- Bekijk ISO 27002:2022 Controle 5.11 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 8.1.4 voor meer informatie.
Veilige en conforme activa-retour met ISO 27001 Control 5.11
ISO 27001:2022 Controle 5.11 van bijlage A bepaalt dat personeel en andere geïnteresseerde partijen alle activa die eigendom zijn van de organisatie moeten teruggeven bij verandering van dienstverband, contract of overeenkomst.
Bij beëindiging van het dienstverband, contract of overeenkomst wordt van medewerkers en externe gebruikers verwacht dat zij alle informatie en organisatiemiddelen teruggeven.
Werknemers, aannemers en anderen moeten verplicht worden alle activa te vervangen. Deze verplichting zou worden opgenomen in de relevante overeenkomsten met personeel, aannemers en anderen.
Een solide, gedocumenteerd proces moet de teruggave van activa beheren. Dit proces kan worden gedocumenteerd voor elke persoon of leverancier die het doorloopt. Bijlage A.6.5 voor de beveiliging van personeel, bijlage 6.6 voor vertrouwelijkheidsovereenkomsten en bijlage A.5.20 voor leveranciersactiviteiten stemmen dit af met exitcontroles.
Organisaties moeten schriftelijk beleid hebben waarin wordt gedefinieerd welke activa bij beëindiging moeten worden geretourneerd, en personeel moet de ontvangst bevestigen en zorgen voor inventarisatie en boekhouding van activa.
Wat is het doel van bijlage A 5.11?
De volgende zijn voorbeelden van informatiemiddelen voor een organisatie:
- Fysieke documenten.
- Digitale bestanden en databases.
- Software.
- Zelfs immateriële zaken zoals bedrijfsgeheimen en intellectueel eigendom.
De informatiemiddelen van een bedrijf kunnen op veel manieren waardevol zijn. Dit omvat ook het bevatten van gevoelige informatie over haar klanten, werknemers of andere belanghebbenden die slechte actoren kunnen misbruiken voor financieel gewin of identiteitsdiefstal. Naast financiële, onderzoeks- en operationele informatie kunnen ze uw concurrenten een concurrentievoordeel bieden als ze hier toegang toe kunnen krijgen.
Om deze reden moeten alle bezittingen en bezittingen van werknemers en opdrachtnemers die hun dienstverband bij een organisatie beëindigen, worden teruggegeven.
Als onderdeel van het exitproces moeten activa worden geretourneerd volgens het proces, tenzij anders overeengekomen en gedocumenteerd:
- In bijlage A.5 zijn de stappen beschreven die moeten worden genomen als de niet-teruggave wordt geregistreerd als een beveiligingsincident.
- Om voortdurende bescherming te garanderen, periodieke asset-audits zijn ook nodig om ervoor te zorgen dat de procedure voor teruggave van activa onfeilbaar is.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wijziging van de arbeidsstatus volgens ISO 27001:2022 Bijlage a 5.11
Als onderdeel van het wijzigen of beëindigen van dienstverbanden, contracten of overeenkomsten beschermt controle 5.11 de activa van de organisatie. Het is ongeautoriseerde personen verboden bedrijfsmiddelen van de organisatie (waaronder apparatuur, informatie, software, enz.) onder deze controle van Bijlage A achter te houden.
U moet ervoor zorgen dat uw werknemers en contractanten geen gevoelige gegevens verzamelen door potentiële bedreigingen te identificeren en de activiteit van de gebruiker te monitoren voordat deze vertrekt.
Wanneer een persoon wordt ontslagen, verhindert deze bijlage A-controle dat hij of zij toegang krijgt tot IT-systemen en netwerken. Organisaties moeten een formeel beëindigingsproces instellen, zodat individuen geen toegang meer hebben tot IT-systemen. U kunt dit bereiken door alle machtigingen in te trekken, accounts uit te schakelen en de toegang tot gebouwen te verwijderen.
Het is noodzakelijk om procedures vast te stellen om ervoor te zorgen dat alle werknemers, aannemers en andere relevante partijen alle activa teruggeven die niet langer nodig zijn voor zakelijke doeleinden. Deze activa moeten zo snel mogelijk worden vervangen.
Organisaties moeten ook de werkruimte van het individu controleren om er zeker van te zijn dat alle gevoelige informatie is teruggestuurd.
Denk bijvoorbeeld aan:
- Bij scheiding wordt de apparatuur van de organisatie (laptops en verwijderbare media) ingezameld.
- Na voltooiing van het contract zijn aannemers verplicht alle apparatuur en informatie terug te geven.
Een exitproces opbouwen en wat u moet doen
Een organisatie moet haar wijzigings- of beëindigingsproces formaliseren, inclusief het retourneren van alle eerder uitgegeven fysieke en elektronische activa die haar eigendom zijn of die haar zijn toevertrouwd.
Eventuele toegangsrechten, accounts, digitale certificaten en wachtwoorden moeten ook worden verwijderd als onderdeel van het proces. Deze formalisering is vooral van cruciaal belang wanneer er onverwacht een verandering of beëindiging plaatsvindt, zoals overlijden of ontslag. Ongeautoriseerde toegang tot organisatiemiddelen kan leiden tot een datalek als dit niet wordt voorkomen.
Een veilig verwijderings-/teruggaveproces moet ervoor zorgen dat alle activa worden verantwoord.
ISO 27001:2022 vereist dat de organisatie alle informatie en bijbehorende bedrijfsmiddelen die moeten worden geretourneerd, identificeert en documenteert, waaronder:
- Eindpuntapparaten van gebruikers.
- Draagbare opslagapparaten.
- Specialistische apparatuur.
- Authenticatiehardware (bijvoorbeeld mechanische sleutels, fysieke tokens en smartcards) voor informatiesystemen, sites en fysieke archieven.
- Fysieke kopieën van informatie.
Na beëindiging moet de gebruiker een formele checklist invullen met alle items die moeten worden geretourneerd of verwijderd. Deze checklist moet alle vereiste handtekeningen bevatten om te bevestigen dat de activa op de juiste manier zijn teruggegeven of verwijderd.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?
ISO 27001:2013 is in oktober 2022 bijgewerkt volgens ISO 27001:2022.
Bijlage A Controle 5.11 is niet nieuw, maar een wijziging van Bijlage A controle 8.1.4 – de teruggave van bezittingen.
In de implementatierichtlijnen zijn de controles in bijlage A in wezen hetzelfde, met een vergelijkbare taal en formulering. Echter, Bijlage A van ISO 27001:2022 control 5.11 heeft een attributentabel waarmee gebruikers deze kunnen matchen met wat ze implementeren. Controle 5.11 in ISO 27001:2022 specificeert welke activa kunnen worden geretourneerd bij einde dienstverband of contractbeëindiging.
Voorbeelden hiervan zijn:
- Eindpuntapparaten van gebruikers.
- Draagbare opslagapparaten.
- Specialistische apparatuur.
- Authenticatiehardware (bijvoorbeeld mechanische sleutels, fysieke tokens en smartcards) voor informatiesystemen, sites en fysieke archieven.
- Fysieke kopieën van informatie.
In de ISO 27001:2013-versie is deze lijst niet beschikbaar.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Welke invloed hebben deze veranderingen op u?
ISO 27001:2022 is een update van de norm uit 2013. De commissie die toezicht houdt op de norm heeft geen noemenswaardige wijzigingen aangebracht.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hoe ISMS.online helpt
Je kunt implementeren en beheren van een ISO 27001/27001 informatiebeveiligingsbeheersysteem met ISMS.online, ongeacht uw ervaring met de standaard.
De perfecte combinatie van kennis en technologie voor vroeg ISO 27001-succes. ISMS.online bevat een beleid en tool voor vermogensbeheer.
Met ons systeem wordt u stap voor stap begeleid bij het opzetten en beheren van een ISMS:
- ISMS.online biedt een stapsgewijze handleiding voor het implementeren van ISO 27001/27002 in elke organisatie.
- Een risicobeoordelingstool die u door het risico-identificatie- en -beoordelingsproces leidt.
- Wij bieden een beleidspakket die u online aan uw wensen kunt aanpassen.
- Het beheren van documenten en records als onderdeel van uw ISMS is eenvoudiger met een documentcontrolesysteem.
- Betere besluitvorming door automatische rapportage.
- Met ons cloudgebaseerde platform kunt u het bewijs van naleving van de regelgeving documenteren ISO 27001-framework met een checklist van uw processen.
Neem vandaag nog contact op met boek een demo.
