ISO 27002:2022, Control 7.7 – Klarer Schreibtisch und klarer Bildschirm

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Nahaufnahme,auf,Hände,von,trennen,Gruppe,von,Studenten,sitzend

Wenn ein Mitarbeiter seinen Arbeitsplatz unbeaufsichtigt verlässt, sind vertrauliche Informationen, die in digitalen und physischen Materialien an seinem Arbeitsplatz enthalten sind, einem erhöhten Risiko eines unbefugten Zugriffs, eines Verlusts der Vertraulichkeit und einer Beschädigung ausgesetzt.

Wenn ein Mitarbeiter beispielsweise ein Tool zur Kundenbeziehungsverwaltung verwendet, das Gesundheitsakten verarbeitet, und seinen Computer während der Mittagspause unbeaufsichtigt lässt, können böswillige Parteien diese Gelegenheit ausnutzen, um vertrauliche Gesundheitsdaten zu stehlen und zu missbrauchen.

In Control 7.7 geht es darum, wie Organisationen klare Schreibtisch- und klare Bildschirmregeln entwerfen und durchsetzen können, um die Vertraulichkeit sensibler Informationen auf digitalen Bildschirmen und auf Papieren zu schützen und aufrechtzuerhalten.

Zweck der Kontrolle 7.7

Control 7.7 ermöglicht es Unternehmen, zu eliminieren und/oder die Risiken eines unbefugten Zugriffs mindern, Nutzung, Beschädigung oder Verlust sensibler Informationen auf Bildschirmen und Papieren an den Arbeitsplätzen der Mitarbeiter, wenn Mitarbeiter nicht anwesend sind.

Attributtabelle

Kontrolle 7.7 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, die Vertraulichkeit von Informationsbeständen zu wahren, indem sie klare Schreibtisch- und klare Bildschirmregeln beschreiben und durchsetzen.

Steuerungstyp Eigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit#Schützen#Physische Sicherheit#Schutz
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 7.7

In Anbetracht der Tatsache, dass Control 7.7 von Organisationen verlangt, eine organisationsweite Richtlinie für freie Schreibtische und freie Bildschirme einzuführen und umzusetzen, sollten Informationssicherheitsbeauftragte für die Erstellung, Aufrechterhaltung und Durchsetzung von Regeln für freie Schreibtische und freie Bildschirme verantwortlich sein, die für die gesamte Organisation gelten.

Allgemeine Richtlinien zur Compliance

Control 7.7 betont, dass Organisationen eine themenspezifische Richtlinie erstellen und durchsetzen sollten, die klare Schreibtisch- und klare Bildschirmregeln festlegt.

Darüber hinaus listet Control 7.7 sieben spezifische Anforderungen auf, die Unternehmen bei der Festlegung und Durchsetzung von Regeln für klare Schreibtische und klare Bildschirme berücksichtigen sollten:

  1. Sensibel oder kritisch Auf digitalen oder physischen Gegenständen gespeicherte Informationsbestände sollten sicher verschlossen werden wenn sie nicht verwendet werden oder wenn die Workstation, auf der sich diese Materialien befinden, geräumt wird. Beispielsweise sollten Gegenstände wie Papierakten, Computer und Drucker in sicheren Möbeln wie einem verschlossenen oder passwortgeschützten Schrank oder einer Schublade aufbewahrt werden.

  2. Von Mitarbeitern verwendete Geräte wie Computer, Scanner, Drucker und Notebooks sollten durch Sicherheitsmechanismen wie Tastensperren geschützt werden, wenn sie nicht verwendet oder unbeaufsichtigt gelassen werden.

  3. Wenn Mitarbeiter ihren Arbeitsplatz verlassen und ihre Geräte unbeaufsichtigt lassen, sollten sie ihre Geräte abgemeldet lassen und die Reaktivierung des Geräts sollte nur über einen Benutzerauthentifizierungsmechanismus erfolgen. Darüber hinaus sollten automatische Timeout- und Abmeldefunktionen auf allen Endpunktgeräten der Mitarbeiter, wie z. B. Computern, installiert sein.

  4. Drucker sollten so konzipiert sein, dass Ausdrucke sofort von der Person (Ersteller) abgeholt werden, die das Dokument gedruckt hat. Darüber hinaus sollte ein starker Authentifizierungsmechanismus vorhanden sein, sodass nur der Absender den Ausdruck abholen darf.

  5. Physische Materialien und Wechselspeichermedien, die vertrauliche Informationen enthalten, sollten jederzeit sicher aufbewahrt werden. Wenn sie nicht mehr benötigt werden, sollten sie über einen sicheren Mechanismus entsorgt werden.

  6. Organisationen sollten Regeln für die Anzeige von Pop-ups auf Bildschirmen erstellen und diese Regeln allen relevanten Mitarbeitern mitteilen. E-Mail- und Messaging-Popups können beispielsweise vertrauliche Informationen enthalten und wenn sie während einer Präsentation oder in einem öffentlichen Raum auf dem Bildschirm angezeigt werden, kann dies die Vertraulichkeit vertraulicher Informationen gefährden.

  7. Auf Whiteboards angezeigte sensible oder kritische Informationen sollten gelöscht werden, wenn sie nicht mehr benötigt werden.

Ergänzende Anleitung – Kontrolle 7.7

Control 7.7 warnt Organisationen vor Risiken, die sich aus geräumten Einrichtungen ergeben. Wenn eine Organisation eine Einrichtung verlässt, sollten die zuvor in dieser Einrichtung aufbewahrten physischen und digitalen Materialien zurückgelassen werden sicher entfernt, so dass vertrauliche Informationen bleibt nicht unsicher.

Daher verlangt Kontrolle 7.7 von Organisationen, Verfahren für die Schließung von Einrichtungen festzulegen, damit alle sensible Informationswerte Die in dieser Einrichtung untergebrachten Personen werden sicher entsorgt. Zu diesen Verfahren kann die Durchführung einer abschließenden Durchsuchung gehören, damit keine sensiblen Informationen ungeschützt bleiben.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/7.7 replaces 27002:2013/(11.2.9)

Es gibt zwei wesentliche Unterschiede zwischen der Version 2022 und der Version 2013.

  • Die Version 2022 enthält keine Hinweise auf Kriterien, die bei der Festlegung und Umsetzung von Regeln für klare Schreibtische und klare Bildschirme zu berücksichtigen sind.

Im Gegensatz zur Version 2022 wurde in der Version 2013 ausdrücklich darauf hingewiesen, dass Organisationen organisationsweite Informationsklassifizierungsstufen, rechtliche und vertragliche Anforderungen sowie die Arten von Risiken, denen die Organisation ausgesetzt ist, bei der Festlegung einer Clear Desk- und Clear Screen-Richtlinie berücksichtigen sollten.

Das ISO 27002:2022-Versionbezieht sich jedoch nicht auf diese Elemente.

  • Die Version 2022 führt neue und umfassendere Anforderungen für die Regeln für klare Schreibtische und klare Bildschirme ein.

Im Gegensatz zur Version 2013 legt die Version 2022 die folgenden Anforderungen fest, die Organisationen bei der Festlegung klarer Schreibtisch- und klarer Bildschirmregeln berücksichtigen sollten.

  • Organisationen sollten spezifische Regeln für Popup-Bildschirme erstellen, um die Vertraulichkeit sensibler Informationen zu wahren.

  • Auf Whiteboards geschriebene vertrauliche Informationen sollten entfernt werden, wenn sie nicht mehr benötigt werden.

  • Mitarbeiter-Endpunktgeräte wie Computer sollten mit Tastensperren geschützt werden, wenn sie nicht verwendet oder unbeaufsichtigt gelassen werden.

Wie ISMS.online hilft

ISO 27002 Mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, wird die Implementierung einfacher. Ihr komplett Compliance-Lösung für ISO/IEC 27002:2022.

  • Bis zu 81 % Fortschritt ab dem Zeitpunkt der Anmeldung
  • Einfache und vollständige Compliance-Lösung

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren