- Bekijk ISO 27002:2022 Controle 5.1 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 5.1.1 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 5.1.2 voor meer informatie.
De essentie van Bijlage A 5.1: Een gids voor informatiebeveiligingsbeleid
Als onderdeel van ISO 27001:2022 specificeert bijlage A 5.1 dat organisaties een informatiebeveiliging beleidsdocument aanwezig. Dit is om zichzelf te beschermen tegen bedreigingen voor de informatiebeveiliging.
Bij het ontwikkelen van beleid moet rekening worden gehouden met de behoeften van het bedrijfsleven, evenals met de toepasselijke wet- en regelgeving.
Een beleidsdocument voor informatiebeveiliging is in wezen een compendium van controlemechanismen uit bijlage A, dat de belangrijkste uitspraken van de organisatie over beveiliging versterkt en deze beschikbaar maakt voor belanghebbenden.
In de 2022-versie van de standaard zou beleid ook moeten worden opgenomen in het onderwijs-, trainings- en bewustmakingsprogramma, zoals beschreven in People Controls A.6.3.
Het organisatiebeleid specificeert de principes waaraan leden en belangrijke partijen zoals leveranciers zich moeten houden. Dit beleid moet regelmatig worden herzien en indien nodig worden bijgewerkt.
Wat is informatiebeveiligingsbeleid?
An informatiebeveiligingsbeleid heeft tot doel medewerkers, management en externe partijen (bijvoorbeeld klanten en leveranciers) een raamwerk te bieden voor het beheren van elektronische informatie, inclusief computernetwerken.
Er moet een beveiligingsbeleid worden gedefinieerd, goedgekeurd door het management, gepubliceerd en gecommuniceerd naar medewerkers en relevante externe partijen.
Naast het verminderen van het risico op gegevensverlies als gevolg van interne en externe bedreigingen, informatiebeveiligingsbeleid garandeert dat alle medewerkers hun rol bij het beschermen van de gegevens van de organisatie begrijpen.
Naast het voldoen aan standaarden zoals ISO 27001 kan een informatiebeveiligingsbeleid ook de naleving van wet- en regelgeving aantonen.
Informatiebeveiligingsbedreigingen en cyberbeveiliging uitgelegd
Cyber security Tot de bedreigingen behoren bedrijfsspionnen en hacktivisten, terroristische groeperingen, vijandige natiestaten en criminele organisaties. Deze bedreigingen zijn bedoeld om onrechtmatig toegang te krijgen tot gegevens, digitale activiteiten te verstoren of informatie te beschadigen.
Bedreigingen voor cyberveiligheid en informatiebeveiliging zijn onder meer:
- Virussen, spyware en andere kwaadaardige programma's worden als malware beschouwd.
- Een e-mail die afkomstig lijkt te zijn van een betrouwbare bron, maar links en bijlagen bevat die malware op uw computer installeren.
- Virussen verhinderen dat gebruikers toegang krijgen tot hun gegevens totdat ze losgeld betalen.
- Het proces waarbij mensen worden gemanipuleerd om gevoelige informatie vrij te geven, staat bekend als social engineering.
- Phishing-e-mails die afkomstig lijken te zijn van spraakmakende personen in een organisatie staan bekend als walvisaanvallen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Hoe werkt ISO 27001:2022 bijlage A 5.1?
Het informatiebeveiligingsbeleid is ontworpen om de gevoelige informatie van uw bedrijf te beschermen tegen diefstal en ongeoorloofde toegang.
In conform ISO 27001, Bijlage controle A 5.1 geeft richting aan het doel en de implementatie van het vaststellen van een informatiebeveiligingsbeleid in een organisatie.
Een algemeen informatiebeveiligingsbeleid is vereist door bijlage A Controle 5.1 voor organisaties om hun informatiebeveiliging te beheren. Het senior management moet de richtlijnen goedkeuren, die regelmatig moeten worden herzien als zich veranderingen voordoen in de informatiebeveiligingsomgeving.
De juiste aanpak is om regelmatig bijeen te komen, minstens één keer per maand, met extra vergaderingen als dat nodig is. Naast het delen van beleid met interne en externe belanghebbenden, moet het management eventuele wijzigingen goedkeuren voordat deze worden geïmplementeerd.
Aan de slag en voldoen aan de vereisten van bijlage A 5.1
A gedetailleerde bedieningsprocedure dat beschrijft hoe het informatiebeveiligingsbeleid zal worden geïmplementeerd, moet gebaseerd zijn op en ondersteund worden door een informatiebeveiligingsbeleid.
Het beleid moet door de top worden goedgekeurd beheer en gecommuniceerd naar personeel en belanghebbenden.
Naast het geven richting geven aan de aanpak van de organisatie Voor het beheren van informatiebeveiliging kan het beleid worden gebruikt om meer gedetailleerde operationele procedures te ontwikkelen.
Zoals vereist door ISO/IEC 27000-normenis beleid essentieel voor het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging (ISMS). Een goed gedefinieerd beleid blijft van cruciaal belang, zelfs als de organisatie dat niet van plan is implementeren van ISO 27001 of enige andere formele certificering.
Het informatiebeveiligingsbeleid moet regelmatig worden herzien om de voortdurende geschiktheid, adequaatheid en effectiviteit ervan te garanderen.
Wanneer er wijzigingen worden aangebracht in het bedrijf, de risico's, de technologie, de wet- of regelgeving, of als beveiligingszwakheden, gebeurtenissen of incidenten erop wijzen dat er beleidswijzigingen nodig zijn.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?
Als onderdeel van ISO 27001 herziening 2013 voegt deze controle de controles van bijlage A 5.1.1 Beleid voor informatiebeveiliging en 5.1.2 Beoordeling van beleid voor informatiebeveiliging samen.
Bijlage A-bediening 5.1 inch ISO 27001:2022 is bijgewerkt met een beschrijving van het doel ervan en uitgebreide implementatierichtlijnen, evenals een attributentabel waarmee gebruikers bijlage A-controles kunnen afstemmen op de terminologie van de sector.
Volgens bijlage A 5.1 moet informatiebeveiligings- en onderwerpspecifiek beleid worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door het juiste personeel.
Het informatiebeveiligingsbeleid van een organisatie moet rekening houden met de omvang, het type en de gevoeligheid van de informatiemiddelen, de industriestandaarden en de toepasselijke overheidsvereisten.
Volgens clausule 5.1.2 van ISO 27001:2013 is het doel van bijlage A ervoor te zorgen dat het informatiebeveiligingsbeleid regelmatig wordt geëvalueerd als zich veranderingen in de informatiebeveiligingsomgeving voordoen.
Volgens ISO 27001: 2013 en ISO 27001: 2022 moet het topmanagement een beveiligingsbeleid ontwikkelen dat is goedgekeurd door het topmanagement en beschrijft hoe de organisatie haar gegevens gaat beschermen. Niettemin dekken beide versies van het beleid verschillende vereisten.
Vergelijkende analyse van bijlage A 5.1 Implementatierichtlijnen
Volgens ISO 27001:2013 moet het informatiebeveiligingsbeleid aan de volgende eisen voldoen:
- De bedrijfsstrategie.
- Contracten, regelgeving en wetgeving.
- Een beschrijving van de huidige en verwachte dreigingsomgeving voor informatiebeveiliging.
Het informatiebeveiligingsbeleid moet de volgende verklaringen bevatten:
- Alle activiteiten die te maken hebben met informatiebeveiliging moet leidend zijn door een definitie van informatiebeveiliging, doelstellingen en beginselen.
- Verantwoordelijkheden voor het beheer van informatiebeveiliging worden op algemene en specifieke wijze toegewezen aan gedefinieerde rollen.
- Het proces voor het omgaan met afwijkingen en uitzonderingen.
ISO 27001:2022 stelt daarentegen uitgebreidere eisen.
Als onderdeel van het informatiebeveiligingsbeleid moeten de volgende eisen in acht worden genomen:
- Strategie en vereisten van het bedrijf.
- Wet- en regelgeving en contracten.
- Informatiebeveiligingsrisico's en bedreigingen die vandaag en in de toekomst bestaan.
In het informatiebeveiligingsbeleid moeten uitspraken over het volgende worden opgenomen:
- Definitie van informatiebeveiliging.
- Een raamwerk voor het vaststellen van informatiebeveiligingsdoelstellingen.
- Informatiebeveiligingsprincipes moeten als leidraad dienen voor alle activiteiten.
- Een verbintenis om te voldoen aan alle toepasselijke eisen op het gebied van informatiebeveiliging.
- Een voortdurende inzet voor het verbeteren van de managementsysteem voor informatiebeveiliging.
- Rolgebaseerde toewijzing van verantwoordelijkheden voor informatiebeveiligingsbeheer.
- Uitzonderingen en ontheffingen worden conform deze procedures afgehandeld.
Daarnaast is ISO 27001:2022 herzien om onderwerpspecifiek beleid voor het beheer van informatiebeveiligingsincidenten, activabeheer, netwerkbeveiliging, incidentbeheer en veilige ontwikkeling als onderwerpspecifiek beleid op te nemen. Met het oog op het creëren van een meer holistisch raamwerk zijn enkele eisen uit ISO 27001:2013 verwijderd of samengevoegd.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.Online helpt
Met ISMS.online, krijgt u toegang tot een complete set tools en bronnen om u te helpen bij het beheren van uw eigen ISO 27001 Information Security Management System (ISMS), of u nu een nieuwkomer bent of al gecertificeerd bent.
Bovendien biedt ISMS.online geautomatiseerde processen om het hele beoordelingsproces te vereenvoudigen. Deze processen besparen aanzienlijk veel administratieve tijd in vergelijking met andere werkmethoden.
U krijgt een voorsprong met het ISO 27001-beleid en de controles van ISMS.online.
Intuïtieve workflows, tools, raamwerken, beleid en controles, bruikbare documentatie en begeleiding, evenals bruikbare begeleiding maken het eenvoudig om ISO 27001 te implementeren door de reikwijdte te definiëren, risico's te identificeren en controles te implementeren op basis van onze algoritmen – of deze nu helemaal opnieuw zijn gemaakt of gebaseerd op sjablonen voor best practices uit de branche.
Neem vandaag nog contact met ons op een demo plannen.
