- Bekijk ISO 27002:2022 Controle 6.4 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 7.2.3 voor meer informatie.
Wat is ISO 27001:2022 bijlage A 6.4?
ISO 27001:2022 Annex A 6.4 vereist dat organisaties een disciplinair proces opzetten om als afschrikmiddel te fungeren tegen informatiebeveiliging schendingen.
Er moet formele communicatie over dit proces worden geïmplementeerd en er moet een boete worden vastgesteld die geschikt is voor werknemers en andere belanghebbenden die het informatiebeveiligingsbeleid schenden.
Schending van informatiebeveiliging uitgelegd
Informatie veiligheidsbeleid overtredingen vormen een inbreuk op de regels voor een goede omgang met informatie. Organisaties stellen dit beleid vast om vertrouwelijke, bedrijfseigen en persoonlijke gegevens, zoals klantgegevens en creditcardnummers, te beschermen. Bovendien is hierin ook een computerbeveiligingsbeleid opgenomen om ervoor te zorgen dat gegevens die op computers zijn opgeslagen veilig en intact blijven.
Als u bedrijfs-e-mail gebruikt om persoonlijke communicatie te verzenden zonder toestemming van uw supervisor, kan dit een inbreuk op het bedrijfsbeleid vormen. Mocht u bovendien een fout maken bij het gebruik van de apparatuur of software van het bedrijf, wat resulteert in schade aan de apparatuur of de gegevens die erop zijn opgeslagen, dan is dit ook een overtreding van het informatiebeveiligingsbeleid.
Als een medewerker het informatiebeveiligingsbeleid van een organisatie schendt, kunnen disciplinaire maatregelen of ontslag het gevolg zijn. In bepaalde situaties kan een bedrijf ervoor kiezen om een werknemer die het computergebruiksbeleid schendt niet te ontslaan, maar andere passende stappen te ondernemen om verdere schendingen van het bedrijfsbeleid te stoppen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Het doel van ISO 27001:2022 bijlage A 6.4?
Het doel van het disciplinaire proces is ervoor te zorgen dat het personeel en andere belanghebbenden de gevolgen van een inbreuk op het informatiebeveiligingsbeleid onderkennen.
Bijlage A 6.4 is bedoeld om eventuele schendingen van het informatiebeveiligingsbeleid af te schrikken en te helpen, en ervoor te zorgen dat werknemers en andere gerelateerde belanghebbenden zich bewust zijn van de gevolgen.
Een effectief informatiebeveiligingsprogramma moet de capaciteit omvatten om passende disciplinaire maatregelen te nemen tegen werknemers die de informatiebeveiligingsregels schenden. Als u dit doet, zorgt u ervoor dat het personeel de gevolgen begrijpt van het negeren van vooraf gedefinieerde voorschriften, waardoor de kans op opzettelijk of onbedoeld gegevenslekken wordt verkleind.
Voorbeelden van activiteiten die kunnen worden opgenomen bij het afdwingen van deze controle zijn:
- Voer regelmatig trainingen uit om het personeel op de hoogte te houden van beleidswijzigingen.
- Ontwerp disciplinaire maatregelen voor het niet naleven van het informatiebeveiligingsbeleid.
- Geef elke werknemer een kopie van de disciplinaire procedures van de organisatie.
- Zorg er in soortgelijke situaties voor dat de disciplinaire procedures consequent worden gevolgd.
De in het kader geschetste disciplinaire maatregelen moeten na een incident snel worden geïmplementeerd om verdere schendingen van het organisatiebeleid te ontmoedigen.
Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan
Om te ontmoeten vereisten van bijlage A 6.4 moeten disciplinaire maatregelen worden genomen als er aanwijzingen zijn dat het beleid, de procedures of de regelgeving van de organisatie niet worden nageleefd. Hieronder valt ook eventuele toepasselijke wet- en regelgeving.
Volgens bijlage A 6.4 moet het formele disciplinaire proces rekening houden met de volgende elementen bij het kiezen van een geleidelijke aanpak:
- Er moet rekening worden gehouden met de omvang van de inbreuk, de aard, de ernst en de gevolgen ervan.
- Of de overtreding opzettelijk of per ongeluk was.
- Ongeacht of het om een eerste of herhaalde overtreding gaat.
- Er moet worden overwogen of de overtreder voldoende is opgeleid.
Houd bij het ondernemen van actie rekening met alle relevante wettelijke, wetgevende, regelgevende, contractuele en zakelijke verplichtingen, evenals met alle andere relevante factoren.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 6.4 vervangt ISO 27001:2013 Bijlage A 7.2.3 in de herziene versie van 2022 van ISO 27001.
ISO 27001:2022 maakt gebruik van gebruiksvriendelijke taal om ervoor te zorgen dat de gebruikers van de norm de inhoud ervan kunnen begrijpen. Er zijn kleine variaties in de formulering, maar de algehele context en inhoud blijven hetzelfde.
Het enige verschil dat u zult opmerken is dat het bijlage A-controlenummer is gewijzigd van 7.2.3 in 6.4. Bovendien heeft de 2022-standaard het extra voordeel van een attributentabel en een doelverklaring die ontbreken in de 2013-versie.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Wie is verantwoordelijk voor dit proces?
In de meeste gevallen wordt toezicht gehouden op het disciplinaire proces door de afdelingsmanager of HR-vertegenwoordiger. Het is niet ongebruikelijk dat de HR-vertegenwoordiger de verantwoordelijkheid voor disciplinaire maatregelen overdraagt aan iemand anders in de organisatie, zoals een informatiebeveiligingsexpert.
Het primaire doel van disciplinaire maatregelen is om de organisatie te beschermen tegen eventuele verdere overtredingen door het personeelslid. Het is verder bedoeld om verdere soortgelijke incidenten te voorkomen door ervoor te zorgen dat alle werknemers zich bewust zijn van de betekenis van inbreuken op de informatiebeveiliging.
Het is essentieel voor elke organisatie om ervoor te zorgen dat er disciplinaire maatregelen worden genomen wanneer een personeelslid een van haar beleidsregels of procedures heeft overtreden. Om dit te garanderen moeten duidelijke richtlijnen worden opgesteld over de manier waarop met dergelijke situaties moet worden omgegaan, inclusief instructies over hoe onderzoeken moeten worden uitgevoerd en welke acties daarna moeten worden ondernomen.
Wat betekenen deze veranderingen voor u?
Als u zich afvraagt welke gevolgen deze wijzigingen voor u hebben, vindt u hier een beknopte samenvatting van de meest kritische punten:
- U hoeft niet opnieuw te certificeren; het is maar een kleine wijziging.
- Behoud uw huidige certificering totdat deze verloopt, op voorwaarde dat deze geldig blijft.
- Er zijn geen grote wijzigingen aangebracht in ISO 27001:2022 bijlage A 6.4.
- Het doel is om de standaard in lijn te brengen met de meest actuele best practices en standaarden.
Als je winst wilt maken ISMS-certificering, moet u uw beveiligingsmaatregelen beoordelen om er zeker van te zijn dat ze voldoen aan de herziene norm.
Om inzicht te krijgen in de impact die de nieuwe ISO 27001:2022 zou kunnen hebben op uw gegevensbeveiligingsprocedures en ISO 27001-accreditatie, verwijzen wij u naar onze gratis ISO 27001:2022-gids.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hoe ISMS.Online helpt
ISMS.online is toonaangevend ISO 27001 managementsysteemsoftware, wat helpt bij het voldoen aan de ISO 27001-norm. Het helpt bedrijven ervoor te zorgen dat hun beveiligingsbeleid en -procedures in overeenstemming zijn met de vereisten.
In deze cloud-gebaseerd platform biedt een volledig scala aan tools om organisaties te helpen bij het opzetten van een Information Security Management System (ISMS) op basis van ISO 27001.
Deze hulpmiddelen bestaan uit:
- Er is een bibliotheek met sjablonen voor veel voorkomende bedrijfsdocumenten beschikbaar.
- Er bestaat een verzameling vooraf vastgestelde richtlijnen en protocollen.
- Er is een audittool beschikbaar om interne audits te vergemakkelijken.
- Er wordt een interface geboden om het beleid en de procedures van het Information Security Management System (ISMS) te personaliseren.
- Alle wijzigingen in beleid en procedures moeten worden goedgekeurd via een workflowproces.
- Maak een lijst om ervoor te zorgen dat uw beleid en informatiebeschermingsmaatregelen in overeenstemming zijn met internationale normen.
ISMS.Online biedt gebruikers de mogelijkheid om:
- Behandel alle aspecten van de ISMS-levenscyclus met gemak.
- Krijg direct inzicht in hun beveiligingsstatus en complianceproblemen.
- Integreer met andere systemen zoals HR, financiën en projectmanagement.
- Zorg ervoor dat het ISMS voldoet aan de ISO 27001-criteria.
ISMS.Online biedt advies over hoe u uw ISMS optimaal kunt uitvoeren, met begeleiding bij het vormen van beleid en bijbehorende protocollen risicobeheer, training van personeel op het gebied van veiligheidsbewustzijn en voorbereiding op incidentrespons.
Neem nu contact met ons op een demonstratie plannen.