ISO 27002:2022, Kontrolle 7.8 – Standort und Schutz der Ausrüstung

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Teamarbeit, zusammen, professionell, Beruf, Konzept

Während Cyber-Bedrohungen wie Malware-Angriffe, SQL-Injection und das Abfangen von Datenverkehr immer ausgefeilter werden und ein großes Risiko für die Unternehmen darstellen Sicherheit von Informationsressourcen.

Die Risikolandschaft beschränkt sich nicht nur auf softwarebasierte Cyberangriffe:

Beispielsweise sind das Verschütten eines Getränks auf einen Server, das Herunterfahren eines Computersystems aufgrund hoher Temperaturen und der unbefugte Zugriff auf ein Computersystem, das sich nicht in einem sicheren Bereich befindet, Beispiele für physische Bedrohungen für Gerätegehäuse Informationsvermögen.

Control 7.8 geht darauf ein, wie Organisationen dies tun können Beseitigung und Minderung von Risiken, die sich aus physischen und umweltbedingten Bedrohungen ergeben zu Geräten, die Informationsressourcen hosten.

Zweck der Kontrolle 7.8

Steuer 7.8 ermöglicht Organisationen die Beseitigung und/oder Minderung zwei Arten von Risiken für Geräte, die Informationswerte enthalten:

  • Physische und umweltbedingte Bedrohungen für Geräte wie Beleuchtung, Stromausfälle, Diebstahl, Kommunikationsstörungen und elektrische Störungen. Zu diesen Bedrohungen gehören auch Änderungen der Umgebungsbedingungen wie Luftfeuchtigkeit und Temperatur, die die Informationsverarbeitungsaktivitäten stören können.

  • Unbefugter Zugriff auf, unbefugte Nutzung, Beschädigung und Zerstörung von Geräten, die nicht in sicheren Bereichen gelagert werden.

Attributtabelle

Kontrolle 7.8 ist eine vorbeugende Art der Kontrolle, die von Organisationen verlangt, die Integrität, Verfügbarkeit und Vertraulichkeit von Informationsressourcen aufrechtzuerhalten, indem sie Geräte, die Informationsressourcen enthalten, vor physischen und umweltbedingten Bedrohungen schützen.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen#Physische Sicherheit
#Vermögensverwaltung 		#Schutz
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 7.8

Die Einhaltung von Control 7.8 erfordert die Erstellung eines Inventars von Geräten, die Informationsressourcen beherbergen, Platzierung aller Geräte in sicheren Bereichen und Umsetzung geeigneter Maßnahmen zur Verhinderung physischer und umweltbezogener Bedrohungen.

Daher sind Informationssicherheitsmanager sollten für die Einrichtung, Umsetzung und Aufrechterhaltung notwendiger Maßnahmen verantwortlich sein und Richtlinien zum sicheren Standort und zum Schutz der Ausrüstung.

Allgemeine Richtlinien zur Compliance

Control 7.8 schreibt neun spezifische Anforderungen vor, die für die Einhaltung berücksichtigt werden sollten:

  1. Die Ausrüstung sollte in sicheren Bereichen aufgestellt werden, damit Unbefugte keinen Zugriff auf die Ausrüstung erhalten.

  2. Werkzeuge, die zur Verarbeitung sensibler Informationen verwendet werden, wie Computer, Monitore und Drucker, sollten so aufgestellt werden, dass Unbefugte nicht darauf zugreifen können Personen können die auf Bildschirmen angezeigten Informationen ohne Erlaubnis nicht sehen.

  3. Es sollten geeignete Maßnahmen ergriffen werden, um Risiken zu beseitigen und/oder zu mindern, die sich aus physischen und umweltbedingten Bedrohungen wie Sprengstoffen, Kommunikationsstörungen, Feuer, Staub und elektromagnetischer Strahlung ergeben.

  4. Beispielsweise kann ein Blitzableiter ein wirksamer Schutz gegen Blitzeinschläge sein.

  5. Es sollten Richtlinien zum Essen und Trinken in der Nähe von Geräten erstellt und allen relevanten Parteien mitgeteilt werden.

  6. Umgebungsbedingungen, die die Informationsverarbeitungsvorgänge stören können, sollten kontinuierlich überwacht werden. Dazu können Temperatur- und Luftfeuchtigkeitswerte gehören.

  7. In allen Gebäuden und Büros sollten Blitzschutzmechanismen implementiert werden. Darüber hinaus sollten Blitzschutzfilter in alle eingehenden Stromleitungen, einschließlich Kommunikationsleitungen, eingebaut werden.

  8. Wenn sich Geräte in einer industriellen Umgebung befinden, sollten bei Bedarf spezielle Schutzvorrichtungen wie Tastaturfolien verwendet werden.

  9. Elektromagnetische Ausstrahlung kann zum Verlust vertraulicher Informationen führen. Daher sind Gerätegehäuse empfindlich bzw. kritisch Informationsbestände sollten gesichert werden, um einem solchen Risiko vorzubeugen.

  10. IT-Geräte, die einer Organisation gehören und von ihr kontrolliert werden, sollten klar von denen getrennt werden, die nicht Eigentum der Organisation sind und von ihr kontrolliert werden.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

Obwohl sich die Versionen 2022 und 2013 weitgehend ähneln, gibt es einen wesentlichen Unterschied, der hervorgehoben werden muss:

Im Gegensatz zur Version 2013 führt Control 7.8 in der Version 2022 die folgende Anforderung ein:

  • IT-Geräte, die einer Organisation gehören und von ihr kontrolliert werden, sollten klar von denen getrennt werden, die nicht Eigentum der Organisation sind und von ihr kontrolliert werden.

Wie ISMS.online hilft

Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres ISMS einzubeziehen, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Einige der Schlüssel Vorteile der Nutzung von ISMS.online -System umfasst:

  • Du kannst deine bauen ISO 27001-konformes ISMS innerhalb der Plattform.

  • Benutzer können Aufgaben erledigen und Nachweise einreichen, um die Einhaltung des Standards nachzuweisen.

  • Es ist einfach, Verantwortlichkeiten zu delegieren und den Fortschritt in Richtung Compliance zu überwachen.

  • Das umfangreiche Risikobewertung toolset spart während des gesamten Prozesses Zeit und Aufwand.

  • Wir haben eine engagierte Ein Team von Beratern steht Ihnen zur Seite begleitet Sie auf Ihrem Weg zur Compliance.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.

Emmie Cooney
Betriebsleiter, Amigo

Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren