- Bekijk ISO 27002:2022 Controle 5.35 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 18.2.1 voor meer informatie.
Controle 5.35 Uitgelegd: Onafhankelijke informatiebeveiligingsbeoordelingen uitvoeren
Informatiebeveiliging is een fundamenteel onderdeel van het datamanagementbeleid van een organisatie.
Het is essentieel dat bedrijven ervoor zorgen dat hun gegevens veilig zijn, omdat dit een sleutelfactor is om onaangename gevolgen te voorkomen. Door ervoor te zorgen dat informatie veilig is, kunt u potentiële problemen voorkomen.
Het is absoluut noodzakelijk om elk gevoel van zelfgenoegzaamheid te vermijden, en daarom moeten er regelmatig onafhankelijke evaluaties worden uitgevoerd om het beheer van de organisatie van de mensen, processen en technologieën die betrokken zijn bij het in stand houden van een succesvolle informatiebeveiligingsoperatie te beoordelen.
Doel van ISO 27001:2022 Bijlage A 5.35
Organisaties moeten met geplande tussenpozen en telkens wanneer zich grote operationele veranderingen voordoen, onafhankelijke beoordelingen uitvoeren om te garanderen dat hun beleid voor informatiebeveiligingsbeheer intact blijft, conform ISO 27001:2022 Bijlage A Controle 5.35 om ervoor te zorgen dat:
- Zij beschikken over het vermogen om aan de adequate eisen te voldoen.
- Ze streven ernaar de juiste doelstellingen te bereiken.
- Hun prestaties zijn effectief; ze functioneren zoals ontworpen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Eigendom van bijlage A 5.35
ISO 27001:2022 Bijlage A Controle 5.35 richt zich primair op operationele zaken, dus het eigendom moet in handen zijn van de Chief Operating Officer (COO) or Chief Information Security Officer (CISO) als er één aanwezig is.
Algemene richtlijn voor ISO 27001:2022 bijlage A 5.35
Het doel van het management is het bedenken en uitvoeren van procedures die afzonderlijke beoordelingen van hun informatiebeveiligingspraktijken mogelijk maken.
Beoordelingen moeten zich richten op het identificeren van verbeterpunten in de benadering van informatiebeveiliging door een organisatie, waaronder:
- Informatiebeveiligingsbeleid.
- Beleid afgestemd op specifieke onderwerpen.
- Bijbehorende controles.
Een persoon van buiten de organisatie die geen persoonlijk belang bij de zaak heeft, moet een beoordeling uitvoeren. Dit kan iemand zijn binnen de organisatie of een onafhankelijke derde partij, zoals:
- Interne auditors zijn verantwoordelijk voor het beoordelen van de effectiviteit van de interne controlesystemen en -procedures van een bedrijf.
- Onafhankelijke afdelingsmanagers.
- Voor het verlenen van diensten kunnen externe organisaties worden ingeschakeld.
Degene die de beoordeling uitvoert, moet over de noodzakelijke operationele vaardigheden beschikken om een geldig oordeel over zijn bevindingen te kunnen vellen. In het geval van interne medewerkers mag hun functie hen er niet van weerhouden een gerechtvaardigde en valide beoordeling te geven.
De bevindingen van de beoordeling moeten nauwgezet worden geregistreerd, bewaard en gerapporteerd aan de managers die erom hebben gevraagd, en in sommige gevallen aan personeel op C-niveau of aan de eigenaar.
Beoordelaars moeten beoordelen of de informatiebeveiligingspraktijken in overeenstemming zijn met de vastgestelde doelstellingen en vereisten van de organisatie, die gedetailleerd zijn beschreven in het informatiebeveiligingsbeleid en eventueel onderwerpspecifiek beleid.
Periodieke beoordelingen kunnen worden aangevuld met ad-hoc beoordelingen. Er kunnen vijf redenen voor dergelijke beoordelingen worden geïdentificeerd:
- Eventuele wijzigingen in wetten, richtlijnen of regelgeving die van invloed zijn op de informatiebeveiligingsactiviteiten van de organisatie moeten in acht worden genomen.
- Er doen zich significante gebeurtenissen voor die een effect hebben op de informatiebeveiliging, zoals gegevensverlies en inbreuk.
- Er wordt een nieuwe onderneming opgericht of er worden grote transformaties in de bestaande onderneming doorgevoerd.
- Het bedrijf neemt een nieuw product of een nieuwe dienst op de markt die gevolgen heeft voor de informatiebeveiliging, of wijzigt een bestaand product of een bestaande dienst.
- Er worden significante wijzigingen doorgevoerd in de bank van informatiebeveiligingscontroles, -voorschriften en -processen van de organisatie.
Aanvullend richtsnoer bij bijlage A 5.35
ISO/IEC 27007 en ISO/IEC TS 27008 geven verder advies over het uitvoeren van onafhankelijke beoordelingen.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 5.35 vervangt ISO 27001:2013 Bijlage A 18.1.2 (Onafhankelijke toetsing van informatiebeveiliging).
ISO 27001:2022 Annex A 5.35 biedt dezelfde algemene instructies als ISO 27001:2013 Annex A 18.1.2, maar gaat verder en geeft specifieke voorbeelden van wanneer een organisatie ad-hoc assessments zou moeten uitvoeren naast de reguliere reviews.
Tabel met alle ISO 27001:2022 bijlage A-controles
In onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hoe ISMS.online helpt
ISMS.online vereenvoudigt en versnelt de implementatie van ISO 27001:2022 via zijn cloud-gebaseerd platform. Het biedt een geavanceerd raamwerk voor opname managementsysteem voor informatiebeveiliging procedures en checklists om de naleving van geaccepteerde normen te garanderen.
Door ISMS.online te gebruiken, kunt u:
- Krijg toegang tot een uitgebreide bibliotheek met ISO 27001-normen en -richtlijnen;
- Genereer een gedetailleerd rapport over de huidige beveiligingsstatus van uw bedrijf;
- Ontwerp en implementeer een beveiligingsmanagementsysteem dat voldoet aan de behoeften van uw bedrijf;
- Controleer en beoordeel uw beveiligingssystemen voortdurend.
Neem nu contact met ons op een demonstratie organiseren.
