gespeichert sind.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022/7.14 replaces 27002:2013/(11.2.7)
Das Control 7.14 ähnelt weitgehend seinem Pendant in der 2013er Version. Das Control 7.14 in der Version 2022 enthält jedoch umfassendere Anforderungen in der General Guidance.
Im Gegensatz zur Version 2013 führt die Version 2022 folgende Anforderungen ein:
- Organisationen sollten alle Markierungen und Etiketten entfernen, die die Organisation, das Netzwerk und die Klassifizierungsebene identifizieren.
- Organisationen sollten die Aufhebung der in einer Einrichtung implementierten Kontrollen in Betracht ziehen, wenn sie diese Einrichtung verlassen.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
ISMS.Online ist eine Komplettlösung für ISO 27002 Umsetzung.
Es handelt sich um ein webbasiertes System, mit dem Sie zeigen können, dass Sie Informationssicherheits-Managementsystem (ISMS) erfüllt die anerkannten Standards mithilfe durchdachter Prozesse, Verfahren und Checklisten.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
