Khi một nhân viên rời khỏi nơi làm việc của mình mà không có người trông coi, thông tin nhạy cảm chứa trong các tài liệu kỹ thuật số và vật lý tại nơi làm việc của họ sẽ có nguy cơ cao bị truy cập trái phép, mất tính bảo mật và hư hỏng.
Ví dụ, nếu một nhân viên sử dụng công cụ quản lý quan hệ khách hàng để xử lý hồ sơ sức khỏe và để máy tính không có người trông coi trong giờ nghỉ trưa, những kẻ xấu có thể lợi dụng cơ hội này để đánh cắp và sử dụng sai dữ liệu sức khỏe nhạy cảm.
Tiêu chuẩn Kiểm soát 7.7 đề cập đến cách các tổ chức có thể thiết kế và thực thi các quy tắc về bàn làm việc sạch và màn hình sạch để bảo vệ và duy trì tính bảo mật của thông tin nhạy cảm trên màn hình kỹ thuật số và trên giấy tờ.
Mục đích kiểm soát 7.7
Kiểm soát 7.7 cho phép các tổ chức loại bỏ và/hoặc giảm thiểu rủi ro truy cập , sử dụng, làm hỏng hoặc mất thông tin nhạy cảm trên màn hình và trên giấy tờ tại nơi làm việc của nhân viên khi nhân viên không có mặt.
Bảng Thuộc tính
Kiểm soát 7.7 là loại kiểm soát mang tính phòng ngừa, yêu cầu các tổ chức phải duy trì tính bảo mật của tài sản thông tin bằng cách mô tả và thực thi các quy tắc về màn hình sạch và bàn làm việc sạch.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật | #Bảo vệ | #An ninh vật lý | #Sự bảo vệ |
Quyền sở hữu kiểm soát 7.7
Xem xét rằng Kiểm soát 7.7 yêu cầu các tổ chức phải áp dụng và triển khai chính sách màn hình sạch và bàn làm việc sạch trên toàn tổ chức, các nhân viên an ninh thông tin phải chịu trách nhiệm xây dựng, duy trì và thực thi các quy tắc màn hình sạch và bàn làm việc sạch áp dụng trên toàn bộ tổ chức.
Hướng dẫn chung về tuân thủ
Tiêu chuẩn Kiểm soát 7.7 nhấn mạnh rằng các tổ chức nên tạo và thực thi chính sách theo chủ đề cụ thể, trong đó nêu rõ các quy tắc về bàn làm việc sạch sẽ và màn hình sạch sẽ.
Hơn nữa, Kiểm soát 7.7 liệt kê bảy yêu cầu cụ thể mà các tổ chức cần lưu ý khi thiết lập và thực thi các quy tắc về bàn làm việc sạch và màn hình sạch:
- Các tài sản thông tin nhạy cảm hoặc quan trọng được lưu trữ trên các mục kỹ thuật số hoặc vật lý phải được khóa an toàn khi chúng không được sử dụng hoặc khi máy trạm lưu trữ các tài liệu đó bị bỏ trống. Ví dụ, các mục như hồ sơ giấy, máy tính và máy in phải được lưu trữ trong đồ nội thất an toàn như tủ hoặc ngăn kéo có khóa hoặc được bảo vệ bằng mật khẩu.
- Các thiết bị mà nhân viên sử dụng như máy tính, máy quét, máy in và máy tính xách tay phải được bảo vệ thông qua các cơ chế bảo mật như khóa chìa khi không sử dụng hoặc khi không có người trông coi.
- Khi nhân viên rời khỏi không gian làm việc và để thiết bị của họ không có người trông coi, họ nên để thiết bị của mình ở chế độ đăng xuất và việc kích hoạt lại thiết bị chỉ nên thông qua cơ chế xác thực người dùng. Ngoài ra, các tính năng tự động hết thời gian và đăng xuất nên được cài đặt trên tất cả các thiết bị đầu cuối của nhân viên như máy tính.
- Máy in phải được thiết kế theo cách mà bản in được thu thập ngay lập tức bởi người (người khởi tạo) đã in tài liệu. Hơn nữa, phải có cơ chế xác thực mạnh mẽ để chỉ người khởi tạo mới được phép thu thập bản in.
- Vật liệu vật lý và phương tiện lưu trữ di động chứa thông tin nhạy cảm phải luôn được bảo mật. Khi không còn cần thiết nữa, phải loại bỏ chúng thông qua một cơ chế an toàn.
- Các tổ chức nên tạo ra các quy tắc để hiển thị cửa sổ bật lên trên màn hình và các quy tắc này nên được truyền đạt đến tất cả nhân viên có liên quan. Ví dụ, cửa sổ bật lên trong email và tin nhắn có thể chứa thông tin nhạy cảm và nếu chúng được hiển thị trên màn hình trong khi thuyết trình hoặc ở nơi công cộng, điều này có thể làm mất tính bảo mật của thông tin nhạy cảm.
- Thông tin nhạy cảm hoặc quan trọng hiển thị trên bảng trắng nên được xóa khi không còn cần thiết nữa.
Hướng dẫn bổ sung – Kiểm soát 7.7
Kiểm soát 7.7 cảnh báo các tổ chức về các rủi ro phát sinh từ các cơ sở bỏ trống. Khi một tổ chức bỏ trống một cơ sở, các tài liệu vật lý và kỹ thuật số trước đây được lưu trữ trong cơ sở đó phải được xóa một cách an toàn để thông tin nhạy cảm không bị mất an toàn.
Do đó, kiểm soát 7.7 yêu cầu các tổ chức thiết lập các thủ tục để giải tỏa các cơ sở để tất cả các tài sản thông tin nhạy cảm được lưu trữ trong cơ sở đó được xử lý an toàn. Các thủ tục này có thể bao gồm việc thực hiện quét cuối cùng để không có thông tin nhạy cảm nào không được bảo vệ.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022/7.7 thay thế 27002:2013/(11.2.9)
Có hai điểm khác biệt đáng kể giữa phiên bản 2022 và phiên bản 2013.
- Phiên bản 2022 không đề cập đến các tiêu chí cần xem xét khi thiết lập và triển khai các quy tắc về bàn làm việc sạch sẽ và màn hình sạch sẽ.
Ngược lại với phiên bản năm 2022, phiên bản năm 2013 nêu rõ rằng các tổ chức nên xem xét các mức phân loại thông tin trên toàn tổ chức, các yêu cầu pháp lý và hợp đồng, cũng như các loại rủi ro mà tổ chức phải đối mặt khi thiết lập chính sách bàn làm việc sạch và màn hình sạch.
Tuy nhiên, phiên bản ISO 27002:2022 không đề cập đến các yếu tố này.
- Phiên bản 2022 đưa ra các yêu cầu mới và toàn diện hơn về quy tắc bàn làm việc sạch sẽ và màn hình sạch sẽ.
Ngược lại với phiên bản năm 2013, phiên bản năm 2022 đặt ra các yêu cầu sau mà các tổ chức nên cân nhắc khi thiết lập các quy tắc về bàn làm việc sạch sẽ và màn hình sạch sẽ.
- Các tổ chức nên tạo ra các quy tắc cụ thể trên màn hình bật lên để duy trì tính bảo mật của thông tin nhạy cảm.
- Những thông tin nhạy cảm được viết trên bảng trắng phải được xóa đi khi không còn cần thiết nữa.
- Các thiết bị đầu cuối của nhân viên như máy tính phải được bảo vệ bằng khóa chìa khi không sử dụng hoặc không có người giám sát.
