Control 7.3 là gì?
Tiêu chuẩn 7.3 trong ISO 27002:2022 mới đề cập đến nhu cầu thiết kế và triển khai an ninh vật lý cho văn phòng, phòng và cơ sở.
Biện pháp kiểm soát này được thiết kế nhằm khuyến khích các tổ chức áp dụng các biện pháp thích hợp để ngăn chặn việc truy cập trái phép vào các phòng, văn phòng và cơ sở, đặc biệt là những nơi xử lý vấn đề bảo mật thông tin, thông qua việc sử dụng khóa, báo động, nhân viên bảo vệ hoặc các biện pháp thích hợp khác để ngăn ngừa các vấn đề về bảo mật thông tin.
Giải thích về an ninh vật lý cho văn phòng, phòng và cơ sở
Bảo mật vật lý là một yếu tố quan trọng của bảo mật thông tin. Hai yếu tố này song hành và phải được xem xét cùng nhau. Bảo mật thông tin là bảo vệ thông tin và hệ thống thông tin khỏi việc truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hủy trái phép.
An ninh vật lý là các biện pháp bảo vệ được thực hiện để bảo vệ nhân sự, cơ sở, thiết bị và tài sản khác khỏi các mối nguy hiểm tự nhiên hoặc do con người gây ra bằng cách giảm thiểu rủi ro liên quan đến trộm cắp, phá hoại, khủng bố và các hành vi tội phạm khác.
Bước đầu tiên trong bảo mật vật lý cho các địa điểm nhạy cảm về thông tin là xác định xem bạn có địa điểm đó hay không. Các địa điểm nhạy cảm về thông tin là các phòng, văn phòng và cơ sở, nơi có máy tính chứa dữ liệu nhạy cảm hoặc nơi có người có quyền truy cập vào dữ liệu nhạy cảm.
An ninh vật lý có thể bao gồm:
Khóa và chìa khóa
Khóa cửa ra vào, cửa sổ và tủ; sử dụng niêm phong an ninh trên máy tính xách tay và thiết bị di động; bảo vệ bằng mật khẩu cho máy tính; mã hóa dữ liệu nhạy cảm.
camera giám sát
Camera giám sát mạch kín là giải pháp tuyệt vời để giám sát hoạt động xung quanh khuôn viên hoặc những khu vực cụ thể của tòa nhà.
Báo động xâm nhập
Những thiết bị này có thể được kích hoạt bằng chuyển động, nhiệt hoặc âm thanh và được sử dụng để cảnh báo bạn về những kẻ xâm nhập hoặc những người không được phép vào một khu vực cụ thể (ví dụ, báo động sẽ kêu khi có người cố đột nhập vào văn phòng).
Bảng Thuộc tính
Thuộc tính cho phép bạn nhanh chóng khớp lựa chọn kiểm soát của mình với thông số kỹ thuật và thuật ngữ điển hình của ngành. Các kiểm soát sau đây có sẵn trong control 7.3.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Bảo mật mối quan hệ nhà cung cấp | #Quản trị và Hệ sinh thái #Bảo vệ |
Mục đích của Kiểm soát 7.3 là gì?
Mục đích của Kiểm soát 7.3 là ngăn chặn truy cập vật lý trái phép, gây hư hại và can thiệp vào thông tin của tổ chức và các tài sản liên quan khác trong văn phòng, phòng và cơ sở.
Mục đích chính của Kiểm soát 7.3 là giảm mức độ rủi ro về việc tiếp cận vật lý trái phép vào văn phòng, phòng và cơ sở xuống mức có thể chấp nhận được bằng cách:
- Ngăn chặn việc ra vào văn phòng, phòng và cơ sở vật chất trái phép của những người không phải là nhân viên được ủy quyền.
- Ngăn ngừa thiệt hại hoặc can thiệp vào thông tin của tổ chức và các tài sản liên quan khác bên trong văn phòng, phòng và cơ sở.
- Đảm bảo rằng mọi khu vực nhạy cảm về bảo mật thông tin đều được giữ kín để mọi người khó có thể xác định mục đích của chúng.
- Giảm thiểu nguy cơ trộm cắp hoặc mất mát tài sản trong văn phòng, phòng ốc và cơ sở.
- Đảm bảo xác định được những người được phép ra vào (có thể thực hiện bằng cách kết hợp thẻ đồng phục, hệ thống kiểm soát cửa điện tử và thẻ ra vào).
- Nếu có thể, nên sử dụng CCTV hoặc các thiết bị giám sát khác để giám sát an ninh tại các khu vực quan trọng như lối vào/ra.
Kiểm soát 7.3 áp dụng cho tất cả các tòa nhà mà tổ chức sử dụng làm văn phòng hoặc chức năng hành chính. Nó cũng áp dụng cho các phòng lưu trữ hoặc xử lý thông tin bí mật, bao gồm cả phòng họp nơi diễn ra các cuộc thảo luận nhạy cảm.
Tiêu chuẩn này không áp dụng cho khu vực lễ tân hoặc các khu vực công cộng khác trong khuôn viên của một tổ chức trừ khi chúng được sử dụng cho mục đích hành chính (ví dụ: khu vực lễ tân kiêm văn phòng).
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Kiểm soát 7.3 quy định rằng các phòng và cơ sở phải được bảo vệ. Các biện pháp bảo mật sau đây có thể được thực hiện, theo hướng dẫn kiểm soát trong ISO 27002:2022, để đảm bảo rằng các phòng và cơ sở được bảo vệ:
- Bố trí các cơ sở quan trọng để tránh người dân tiếp cận.
- Khi áp dụng, đảm bảo các tòa nhà không gây chú ý và chỉ ra mục đích sử dụng tối thiểu, không có dấu hiệu rõ ràng nào ở bên ngoài hoặc bên trong tòa nhà, xác định sự hiện diện của các hoạt động xử lý thông tin.
- Cấu hình các tiện ích để ngăn chặn thông tin hoặc hoạt động bí mật bị nhìn thấy và nghe thấy từ bên ngoài. Che chắn điện từ cũng nên được xem xét khi thích hợp.
- Không cung cấp các danh bạ, danh bạ điện thoại nội bộ và bản đồ trực tuyến có thể truy cập để xác định vị trí của các cơ sở xử lý thông tin bí mật cho bất kỳ người nào không được phép.
Bạn có thể tìm hiểu thêm thông tin về những điều cần làm để đáp ứng các yêu cầu kiểm soát trong tài liệu tiêu chuẩn ISO 27002:2022.
Những thay đổi và khác biệt so với ISO 27002:2013
Phiên bản sửa đổi năm 2022 của ISO 27002 được công bố lần đầu vào năm 2013 và được phát hành vào ngày 15 tháng 2 năm 2022.
Control 7.3 không phải là một control mới. Nó đề cập đến phiên bản đã sửa đổi của control 11.1.3 trong ISO 27002. Một sự khác biệt lớn giữa phiên bản 2013 và 2022 là sự thay đổi về số control. Số control 11.1.3 đã được thay thế bằng 7.3. Ngoài ra, ngữ cảnh và ý nghĩa phần lớn là giống nhau, mặc dù cách diễn đạt thì khác nhau.
Một điểm khác biệt nữa giữa cả hai điều khiển là phiên bản 2022 đi kèm với bảng thuộc tính và tuyên bố mục đích. Các phần này không có trong phiên bản 2013.
Ai là người chịu trách nhiệm cho quá trình này?
Người đầu tiên cần cân nhắc khi nói đến việc bảo vệ văn phòng, phòng và cơ sở là cá nhân có quyền kiểm soát nhiều nhất đối với tòa nhà vật lý và nội dung của nó. Người này thường là người quản lý hoặc giám đốc cơ sở.
Sau đó là quản lý an ninh. Quản lý an ninh chịu trách nhiệm đảm bảo rằng tất cả các khu vực đều an toàn, bao gồm không gian văn phòng và các cơ sở. Quản lý an ninh cũng chịu trách nhiệm theo dõi tất cả nhân viên có quyền truy cập vào các khu vực này và đảm bảo họ sử dụng quyền truy cập của mình một cách phù hợp.
Tuy nhiên, trong một số trường hợp, nhiều người cùng chia sẻ trách nhiệm bảo mật. Ví dụ, khi một cá nhân có quyền truy cập vào thông tin nhạy cảm có thể được sử dụng chống lại lợi ích của công ty bạn hoặc cuộc sống cá nhân của các nhân viên khác, điều quan trọng là phải có nhiều người tham gia bảo vệ họ.
Phòng nhân sự có thể xử lý các chính sách bảo hiểm và phúc lợi của nhân viên trong khi phòng CNTT xử lý hệ thống máy tính và mạng; cả hai phòng đều có thể tham gia quản lý các vấn đề về an toàn vật lý cũng như an ninh mạng như lừa đảo qua email và các nỗ lực truy cập trái phép.
Những thay đổi này có ý nghĩa gì đối với bạn?
Không cần thay đổi lớn nào để tuân thủ phiên bản mới nhất của ISO 27002.
Tuy nhiên, bạn nên đánh giá giải pháp bảo mật thông tin hiện tại của mình để đảm bảo rằng nó tuân thủ tiêu chuẩn đã sửa đổi. Nếu bạn đã thực hiện bất kỳ sửa đổi nào kể từ khi phiên bản cuối cùng được phát hành vào năm 2013, bạn nên xem lại những điều chỉnh đó để xác định xem chúng có còn phù hợp hay cần được cập nhật hay không.
