ISO 27002:2022, Kiểm soát 7.9 – Bảo vệ tài sản ngoài cơ sở

Khi các thiết bị chứa thông tin được mang ra khỏi cơ sở của tổ chức, chúng sẽ có nguy cơ cao bị hư hỏng, mất mát, phá hủy, trộm cắp hoặc xâm phạm.

Nguyên nhân là do các biện pháp kiểm soát an ninh vật lý được triển khai trong cơ sở của tổ chức sẽ không hiệu quả, khiến các tài sản được đưa ra khỏi cơ sở dễ bị đe dọa bởi các rủi ro vật lý và sự truy cập trái phép của các bên có ý đồ xấu.

Ví dụ, nhân viên làm việc ngoài công ty có thể mang máy tính của công ty chứa thông tin nhạy cảm ra khỏi cơ sở kinh doanh, làm việc tại quán cà phê hoặc sảnh khách sạn, kết nối với Wi-Fi công cộng không an toàn và để thiết bị của họ không được giám sát. Tất cả những điều này đều gây ra rủi ro cho tính bảo mật , tính bí mật, tính toàn vẹn và tính khả dụng của thông tin được lưu trữ trên các thiết bị này.

Do đó, các tổ chức nên đảm bảo các thiết bị mang ra khỏi nơi làm việc được giữ an toàn.

Kiểm soát 7.9 đề cập đến cách các tổ chức có thể duy trì tính bảo mật của các thiết bị ngoài trang web lưu trữ tài sản thông tin bằng cách thiết lập và triển khai các biện pháp kiểm soát và quy trình phù hợp.

Mục đích của Kiểm soát 7.9

Kiểm soát 7.9 cho phép các tổ chức duy trì tính bảo mật của thiết bị chứa tài sản thông tin bằng cách ngăn ngừa hai rủi ro cụ thể:

• Loại bỏ và/hoặc giảm thiểu rủi ro mất mát, hư hỏng, phá hủy hoặc xâm phạm các thiết bị lưu trữ tài sản thông tin khi chúng được mang ra khỏi cơ sở.
• Ngăn ngừa nguy cơ gián đoạn hoạt động xử lý thông tin của tổ chức do các thiết bị bên ngoài bị xâm phạm.

Bảng Thuộc tính

Kiểm soát 7.9 mang tính phòng ngừa. Nó cho phép các tổ chức thực hiện các biện pháp kiểm soát và quy trình phù hợp trước để các thiết bị được di dời khỏi cơ sở của tổ chức được bảo vệ ở mức độ tương tự như các thiết bị được đặt tại chỗ.

Quyền sở hữu kiểm soát 7.9

Kiểm soát 7.9 yêu cầu các tổ chức thiết lập và áp dụng các quy trình và biện pháp kiểm soát bao gồm tất cả các thiết bị do tổ chức sở hữu hoặc sử dụng thay mặt cho tổ chức. Hơn nữa, việc tạo ra một bản kiểm kê tài sản và sự chấp thuận của ban quản lý cấp cao về việc sử dụng các thiết bị cá nhân là điều cần thiết để bảo vệ hiệu quả các thiết bị ngoài cơ sở.

Do đó, người quản lý an ninh thông tin nên tham khảo ý kiến ​​của ban quản lý và chủ sở hữu tài sản có liên quan và phải chịu trách nhiệm xây dựng, triển khai và duy trì các quy trình và biện pháp để duy trì tính bảo mật của các thiết bị được mang ra khỏi cơ sở công ty.

Hướng dẫn chung về tuân thủ

Tiêu chuẩn 7.9 liệt kê sáu yêu cầu mà các tổ chức phải tuân thủ khi thiết kế và triển khai các biện pháp và hướng dẫn để bảo vệ tài sản được đưa ra khỏi địa điểm:

1. Các thiết bị máy tính và phương tiện lưu trữ mang ra khỏi công ty như máy tính của công ty, USB, ổ cứng và màn hình không nên để ở nơi công cộng như quán cà phê hoặc bất kỳ khu vực nào không an toàn.
2. Luôn phải tuân thủ hướng dẫn và thông số kỹ thuật của nhà sản xuất thiết bị về bảo vệ vật lý cho thiết bị có liên quan. Ví dụ, hướng dẫn của nhà sản xuất thiết bị có thể bao gồm cách bảo vệ thiết bị/thiết bị khỏi nước, nhiệt, trường điện từ và bụi.
3. Nhân viên và/hoặc các tổ chức khác mang thiết bị máy tính ra khỏi khuôn viên công ty có thể chuyển thiết bị này cho nhân viên khác hoặc bên thứ ba. Để duy trì tính bảo mật của thiết bị này, các tổ chức nên lưu giữ nhật ký xác định chuỗi lưu ký. Bản ghi nhật ký này ít nhất phải chứa tên của những cá nhân chịu trách nhiệm về thiết bị và tổ chức của họ .
4. Nếu một tổ chức cho rằng quy trình cấp phép là cần thiết và thực tế để di dời thiết bị ra khỏi cơ sở của công ty, tổ chức đó phải thiết lập và áp dụng quy trình cấp phép để di dời một số thiết bị ra khỏi cơ sở. Quy trình cấp phép này cũng phải bao gồm việc lưu giữ hồ sơ về tất cả các hành động di dời thiết bị để tổ chức có thể theo dõi kiểm toán .
5. Cần thực hiện các biện pháp thích hợp để loại bỏ nguy cơ xem thông tin trái phép trên màn hình phương tiện giao thông công cộng.
6. Cần phải có các công cụ theo dõi vị trí và truy cập từ xa để có thể theo dõi thiết bị và xóa thông tin chứa trong thiết bị từ xa nếu cần.

Hướng dẫn bổ sung về Kiểm soát 7.9

Tiêu chuẩn 7.9 cũng quy định các yêu cầu về bảo vệ thiết bị được lắp đặt cố định bên ngoài khuôn viên công ty.

Thiết bị này có thể bao gồm ăng-ten và máy ATM.

Do thiết bị này có thể phải chịu rủi ro hư hỏng và mất mát cao hơn, Kiểm soát 7.9 yêu cầu các tổ chức phải lưu ý những điều sau đây khi bảo vệ thiết bị ngoài cơ sở này:

1. Cần xem xét biện pháp kiểm soát 7.4, cụ thể là giám sát an ninh vật lý.
2. Kiểm soát 7.5, cụ thể là bảo vệ chống lại các mối đe dọa về môi trường và vật lý cần được tính đến
3. Cần thiết lập các biện pháp kiểm soát ra vào và thực hiện các biện pháp thích hợp để ngăn ngừa sự can thiệp.
4. Cần phải tạo và áp dụng các biện pháp kiểm soát truy cập hợp lý.

Hơn nữa, Kiểm soát 7.9 khuyến nghị các tổ chức cân nhắc kiểm soát 6.7 và 8.1 khi xác định và triển khai các biện pháp bảo vệ thiết bị và dụng cụ.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/ 7.9 thay thế 27002:2013/(11.2.6)

Có ba điểm khác biệt chính cần được nêu bật:

• Kiểm soát 7.9 quy định các yêu cầu toàn diện hơn

So với phiên bản 2013, Control 7.9 trong phiên bản 2022 đưa ra hai yêu cầu sau:

1. Cần thực hiện các biện pháp thích hợp để loại bỏ nguy cơ xem thông tin trái phép trên màn hình phương tiện giao thông công cộng.
2. Cần phải có các công cụ theo dõi vị trí và truy cập từ xa để có thể theo dõi thiết bị và xóa thông tin chứa trong thiết bị từ xa nếu cần.

• Kiểm soát 7.9 đưa ra các yêu cầu mới cho các thiết bị lắp đặt cố định ngoài cơ sở

Ngược lại với phiên bản năm 2013, Kiểm soát 7.9 trong phiên bản năm 2022 có hướng dẫn riêng về việc bảo vệ thiết bị được lắp đặt cố định ở nơi khác.

Chúng có thể bao gồm ăng-ten và máy ATM.

• Cấm làm việc từ xa để loại bỏ rủi ro

Phiên bản năm 2013 nêu rõ rằng các tổ chức có thể cấm nhân viên làm việc từ xa khi phù hợp với mức độ rủi ro được xác định. Tuy nhiên, phiên bản năm 2022 không đề cập đến biện pháp như vậy.