Doel van ISO 27001:2022 Bijlage A 5.23
ISO 27001:2022 bijlage A 5.23 is een nieuwe controle die de processen schetst die nodig zijn voor de aanschaf, het gebruik, het beheer van en het verlaten van clouddiensten, in relatie tot de unieke informatiebeveiligingsvereisten van de organisatie.
Bijlage A Controle 5.23 biedt organisaties de mogelijkheid om eerst te specificeren en vervolgens te beheren en administreren concepten voor informatiebeveiliging met betrekking tot clouddiensten, in hun hoedanigheid van “klant van clouddiensten”.
Bijlage A 5.23 is een preventieve controle uit die houdt het risico in stand door te specificeren beleid en procedures die de informatiebeveiliging regelen, binnen de sfeer van commerciële clouddiensten.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Eigendom van bijlage A 5.23
Dat is de proliferatie van clouddiensten in de afgelopen tien jaar, ISO 27001 2022 Bijlage A Controle 5.23 bevat een groot aantal procedures die veel verschillende elementen van de bedrijfsvoering van een organisatie omvatten.
Aangezien niet alle clouddiensten ICT-specifiek zijn – hoewel redelijkerwijs kan worden beweerd dat de meeste dat wel zijn – moet het eigendom van Bijlage A Controle 5.23 worden verdeeld tussen de afdelingen van de organisatie. CTO or COO, afhankelijk van de heersende operationele omstandigheden.
Leidraad voor ISO 27001:2022 bijlage A Controle 5.23 – Organisatorische verplichtingen
Naleving van Controle 5.23 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot clouddiensten en informatiebeveiliging.
Gezien de verscheidenheid aan clouddiensten die worden aangeboden, moedigen onderwerpspecifieke benaderingen organisaties aan om een beleid voor clouddiensten te creëren dat is afgestemd op individuele bedrijfsfuncties, in plaats van zich te houden aan een algemeen beleid dat van toepassing is op informatiebeveiliging en clouddiensten over de hele linie.
Opgemerkt moet worden dat ISO de naleving van Bijlage A Controle 5.23 beschouwt als een gezamenlijke inspanning tussen de organisatie en hun cloudservicepartner. Bijlage A Controle 5.23 moet ook nauw worden afgestemd op de Controles 5.21 en 5.22, die respectievelijk betrekking hebben op informatiebeheer in de toeleveringsketen en het beheer van leveranciersdiensten.
Hoe een organisatie ook wil opereren, Bijlage A Controle 5.23 mag niet op zichzelf staan en moet een aanvulling vormen op de bestaande inspanningen om leveranciersrelaties te beheren.
Nu informatiebeveiliging voorop staat, moet de organisatie het volgende definiëren:
- Alle relevante beveiligingsvereisten of zorgen die verband houden met het gebruik van een cloudplatform.
- De criteria die betrokken zijn bij het selecteren van een aanbieder van clouddiensten en hoe hun diensten moeten worden gebruikt.
- Gedetailleerde beschrijving van rollen en relevante verantwoordelijkheden die bepalen hoe cloudservices in de hele organisatie moeten worden gebruikt.
- Welke informatiebeveiligingsgebieden precies worden beheerd door de cloudserviceprovider en welke onder de verantwoordelijkheid van de organisatie zelf vallen.
- De beste manieren om eerst te verzamelen en vervolgens alle informatiebeveiligingsgerelateerde servicecomponenten te gebruiken die door het cloudserviceplatform worden aangeboden.
- Hoe u categorische garanties kunt verkrijgen over alle informatiebeveiligingsgerelateerde controles die door de cloudserviceprovider worden uitgevoerd.
- De stappen die moeten worden genomen om wijzigingen, communicatie en controles over meerdere afzonderlijke cloudplatforms te beheren, en niet altijd van dezelfde leverancier.
- Incident Management procedures die uitsluitend betrekking hebben op het aanbieden van clouddiensten.
- Hoe de organisatie verwacht het voortdurende gebruik en/of de grootschalige adoptie van cloudplatforms te beheren, in lijn met hun bredere verplichtingen op het gebied van informatiebeveiliging.
- Een strategie voor het stopzetten of wijzigen van clouddiensten, hetzij per leverancier, hetzij via het proces van migratie van de cloud naar on-premise.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Richtsnoer voor bijlage A Controle 5.23 – Cloudservicesovereenkomsten
Bijlage A Controle 5.23 erkent dat, in tegenstelling tot andere relaties met leveranciers, overeenkomsten voor clouddiensten rigide documenten zijn die in de overgrote meerderheid van de gevallen niet kunnen worden gewijzigd.
Met dat in gedachten moeten organisaties cloudserviceovereenkomsten onder de loep nemen en ervoor zorgen dat aan vier belangrijke operationele vereisten wordt voldaan:
- Vertrouwelijkheid.
- Beveiliging/gegevensintegriteit.
- Beschikbaarheid van de dienst.
- Informatieverwerking.
Net als bij andere leverancierscontracten moeten cloudserviceovereenkomsten voorafgaand aan acceptatie een grondige risicobeoordeling ondergaan, waarbij potentiële problemen bij de bron worden benadrukt.
De organisatie mag op zijn minst alleen een overeenkomst voor clouddiensten aangaan als zij ervan overtuigd is dat aan de volgende tien bepalingen is voldaan:
- Clouddiensten worden geleverd en geïmplementeerd op basis van de unieke vereisten van de organisatie met betrekking tot hun werkgebied, inclusief door de industrie geaccepteerde standaarden en praktijken voor cloudgebaseerde architectuur en gehoste infrastructuur.
- Toegang tot alle cloudplatforms voldoet aan de grensinformatiebeveiligingsvereisten van de organisatie.
- Er wordt voldoende aandacht besteed aan antimalware- en antivirusdiensten, inclusief proactieve monitoring en bescherming tegen bedreigingen.
- De cloudprovider houdt zich aan een vooraf gedefinieerde reeks bepalingen voor gegevensopslag en -verwerking, die betrekking hebben op een of meer afzonderlijke mondiale regio's en regelgevingsomgevingen.
- Er wordt proactieve ondersteuning geboden aan de organisatie, mocht het cloudplatform te maken krijgen met een catastrofale storing of een informatiebeveiligingsincident.
- Als de noodzaak zich voordoet om enig onderdeel van het cloudplatform uit te besteden of anderszins uit te besteden, blijven de informatiebeveiligingseisen van de leverancier een constante overweging.
- Mocht de organisatie hulp nodig hebben bij het verzamelen van digitale informatie voor welk relevant doel dan ook (wetshandhaving, aanpassing van de regelgeving, commerciële doeleinden), dan zal de aanbieder van clouddiensten de organisatie zoveel mogelijk ondersteunen.
- Aan het einde van de relatie moet de aanbieder van clouddiensten redelijke ondersteuning en passende beschikbaarheid bieden tijdens de transitie- of ontmantelingsperiode.
- De cloudserviceprovider moet werken met een robuust BUDR-plan dat is gericht op het maken van adequate back-ups van de gegevens van de organisatie.
- Het overbrengen van alle relevante aanvullende gegevens van de clouddienstverlener naar de organisatie, inclusief configuratie-informatie en code waar de organisatie aanspraak op maakt.
Aanvullende informatie over bijlage A Controle 5.23
In aanvulling op de bovenstaande richtlijnen suggereert bijlage A Controle 5.23 dat organisaties een nauwe werkrelatie aangaan met aanbieders van clouddiensten, in overeenstemming met de belangrijke dienst die zij leveren, niet alleen op het gebied van informatiebeveiliging, maar voor de gehele commerciële bedrijfsvoering van een organisatie.
Organisaties moeten, waar mogelijk, de volgende bepalingen van cloudserviceproviders inwinnen om de operationele veerkracht te verbeteren en te profiteren van verbeterde niveaus van informatiebeveiliging:
- Alle wijzigingen aan de infrastructuur moeten vooraf worden gecommuniceerd, zodat de eigen set informatiebeveiligingsnormen van de organisatie wordt ondersteund.
- De organisatie moet op de hoogte worden gehouden van eventuele wijzigingen in de procedures voor gegevensopslag waarbij gegevens naar een ander rechtsgebied of een andere mondiale regio moeten worden gemigreerd.
- Elke intentie van de cloudserviceprovider om gebruik te maken van ‘peer cloud’-providers, of delen van hun activiteiten uit te besteden aan onderaannemers, wat gevolgen kan hebben voor de informatiebeveiliging voor de organisatie.
Ondersteuning van bijlage A-controles
- ISO 27001:2022 Bijlage A 5.21
- ISO 27001:2022 Bijlage A 5.22
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?
Bijlage A Controle 5.23 is een nieuwe controle dat komt in geen enkele hoedanigheid voor in ISO 27001:2013.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hoe ISMS.online helpt
ISMS.online stroomlijnt het ISO 27001-implementatieproces door een geavanceerd cloudgebaseerd raamwerk te bieden voor het documenteren van informatiebeveiligingsbeheersysteemprocedures en checklists om naleving van erkende normen te garanderen.
Wanneer u ISMS.online gebruikt, kunt u:
- Creëer een ISMS dat compatibel is met de ISO 27001-normen.
- Voer taken uit en overleg bewijsstukken waaruit blijkt dat ze aan de eisen van de norm voldoen.
- Verdeel taken en volg de voortgang richting naleving van de wet.
- Krijg toegang tot een gespecialiseerd team van adviseurs dat u bijstaat tijdens uw hele traject richting compliance.
Neem contact op en boek een demo.
