- Bekijk ISO 27002:2022 Controle 5.4 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 7.2.1 voor meer informatie.
Zorgen voor naleving: Managementgids voor ISO 27001-controle 5.4
ISO 27001:2022, Bijlage A, controle 5.4, Managementverantwoordelijkheden heeft betrekking op de noodzaak voor het management om ervoor te zorgen dat al het personeel zich houdt aan alle onderwerpspecifiek beleid op het gebied van informatiebeveiliging en procedures zoals gedefinieerd in het vastgestelde informatiebeveiligingsbeleid van de organisatie.
Wat is ISO 27001:2022 bijlage A 5.4 Managementverantwoordelijkheden?
Werknemers en opdrachtnemers moeten zich bewust zijn van hun verplichtingen en deze naleven verantwoordelijkheden op het gebied van informatiebeveiliging zoals beschreven in deze bijlage.
Bijlage A Controle 5.4 beschrijft hoe werknemers en opdrachtnemers informatiebeveiliging toepassen volgens het beleid en de procedures van de organisatie.
De verantwoordelijkheden die aan managers worden opgelegd, moeten eisen omvatten om:
- Zij moeten de bedreigingen, kwetsbaarheden en controles op het gebied van de informatiebeveiliging begrijpen die relevant zijn voor hun functie en regelmatig training krijgen (zoals beschreven in bijlage A, 7.2.2).
- Versterk de vereisten van de arbeidsvoorwaarden door te zorgen voor betrokkenheid bij proactieve en adequate ondersteuning voor het toepasselijke informatiebeveiligingsbeleid en -controles in bijlage A.
Het is de verantwoordelijkheid van managers om ervoor te zorgen dat veiligheidsbewustzijn en consciëntieusheid de hele organisatie doordringen en om een passende ‘veiligheidscultuur’ te creëren.
Informatiebeveiligingsbeleid – wat zijn dat?
An informatiebeveiligingsbeleid is een formeel document dat managementrichting, doelen en principes biedt voor het beschermen van de informatie van een organisatie. Om de juiste toewijzing van middelen te garanderen, moet een effectief informatiebeveiligingsbeleid worden afgestemd op de specifieke behoeften van een organisatie en worden ondersteund door het senior management.
Het specificeert hoe het bedrijf zijn gegevens zal beschermen informatie-activa en hoe werknemers met gevoelige gegevens moeten omgaan.
De meeste Het informatiebeveiligingsbeleid wordt ontwikkeld door het senior management in samenwerking met IT-beveiligingspersoneel en zijn afgeleid van wet-, regelgeving en best practices.
In het beleid moeten ook een raamwerk voor het definiëren van rollen en verantwoordelijkheden en een evaluatieperiode worden opgenomen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Waarom is ISO 27001:2022 bijlage A 5.4 belangrijk?
Bijlage A Controle 5.4 heeft tot doel ervoor te zorgen dat het management zich bewust is van zijn verantwoordelijkheden op het gebied van informatiebeveiliging.
Er worden stappen ondernomen om ervoor te zorgen dat alle medewerkers zich bewust zijn van deze verantwoordelijkheden.
Hoe bijlage A 5.4 werkt
Informatie is een waardevol bedrijfsmiddel dat beschermd moet worden tegen verlies, beschadiging of misbruik. Het management moet ervoor zorgen dat er adequate maatregelen worden genomen om dit bedrijfsmiddel te beschermen. Om dit te bereiken, moet het management ervoor zorgen dat al het personeel zich houdt aan het informatiebeveiligingsbeleid, actuele beleidsregels en procedures van de organisatie.
Controle 5.4 in bijlage A definieert de verantwoordelijkheid van het management met betrekking tot informatiebeveiliging in een organisatie op basis van het ISO 27001-framework.
Het management moet zich achter het informatiebeveiligingsprogramma scharen, en alle medewerkers en opdrachtnemers moeten op de hoogte zijn van het informatiebeveiligingsbeleid en dit naleven. Beveiligingsbeleid, onderwerpspecifiek beleid en procedures mogen nooit worden vrijgesteld van verplichte naleving door een werknemer of contractant.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Het proces van bijlage A 5.4 en wat u kunt verwachten
Het informatiebeveiligingsbeleid, de standaarden en de procedures van een organisatie moeten door het management worden afgedwongen om aan deze bijlage A-controle te voldoen.
Het verkrijgen van steun en buy-in van het management is de eerste stap.
Om betrokkenheid te tonen moet het management al zijn beleid en procedures volgen. Bijvoorbeeld als training veiligheidsbewustzijn jaarlijks vereist is, dienen managers deze cursussen zelf te volgen.
Ongeacht hun functie moet iedereen in het bedrijf zich bewust zijn van het belang van informatiebeveiliging. Zoals vermeld in het ISMS-programma van het bedrijf, moet iedereen zijn rol bij het handhaven van de beveiliging van gevoelige gegevens begrijpen. Dit omvat de raad van bestuur, leidinggevenden en managers, en werknemers.
Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?
ISO 27001:2022 Bijlage A 5.4 Managementverantwoordelijkheden was voorheen bekend als Controle 7.2.1 Verantwoordelijkheden van het management. Het is geen nieuw toegevoegde controle, maar een robuustere interpretatie van de overeenkomstige controle ISO 27001:2013.
Er zijn enkele verschillen tussen bijlage A, controle 5.4 en controle 7.2.1. Deze verschillen zijn gedocumenteerd in de implementatierichtlijnen voor beide.
ISO 27001 Implementatierichtlijnen Vergelijking voor bijlage A 5.4
Het is de verantwoordelijkheid van het management om ervoor te zorgen dat werknemers en opdrachtnemers de volgende normen naleven:
- Voordat werknemers zich toegang verschaffen tot vertrouwelijke informatie of informatiesystemen, worden ze adequaat opgeleid in de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging.
- Geef richtlijnen voor het formuleren van de informatiebeveiligingsverwachtingen van hun rol binnen de organisatie.
Een organisatie moet:
- Wees gemotiveerd om ervoor te zorgen dat het informatiebeveiligingsbeleid van de organisatie wordt nageleefd.
- Zorg ervoor dat u bekend bent met hun rollen en verantwoordelijkheden op het gebied van informatiebeveiliging.
- Voldoen aan het informatiebeveiligingsbeleid van de organisatie en passende werkwijzen.
- Zorg ervoor dat werknemers over de juiste vaardigheden en kwalificaties beschikken en regelmatig training krijgen.
- Het melden van schendingen van de informatiebeveiliging beleid of procedures kunnen anoniem worden uitgevoerd (“klokkenluiden”).
Het management moet het informatiebeveiligingsbeleid, de procedures en de bijlage A-controles ondersteunen.
Controle 5.4 van bijlage A is gebruiksvriendelijker en vereist dat het management ervoor zorgt dat werknemers en opdrachtnemers de volgende richtlijnen volgen:
A) Worden geïnformeerd over hun verantwoordelijkheden en rollen op het gebied van informatiebeveiliging voordat toegang wordt verleend tot de informatie van de organisatie.
B) Ontvang richtlijnen die het verwachte niveau van informatiebeveiliging in hun specifieke rollen specificeren.
C) Voldoen aan het informatiebeveiligingsbeleid en het onderwerpspecifieke beleid van de organisatie.
D) Word je bewust van hun rol en verantwoordelijkheden op het gebied van informatiebeveiliging.
E) Naleving van de regels op de werkplek, inclusief het gegevensbeveiligingsbeleid en de werkmethoden van de organisatie.
F) Blijf uzelf voortdurend bijscholen in uw vaardigheden en kwalificaties op het gebied van informatiebeveiliging.
G) In gevallen van schending van het informatiebeveiligingsbeleid, onderwerpspecifiek beleid of procedures (“klokkenluiders”) moeten werknemers de beschikking krijgen over een vertrouwelijk communicatiekanaal. Een anonieme meldmogelijkheid of voorzieningen die ervoor zorgen dat de identiteit van de melder alleen bekend is bij degenen die deze meldingen moeten afhandelen, zijn mogelijk.
H) Zorg voor voldoende middelen en projectplanningstijd om beveiligingsgerelateerde processen en bijlage A-controles te implementeren.
De ISO 27001:2022-norm vereist dit expliciet dat werknemers en aannemers toegang hebben tot de noodzakelijke middelen en projectplanningstijd om veiligheidsgerelateerde procedures en controles te implementeren.
ISO 27001:2013 en ISO 27001:2022 gebruiken voor sommige implementatierichtlijnen verschillende bewoordingen. Richtlijn C uit 2013 stelt bijvoorbeeld dat werknemers en opdrachtnemers 'gemotiveerd' moeten worden om ISMS-beleid over te nemen; in 2022 wordt echter het woord 'gemandeerd' gebruikt.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 Bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hoe wordt dit proces beheerd?
Simpel gezegd zorgt het management van een bedrijf ervoor dat een ISMS (Informatiebeveiligingsbeheersysteem) is gepositioneerd.
Er moet een informatiebeveiligingsmanager worden aangesteld die gekwalificeerd, ervaren en verantwoordelijk is voor het ontwikkelen, implementeren, beheren en voortdurend verbeteren van het ISMS.
ISMS.online: hoe we kunnen helpen
Bij het implementeren van een ISO 27001-uitgelijnd ISMSEen belangrijke uitdaging is het bijhouden van uw informatiebeveiligingscontroles. Ons systeem maakt dit proces eenvoudig.
Ons team begrijpt het belang van het beschermen van de gegevens en de reputatie van uw organisatie. Bijgevolg vereenvoudigt ons cloudgebaseerde platform de implementatie van ISO 27001, stelt u in staat een robuust raamwerk voor informatiebeveiligingscontroles op te zetten en helpt u snel en eenvoudig certificering te behalen.
gebruik ISMS.online, kunt u snel de ISO 27001-certificering behalen en deze daarna beheren. Ons platform beschikt over verschillende gebruiksvriendelijke functionaliteiten en toolkits die u tijd besparen en ervoor zorgen dat u een robuust ISMS creëert.
Neem vandaag nog contact met ons op een demo plannen.
