Kontrolle 7.8, Standort und Schutz der Ausrüstung

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002-Kontrolle 7.8: Best Practices für die Standortwahl und den Schutz von Geräten

Während Cyber-Bedrohungen wie Malware-Angriffe, SQL-Injection und das Abfangen von Datenverkehr immer ausgefeilter werden und ein großes Risiko für die Unternehmen darstellen Sicherheit von Informationsressourcen.

Die Risikolandschaft beschränkt sich nicht nur auf softwarebasierte Cyberangriffe:

Physische und umweltbedingte Bedrohungen für IT-Geräte wie Server, Computer, Festplatten und Wechselspeichermedien können ebenfalls gefährdet sein Verfügbarkeit, Vertraulichkeit und Integrität von Informationsressourcen.

Beispielsweise sind das Verschütten eines Getränks auf einen Server, das Herunterfahren eines Computersystems aufgrund hoher Temperaturen und der unbefugte Zugriff auf ein Computersystem, das sich nicht in einem sicheren Bereich befindet, Beispiele für physische Bedrohungen für Gerätegehäuse Informationsvermögen.

Control 7.8 geht darauf ein, wie Organisationen dies tun können Beseitigung und Minderung von Risiken, die sich aus physischen und umweltbedingten Bedrohungen ergeben zu Geräten, die Informationsressourcen hosten.

Zweck der Kontrolle 7.8

Steuer 7.8 ermöglicht Organisationen die Beseitigung und/oder Minderung zwei Arten von Risiken für Geräte, die Informationswerte enthalten:

Physische und umweltbedingte Bedrohungen für Geräte wie Beleuchtung, Stromausfälle, Diebstahl, Kommunikationsstörungen und elektrische Störungen. Zu diesen Bedrohungen gehören auch Änderungen der Umgebungsbedingungen wie Luftfeuchtigkeit und Temperatur, die die Informationsverarbeitungsaktivitäten stören können.
Unbefugter Zugriff auf, unbefugte Nutzung, Beschädigung und Zerstörung von Geräten, die nicht in sicheren Bereichen gelagert werden.

Attributtabelle der Steuerung 7.8

Kontrolle 7.8 ist eine vorbeugende Art der Kontrolle, die von Organisationen verlangt, die Integrität, Verfügbarkeit und Vertraulichkeit von Informationsressourcen aufrechtzuerhalten, indem sie Geräte, die Informationsressourcen enthalten, vor physischen und umweltbedingten Bedrohungen schützen.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Physische Sicherheit	#Schutz
	#Integrität		#Vermögensverwaltung
	#Verfügbarkeit

Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Beratung buchen

Eigentum an der Kontrolle 7.8

Die Einhaltung von Control 7.8 erfordert die Erstellung eines Inventars von Geräten, die Informationsressourcen beherbergen, Platzierung aller Geräte in sicheren Bereichen und Umsetzung geeigneter Maßnahmen zur Verhinderung physischer und umweltbezogener Bedrohungen.

Daher sind Informationssicherheitsmanager sollten für die Einrichtung, Umsetzung und Aufrechterhaltung notwendiger Maßnahmen verantwortlich sein und Richtlinien zum sicheren Standort und zum Schutz der Ausrüstung.

Allgemeine Richtlinien zur Compliance

Control 7.8 schreibt neun spezifische Anforderungen vor, die für die Einhaltung berücksichtigt werden sollten:

Die Ausrüstung sollte in sicheren Bereichen aufgestellt werden, damit Unbefugte keinen Zugriff auf die Ausrüstung erhalten.
Werkzeuge, die zur Verarbeitung sensibler Informationen verwendet werden, wie Computer, Monitore und Drucker, sollten so aufgestellt werden, dass Unbefugte nicht darauf zugreifen können Personen können die auf Bildschirmen angezeigten Informationen ohne Erlaubnis nicht sehen.
Es sollten geeignete Maßnahmen ergriffen werden, um Risiken zu beseitigen und/oder zu mindern, die sich aus physischen und umweltbedingten Bedrohungen wie Sprengstoffen, Kommunikationsstörungen, Feuer, Staub und elektromagnetischer Strahlung ergeben.
Beispielsweise kann ein Blitzableiter ein wirksamer Schutz gegen Blitzeinschläge sein.
Es sollten Richtlinien zum Essen und Trinken in der Nähe von Geräten erstellt und allen relevanten Parteien mitgeteilt werden.
Umgebungsbedingungen, die die Informationsverarbeitungsvorgänge stören können, sollten kontinuierlich überwacht werden. Dazu können Temperatur- und Luftfeuchtigkeitswerte gehören.
In allen Gebäuden und Büros sollten Blitzschutzmechanismen implementiert werden. Darüber hinaus sollten Blitzschutzfilter in alle eingehenden Stromleitungen, einschließlich Kommunikationsleitungen, eingebaut werden.
Wenn sich Geräte in einer industriellen Umgebung befinden, sollten bei Bedarf spezielle Schutzvorrichtungen wie Tastaturfolien verwendet werden.
Elektromagnetische Ausstrahlung kann zum Verlust vertraulicher Informationen führen. Daher sind Gerätegehäuse empfindlich bzw. kritisch Informationsbestände sollten gesichert werden, um einem solchen Risiko vorzubeugen.
IT-Geräte, die einer Organisation gehören und von ihr kontrolliert werden, sollten klar von denen getrennt werden, die nicht Eigentum der Organisation sind und von ihr kontrolliert werden.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Beratung buchen

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/7.8 replaces 27002:2013/(11.2.1)

Obwohl sich die Versionen 2022 und 2013 weitgehend ähneln, gibt es einen wesentlichen Unterschied, der hervorgehoben werden muss:

Im Gegensatz zur Version 2013 führt Control 7.8 in der Version 2022 die folgende Anforderung ein:

IT-Geräte, die einer Organisation gehören und von ihr kontrolliert werden, sollten klar von denen getrennt werden, die nicht Eigentum der Organisation sind und von ihr kontrolliert werden.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Schirmungsmaß
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres ISMS einzubeziehen, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Einige der Schlüssel Vorteile der Nutzung von ISMS.online umfasst:

Du kannst deine bauen ISO 27001-konformes ISMS innerhalb der Plattform.
Benutzer können Aufgaben erledigen und Nachweise einreichen, um die Einhaltung des Standards nachzuweisen.
Es ist einfach, Verantwortlichkeiten zu delegieren und den Fortschritt in Richtung Compliance zu überwachen.
Das umfangreiche Risikobewertung toolset spart während des gesamten Prozesses Zeit und Aufwand.
Wir haben eine engagierte Ein Team von Beratern steht Ihnen zur Seite begleitet Sie auf Ihrem Weg zur Compliance.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.