- Bekijk ISO 27002:2022 Controle 5.15 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 9.1.1 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 9.1.2 voor meer informatie.
ISO 27001:2022 Bijlage A 5.15 – Een uitgebreide gids voor toegangscontrolebeleid
Bijlage A 5.15 van ISO 27001:2022; Jouw stap-voor-stap handleiding om dit te begrijpen en er aan te voldoen.
Bijlage A 5.15 heeft betrekking op toegangscontroleprocedures. Het doel van bijlage A.9 is het waarborgen van de toegang tot informatie en ervoor te zorgen dat medewerkers alleen toegang hebben tot de informatie die zij nodig hebben voor de uitoefening van hun functie.
Het is een van de essentiële elementen van een informatiebeveiligingsbeheersysteem (ISMS), vooral als u van plan bent de ISO 27001-certificering te behalen.
Het goed krijgen van dit onderdeel is een cruciaal onderdeel van ISO 27001 certificering en een waarbij veel bedrijven hulp nodig hebben. Laten we, om deze vereisten beter te begrijpen, eens nader bekijken wat ze inhouden.
Toegangscontrolebeleid
Om de toegang tot activa binnen de reikwijdte van een organisatie te beheren, moet een toegangscontrolebeleid worden ontwikkeld, gedocumenteerd en periodiek herzien.
Toegangscontrole regelt hoe menselijke en niet-menselijke entiteiten op een netwerk toegang krijgen tot gegevens, IT-bronnen en applicaties.
Informatiebeveiligingsrisico's die verband houden met de informatie en de bereidheid van de organisatie om deze te beheren moeten worden weerspiegeld in de regels, rechten en beperkingen en de diepte van de gebruikte controles. Het is eenvoudigweg een kwestie van beslissen wie toegang heeft tot wat, hoeveel, en wie niet.
Het is mogelijk om digitale en fysieke toegangscontroles in te stellen, zoals het beperken van gebruikersaccountrechten of het beperken van de toegang tot specifieke fysieke locaties (in lijn met bijlage A.7 Fysieke en omgevingsbeveiliging). Het beleid moet rekening houden met de volgende overwegingen:
- Het is essentieel om de beveiligingsvereisten van bedrijfsapplicaties in lijn te brengen met het informatieclassificatieschema dat wordt gebruikt volgens bijlage A 5.9, 5.10, 5.11, 5.12, 5.13 en 7.10 met betrekking tot Asset Management.
- Identificeer wie toegang tot, kennis van en gebruik van informatie nodig heeft – vergezeld van duidelijk gedefinieerde procedures en verantwoordelijkheden.
- Zorg ervoor dat toegangsrechten en privileges toegangsrechten (meer macht – zie hieronder) worden effectief beheerd, inclusief de toevoeging van veranderingen in het leven (bijv. controles voor supergebruikers/beheerders) en periodieke beoordelingen (bijv. periodieke interne audits per vereiste bijlage A 5.15, 5.16, 5.17, 5.18 & 8.2).
- Een formele procedure en gedefinieerde verantwoordelijkheden moeten de regels voor toegangscontrole ondersteunen.
Het is van cruciaal belang om de toegangscontrole te herzien als de rollen veranderen, vooral tijdens het verlaten, om te voldoen aan bijlage A.7 Human Resource Security.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Netwerken en netwerkdiensten zijn beschikbaar voor gebruikers
Een algemene benadering van bescherming is die van de minste toegang in plaats van onbeperkte toegang en superuser-rechten zonder zorgvuldige overweging.
Bijgevolg mogen gebruikers alleen toegang krijgen tot netwerken en netwerkdiensten die nodig zijn om hun verantwoordelijkheden te vervullen. Het beleid moet gericht zijn op; De netwerken en netwerkdiensten die toegang bieden; Autorisatieprocedures om aan te geven wie (rolgebaseerd) toegang krijgt tot wat en wanneer; en Beheercontroles en -procedures om toegang te voorkomen en te monitoren in geval van een incident.
Bij on-boarding en off-boarding moet ook rekening worden gehouden met deze kwestie, die nauw verband houdt met het toegangscontrolebeleid.
Doel van ISO 27001:2022 Bijlage A 5.15
Als preventieve controle verbetert bijlage A 5.15 het onderliggende vermogen van een organisatie om de toegang tot gegevens en middelen te controleren.
Een betonnen set commerciële en informatiebeveiliging Aan de behoeften moet worden voldaan voordat toegang tot hulpbronnen kan worden verleend en gewijzigd onder Bijlage A Controle 5.15.
ISO 27001 Annex A 5.15 biedt richtlijnen voor het faciliteren van veilige toegang tot gegevens en het minimaliseren van het risico van ongeautoriseerde toegang tot fysieke en virtuele netwerken.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Eigendom van bijlage A 5.15
Zoals blijkt uit bijlage A 5.15 is het managementpersoneel in verschillende delen van een De organisatie moet een grondig inzicht behouden tot welke bronnen toegang moet worden verkregen (bijvoorbeeld naast het feit dat HR werknemers informeert over hun functierollen, die hun RBAC-parameters dicteren, zijn toegangsrechten uiteindelijk een onderhoudsfunctie die wordt beheerd door netwerkbeheerders.
Het eigendom van een organisatie moet berusten bij een lid van het senior management dat de overkoepelende technische autoriteit heeft over de domeinen, subdomeinen, applicaties, bronnen en activa van het bedrijf. Dit zou het hoofd IT kunnen zijn.
Algemene richtlijn voor ISO 27001:2022 bijlage 5.15
Voor naleving van ISO 27001:2022 Annex A Controle 5.15 is een onderwerpspecifieke aanpak van toegangscontrole vereist (beter bekend als een probleemspecifieke aanpak).
In plaats van zich te houden aan een algemeen toegangscontrolebeleid dat van toepassing is op de toegang tot bronnen en gegevens in de hele organisatie, moedigen onderwerpspecifieke benaderingen organisaties aan om toegangscontrolebeleid te creëren dat gericht is op individuele bedrijfsfuncties.
Voor alle onderwerpspecifieke gebieden vereist Bijlage A Controle 5.15 dat beleid met betrekking tot toegangscontrole rekening houdt met de 11 onderstaande punten. Sommige van deze richtlijnen overlappen met ander beleid.
Als richtlijn dienen organisaties de begeleidende controles te raadplegen voor meer informatie per geval:
- Identificeer welke entiteiten toegang nodig hebben tot bepaalde activa en informatie.
- Het bijhouden van de functierollen en vereisten voor gegevenstoegang in overeenstemming met de organisatiestructuur van uw organisatie is de gemakkelijkste manier om naleving te garanderen.
- Beveiliging en integriteit van alle relevante applicaties (gekoppeld aan Controle 8.2).
- Er zou een formele risicobeoordeling kunnen worden uitgevoerd om de beveiligingskenmerken van individuele applicaties te beoordelen.
- De controle van fysieke toegang tot een site (links met controles 7.2, 7.3 en 7.4).
- Als onderdeel van uw nalevingsprogramma moet uw organisatie beschikken over een robuuste reeks toegangscontroles voor gebouwen en ruimtes, inclusief beheerde toegangssystemen, beveiligingsperimeters en bezoekersprocedures, indien van toepassing.
- Als het gaat om de distributie, beveiliging en categorisering van informatie, moet het ‘need to know’-principe in de hele organisatie worden toegepast (gekoppeld aan 5.10, 5.12 en 5.13).
- Bedrijven moeten zich houden aan een strikt best-practicebeleid dat geen algemene toegang biedt tot gegevens binnen de hiërarchie van een organisatie.
- Zorg ervoor dat bevoorrechte toegangsrechten beperkt zijn (gerelateerd aan 8.2).
- De toegangsrechten van gebruikers die toegang krijgen tot gegevens die verder gaan dan die van een standaardgebruiker, moeten worden gecontroleerd en gecontroleerd.
- Zorg ervoor dat de geldende wetgeving, sectorspecifieke regelgevingsrichtlijnen of contractuele verplichtingen met betrekking tot gegevenstoegang worden nageleefd (zie 5.31, 5.32, 5.33, 5.34 en 8.3).
- Het toegangscontrolebeleid van een organisatie wordt aangepast aan externe verplichtingen met betrekking tot gegevenstoegang, activa en bronnen.
- Houd potentiële belangenconflicten in de gaten.
- Het beleid moet controles omvatten om te voorkomen dat een individu een bredere toegangscontrolefunctie in gevaar brengt op basis van zijn toegangsniveaus (dwz een werknemer die wijzigingen aan een netwerk kan aanvragen, autoriseren en implementeren).
- Een toegangscontrolebeleid moet de drie belangrijkste functies – verzoeken, autorisaties en beheer – onafhankelijk aanpakken.
- Een beleid voor toegangscontrole moet erkennen dat het, ondanks zijn op zichzelf staande karakter, uit verschillende afzonderlijke stappen bestaat, die elk hun eigen vereisten bevatten.
- Om naleving van de vereisten van 5.16 en 5.18 te garanderen, moeten verzoeken om toegang op een gestructureerde, formele manier worden uitgevoerd.
- Organisaties moeten formele autorisatieprocessen implementeren die formele, gedocumenteerde goedkeuring van het juiste personeel vereisen.
- Toegangsrechten voortdurend beheren (gekoppeld aan 5.18).
- Om de data-integriteit en veiligheidsperimeters te behouden, zijn periodieke audits, HR-toezicht (verlaters, enz.) en functiespecifieke veranderingen (bijvoorbeeld afdelingsverhuizingen en veranderingen in rollen) vereist.
- Het bijhouden van adequate logbestanden en het controleren van de toegang daartoe. Naleving – Organisaties moeten gegevens verzamelen en opslaan over toegangsgebeurtenissen (bijv. bestandsactiviteit), bescherming bieden tegen ongeoorloofde toegang tot logboeken van beveiligingsgebeurtenissen, en een uitgebreid incidentbeheer strategie.
Aanvullend richtsnoer bij bijlage 5.15
Volgens de aanvullende richtlijnen noemt ISO 27001:2022 Annex A Controle 5.15 (zonder zich te beperken tot) vier verschillende soorten toegangscontrole, die grofweg als volgt kunnen worden geclassificeerd:
- Verplichte toegangscontrole (MAC) – De toegang wordt centraal beheerd door één enkele beveiligingsautoriteit.
- Een alternatief voor MAC is discretionaire toegangscontrole (DAC), waarbij de eigenaar van het object anderen rechten binnen het object kan verlenen.
- Een toegangscontrolesysteem gebaseerd op vooraf gedefinieerde taakfuncties en privileges wordt Role-based Access Control (RBAC) genoemd.
- Met behulp van Attribute-Based Access Control (ABAC) worden gebruikerstoegangsrechten verleend op basis van beleid dat kenmerken combineert.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Richtlijnen voor het implementeren van regels voor toegangscontrole
We hebben de regels voor toegangscontrole besproken als zijnde toegekend aan verschillende entiteiten (menselijke en niet-menselijke) die binnen een netwerk opereren, aan wie rollen zijn toegewezen die hun algemene functie definiëren.
Bij het definiëren en uitvoeren van het toegangscontrolebeleid van uw organisatie wordt u in bijlage A 5.15 gevraagd de volgende vier factoren in overweging te nemen:
- Er moet consistentie worden gehandhaafd tussen de gegevens waarop het toegangsrecht betrekking heeft en het soort toegangsrecht.
- Het is essentieel om consistentie te garanderen tussen de toegangsrechten van uw organisatie en de fysieke beveiligingsvereisten (perimeters, enz.).
- Bij toegangsrechten in een gedistribueerde computeromgeving (zoals een cloudgebaseerde omgeving) wordt rekening gehouden met de implicaties van gegevens die zich in een breed spectrum van netwerken bevinden.
- Denk eens na over de implicaties van dynamische toegangscontroles (een gedetailleerde methode voor toegang tot een gedetailleerde reeks variabelen, geïmplementeerd door een systeembeheerder).
Verantwoordelijkheden definiëren en het proces documenteren
Volgens ISO 27001:2022 Annex A Control 5.15 moeten organisaties een gestructureerde lijst met verantwoordelijkheden en documentatie ontwikkelen en bijhouden. Er zijn talloze overeenkomsten tussen de volledige lijst van beheersmaatregelen van ISO 27001:2022, waarbij bijlage A 5.15 de meest relevante eisen bevat:
Documentatie
- ISO 27001:2022 Bijlage A 5.16
- ISO 27001:2022 Bijlage A 5.17
- ISO 27001:2022 Bijlage A 5.18
- ISO 27001:2022 Bijlage A 8.2
- ISO 27001:2022 Bijlage A 8.3
- ISO 27001:2022 Bijlage A 8.4
- ISO 27001:2022 Bijlage A 8.5
- ISO 27001:2022 Bijlage A 8.18
Verantwoordelijkheden
- ISO 27001:2022 Bijlage A 5.2
- ISO 27001:2022 Bijlage A 5.17
granularity
Controle 5.15 van bijlage A biedt organisaties aanzienlijke vrijheid bij het specificeren van de granulariteit van hun toegangscontrolebeleid.
Over het algemeen adviseert ISO bedrijven om hun oordeel te gebruiken over hoe gedetailleerd een bepaalde reeks regels per werknemer moet zijn en hoeveel variabelen op een bepaald stuk informatie moeten worden toegepast.
Concreet erkent bijlage A 5.15 dat hoe gedetailleerder het toegangscontrolebeleid van een bedrijf is, hoe hoger de kosten en hoe uitdagender het concept van toegangscontrole wordt voor meerdere locaties, netwerktypen en applicatievariabelen.
Toegangscontrole kan, tenzij zorgvuldig beheerd, zeer snel uit de hand lopen. Het is verstandig om de regels voor toegangscontrole te vereenvoudigen, zodat ze eenvoudiger te beheren en kosteneffectiever zijn.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wat zijn de veranderingen ten opzichte van ISO 27001:2013?
Bijlage A 5.15 in 27001:2022 is een samenvoeging van twee vergelijkbare controles in 27001:2013 – Bijlage A 9.1.1 (Toegangscontrolebeleid) en bijlage A 9.1.2 (Toegang tot netwerken en netwerkdiensten).
De onderliggende thema's van A.9.1.1 en A.9.1.2 zijn vergelijkbaar met die in bijlage A 5.15, afgezien van enkele subtiele operationele verschillen.
Net als in 2022 hebben beide controles betrekking op het beheer van de toegang tot informatie, activa en middelen en werken ze volgens het principe van ‘need to know’, waarbij bedrijfsgegevens worden behandeld als handelswaar die zorgvuldig beheer en bescherming vereisen.
Er zijn 11 richtlijnen in 27001:2013 Bijlage A 9.1.1, die allemaal dezelfde algemene principes volgen als 27001:2022 Bijlage A Controle 5.15, met een iets grotere nadruk op perimeterbeveiliging en fysieke beveiliging.
Er zijn over het algemeen dezelfde implementatierichtlijnen voor toegangscontrole, maar de 2022-controle biedt veel beknoptere en praktischere richtlijnen voor de vier implementatierichtlijnen.
Soorten toegangscontroles gebruikt in ISO 27001:2013 bijlage A 9.1.1 zijn veranderd
Zoals vermeld in ISO 27001 Annex A 5.15 zijn er de afgelopen negen jaar verschillende vormen van toegangscontrole ontstaan (MAC, DAC, ABAC), terwijl in 27001:2013 Annex A Control 9.1.1 de belangrijkste methode van commerciële toegangscontrole destijds tijd was RBAC.
Niveau van granulariteit
De controles van 2013 moeten zinvolle richtlijnen bevatten voor hoe een organisatie gedetailleerde toegangscontroles moet aanpakken in het licht van technologische veranderingen die organisaties meer controle over hun gegevens bieden.
Daarentegen biedt Annex A 5.15 van 27001:2022 organisaties aanzienlijke flexibiliteit.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe kan ISMS.online helpen?
Bijlage A 5.15 van ISO 27001:2022 is waarschijnlijk de meest besproken clausule in bijlage A, en sommigen beweren dat dit de belangrijkste is.
Uw Information Security Management System (ISMS) heeft tot doel ervoor te zorgen dat de juiste mensen op het juiste moment toegang hebben tot de juiste informatie. Een van de sleutels tot succes is dat u dit goed doet, maar als u het verkeerd doet, kan dit negatieve gevolgen hebben voor uw bedrijf.
Denk eens aan het scenario waarin u per ongeluk vertrouwelijke werknemersinformatie aan de verkeerde mensen openbaart, zoals wat iedereen in de organisatie krijgt betaald.
Als u niet oppast, kunnen de gevolgen van het verkeerd uitvoeren van dit onderdeel ernstig zijn. Daarom is het absoluut noodzakelijk om de tijd te nemen om alle aspecten zorgvuldig te overwegen voordat u verdergaat.
In dit verband, ons platform kan een echte aanwinst zijn. Dit komt omdat het de volledige structuur van ISO 27001 volgt en u in staat stelt de inhoud die wij u aanbieden over te nemen, aan te passen en te verrijken, waardoor u een aanzienlijke voorsprong krijgt.
Verkrijg een vandaag nog gratis demo van ISMS.online.
