- Bekijk ISO 27002:2022 Controle 5.18 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 9.2.2 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 9.2.5 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 9.2.6 voor meer informatie.
Begrijpen van ISO 27001 Bijlage A 5.18: Best practices voor toegangsrechten
Elke medewerker binnen uw organisatie moet toegang hebben tot specifieke computers, databases, informatiesystemen en applicaties om zijn taken te kunnen uitvoeren.
Bijvoorbeeld uw human resources De afdeling heeft mogelijk toegang nodig tot gevoelige gezondheidsinformatie over werknemers. Bovendien heeft uw financiële afdeling mogelijk toegang nodig tot en gebruik van databases met salarisinformatie van werknemers.
U moet toegangsrechten verlenen, wijzigen en intrekken volgens het toegangscontrolebeleid en de toegangscontrolemaatregelen van het bedrijf. Dit voorkomt ongeoorloofde toegang tot, wijziging en vernietiging van informatiemiddelen.
Als u de toegangsrechten van uw voormalige medewerker niet intrekt, kan die medewerker gevoelige gegevens stelen.
Volgens ISO 27001:2022 behandelt Bijlage A Controle 5.18 hoe toegangsrechten moeten worden toegewezen, gewijzigd en ingetrokken op basis van zakelijke vereisten.
Wat is het doel van ISO 27001:2022 bijlage A 5.18?
Volgens Bijlage A Controle 5.18 kan een organisatie procedures en controles implementeren om toegangsrechten tot informatiesystemen toe te wijzen, te wijzigen en in te trekken, in overeenstemming met haar toegangscontrolebeleid.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wie is eigenaar van bijlage A 5.18?
De Information Security Officer moet verantwoordelijk zijn voor het vaststellen, implementeren en beoordelen van de passende regels, processen en controles voor het verlenen, wijzigen en intrekken van toegangsrechten tot informatiesystemen.
Het is de verantwoordelijkheid van de informatiebeveiligingsfunctionaris om zorgvuldig rekening te houden met de zakelijke behoeften bij het toewijzen, wijzigen en intrekken van toegangsrechten. Daarnaast de informatiebeveiligingsfunctionaris nauw moeten samenwerken met eigenaren van informatiemiddelen om ervoor te zorgen dat het beleid en de procedures worden gevolgd.
Toegangsrechten – Richtlijnen voor het verlenen en intrekken
Om toegangsrechten voor alle soorten gebruikers tot alle systemen en diensten toe te wijzen of in te trekken, moet een proces worden geïmplementeerd (hoe eenvoudig en gedocumenteerd dit ook is). Idealiter zou het aansluiten bij de bovenstaande punten en het bredere HR-beveiligingsinitiatief.
Een informatiesysteem of -dienst moet worden ingericht of ingetrokken op basis van de volgende criteria: autorisatie van de eigenaar van het informatiesysteem of de dienst, verificatie dat de toegang geschikt is voor de rol die wordt uitgevoerd, en bescherming tegen inrichting die plaatsvindt voordat autorisatie is verkregen.
Gebruikers moeten altijd toegang krijgen op basis van de bedrijfsvereisten als onderdeel van een door het bedrijf geleide aanpak. Hoewel dit misschien bureaucratisch klinkt, hoeft dat niet zo te zijn. Door effectieve procedures te implementeren met op rollen gebaseerde toegang tot systemen en diensten kan dit probleem effectief worden aangepakt.
Herziening van gebruikerstoegangsrechten
Eigenaren van bedrijfsmiddelen moeten de toegangsrechten van gebruikers regelmatig beoordelen tijdens individuele wijzigingen (on-boarding, rolwijzigingen en exits) en tijdens bredere audits van systeemtoegang.
Vergunningen moeten vaker worden herzien in het licht van het hogere risico dat daarmee gepaard gaat bevoorrechte toegangsrechten. Net als bij 9.2 moet dit ten minste jaarlijks worden gedaan of telkens wanneer er significante wijzigingen zijn aangebracht.
Toegangsrechten verwijderen of aanpassen
Het is noodzakelijk om de toegangsrechten van alle werknemers en externe gebruikers tot informatie en informatieverwerkingsfaciliteiten te verwijderen bij de beëindiging van hun dienstverband, contract of overeenkomst (of om hun toegangsrechten aan te passen bij verandering van rol indien nodig).
Als het exitbeleid en de exitprocedures goed zijn ontworpen en zijn afgestemd op A.7, zal dit ook worden bereikt aangetoond voor auditdoeleinden als medewerkers vertrekken.
Voor de toewijzing en intrekking van toegangsrechten aan geauthenticeerde personen moeten organisaties de volgende regels en controles inbouwen:
- Om toegang te krijgen tot en gebruik te maken van relevante informatiemiddelen, moet de eigenaar van de informatiemiddelen toegang en gebruik autoriseren. Bovendien moeten organisaties overwegen om afzonderlijke goedkeuring van het management te vragen voordat zij toegangsrechten verlenen.
- Er moet rekening worden gehouden met de zakelijke behoeften van de organisatie en haar beleid op het gebied van toegangscontrole.
- Organisaties moeten nadenken over de scheiding van taken. De goedkeuring en implementatie van toegangsrechten kunnen bijvoorbeeld door afzonderlijke personen worden afgehandeld.
- De toegangsrechten van een persoon moeten onmiddellijk worden ingetrokken wanneer hij of zij geen toegang meer nodig heeft tot informatiemiddelen, vooral als hij/zij de organisatie heeft verlaten.
- Aan medewerkers of ander personeel dat tijdelijk voor de organisatie werkzaam is, kan een tijdelijk toegangsrecht worden verleend. Wanneer zij niet langer in dienst zijn bij de organisatie, moeten hun rechten worden ingetrokken.
- Het toegangscontrolebeleid van de organisatie moet het toegangsniveau van een individu bepalen en regelmatig worden herzien en geverifieerd. Verder moet het zich houden aan andere eisen op het gebied van informatiebeveiliging, zoals ISO 27001:2022 Control 5.3, waarin de scheiding van taken wordt gespecificeerd.
- De organisatie moet ervoor zorgen dat toegangsrechten worden geactiveerd zodra het juiste autorisatieproces is voltooid.
- De toegangsrechten die aan elke identificatie zijn gekoppeld, zoals een ID of fysiek, moeten worden onderhouden in een centraal toegangscontrolebeheersysteem.
- Het is absoluut noodzakelijk om het niveau van de toegangsrechten van een individu bij te werken als zijn of haar rol of plichten veranderen.
- De volgende methoden kunnen worden gebruikt om fysieke of logische toegangsrechten te verwijderen of te wijzigen: Verwijdering of vervanging van sleutels, ID-kaarten of authenticatie-informatie.
- Het registreren en bijhouden van wijzigingen in de fysieke en logische toegangsrechten van een gebruiker is verplicht.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Aanvullende richtlijnen voor de beoordeling van toegangsrechten
Bij periodieke beoordelingen van fysieke en logische toegangsrechten moet rekening worden gehouden met het volgende:
- Wanneer een gebruiker binnen dezelfde organisatie wordt gepromoveerd of gedegradeerd of wanneer zijn dienstverband eindigt, kunnen zijn toegangsrechten veranderen.
- Autorisatieprocedure voor toegang tot bevoegdheden.
Begeleiding bij veranderingen in dienstverband of beëindiging van dienstverband
Er moet rekening worden gehouden met risicofactoren bij het evalueren en wijzigen van de toegangsrechten van een werknemer tot informatieverwerkingssystemen. Dit is voordat ze binnen dezelfde organisatie worden gepromoveerd of gedegradeerd:
- Dit omvat onder meer het bepalen of de werknemer het ontslagproces heeft gestart of dat de organisatie dit heeft geïnitieerd, en wat de reden voor de beëindiging is.
- Een beschrijving van de huidige verantwoordelijkheden van de medewerker binnen de organisatie.
- De toegang van werknemers tot informatiemiddelen en hun belang en waarde.
Verdere aanvullingsrichtlijnen
Het wordt aanbevolen dat organisaties gebruikerstoegangsrollen instellen in overeenstemming met hun zakelijke vereisten. Naast de soorten en aantallen toegangsrechten die aan elke gebruikersgroep moeten worden verleend, moeten deze rollen het type toegangsrechten specificeren.
Het creëren van dergelijke rollen zal maken toegangsverzoeken en rechten kunnen eenvoudiger worden beheerd en beoordeeld.
Het wordt aanbevolen dat organisaties in hun arbeids-/dienstencontracten met hun personeel bepalingen opnemen die ongeautoriseerde toegang tot hun systemen aanpakken en sancties opleggen voor dergelijke toegang. Controles 5.20, 6.2, 6.4 en 6.6 van bijlage A moeten worden gevolgd.
Organisaties moeten voorzichtig zijn als ze te maken krijgen met ontevreden werknemers die door het management zijn ontslagen, omdat ze opzettelijk informatiesystemen kunnen beschadigen.
Organisaties die besluiten kloontechnieken te gebruiken om toegangsrechten te verlenen, moeten dit doen op basis van de rollen die de organisatie heeft gedefinieerd.
Er is een risico verbonden aan klonen, omdat er buitensporige toegangsrechten kunnen worden verleend.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?
ISO 27001:2022 bijlage A 5.18 vervangt ISO 27001:2013 Bijlage A Controles 9.2.2, 9.2.5 en 9.2.6.
De versie 2022 bevat uitgebreidere vereisten voor het verlenen en intrekken van toegangsrechten
In de 2013-versie van bijlage A Controle 9.2.2 werden zes vereisten beschreven voor het toewijzen en intrekken van toegangsrechten; Bijlage A Controle 5.18 introduceert echter drie aanvullende vereisten naast deze zes:
- Tijdelijke toegangsrechten kunnen tijdelijk worden verleend aan werknemers of ander personeel werkzaam voor de organisatie. Zodra zij niet langer voor de organisatie werken, moeten deze rechten worden ingetrokken.
- Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden bereikt: Het verwijderen of vervangen van sleutels, identificatiekaarten of authenticatie-informatie.
- Het wijzigen van de fysieke of logische toegangsrechten van een gebruiker moet worden geregistreerd en gedocumenteerd.
Vereisten voor geprivilegieerde toegangsrechten zijn gedetailleerder in de versie van 2013
Volgens ISO 27001:2013 stelt Annex A Controle 9.5 expliciet dat organisaties de autorisatie voor bevoorrechte toegangsrechten vaker moeten beoordelen dan voor andere toegangsrechten. Deze eis was niet opgenomen in bijlage A Controle 5.18 in versie 2022.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
NHS Professionals behaalt de ISO 27001-certificering en verbetert hun infosec-beheer
NHS Professionals stond voor een strakke deadline van zes maanden en moest meerdere bestaande raamwerken integreren. Daarom had het bedrijf een platform nodig dat ISO 27001 kon opnemen zonder beleid te dupliceren of extra risico's toe te voegen aan hun toch al complexe compliance-landschap.
Xergy-tool Proteus genereert groei door ISO 27001-naleving met ISMS.online
Als start-up die software ontwikkelt voor sterk gereguleerde technische sectoren, had Xergy ISO 27001 nodig om te groeien door middel van vertrouwen — en een bewezen externe partner om aan de strenge eisen te voldoen zonder het ontwikkelteam af te leiden.
Hoe Blue Services de drievoudige ISO-certificering heeft behaald
Blue Services had behoefte aan externe ondersteuning om hen te begeleiden bij de implementatie van ISO 27001, ISO 9001 en ISO 14001, inclusief best practices, en aan een platform om hun algehele compliancebeheer te centraliseren.
Hoe Evolution Funding moeiteloos de ISO 27001-certificering behaalde
Het behalen van de ISO 27001-certificering was een kerndoelstelling voor Evolution Funding. Het team had een gecentraliseerd platform nodig waarmee ze de ISO 27001-norm konden implementeren en het nalevingsproces konden doorlopen.
Hoe 4way Consulting de weg vrijmaakte voor ISO 27001-succes
Omdat 4way gevoelige klantgegevens verwerkt volgens meerdere standaarden, had het bedrijf een kostenefficiënte en tijdbesparende manier nodig om ISO 27001 te implementeren – zonder een ISMS helemaal vanaf nul op te bouwen of afhankelijk te zijn van dure externe consultants.
nesevo's succesvolle naleving van meerdere certificeringen met IO
Nesesvo had moeite met het naleven van de ISO 27001-norm vanwege de vele verspreide documenten en spreadsheets. Daarom hadden ze behoefte aan een gecentraliseerd platform dat hen door de norm kon leiden zonder de doorlopende kosten van externe consultants.
Hoe ISMS.online helpt
ISO 27001:2022, Annex A 5.18, is een van de meest besproken clausules. Velen beweren dat dit de belangrijkste clausule in het hele document is.
Dit komt omdat het geheel Informatiebeveiligingsbeheersysteem (ISMS) is gebaseerd op het ervoor zorgen dat de juiste mensen op het juiste moment toegang hebben tot de juiste informatie. Succes behalen vereist het goed doen, maar het kan grote gevolgen hebben voor uw bedrijf.
Stel u bijvoorbeeld voor dat u per ongeluk vertrouwelijke werknemersinformatie aan de verkeerde persoon openbaart, zoals het loon van elke werknemer.
Een fout hier kan aanzienlijke gevolgen hebben, dus het is de moeite waard om de tijd te nemen om er goed over na te denken.
Het platform kan zeer nuttig zijn in dit verband. Als gevolg hiervan houdt het zich aan de hele structuur van ISO 27001 en stelt u in staat de inhoud die wij aanbieden over te nemen, aan te passen en toe te voegen. Dit geeft u een aanzienlijk voordeel. Waarom niet plan een demo voor meer informatie?
