- Bekijk ISO 27002:2022 Controle 7.1 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 11.1.1 voor meer informatie.
Wat is ISO 27001:2022 bijlage A 7.1?
ISO 27001:2022 Bijlage A 7.1 vereist dat organisaties beveiligingsperimeters instellen en deze gebruiken om informatie en bijbehorende activa te beveiligen.
Informatie- en informatiebeveiligingsmiddelen uitgelegd
Informatie kan worden omschreven als alle gegevens, kennis of inzichten die waarde hebben voor een organisatie of bedrijf. Dit omvat alle verkregen gegevens over individuen, klanten, partners, werknemers en andere belanghebbenden.
Informatiebeveiligingsmiddelen kunnen grofweg worden ingedeeld in:
Data
Gegevens en informatie worden vaak met elkaar verward, maar er is een duidelijk verschil. Data zijn rauw, onverwerkt en in de huidige vorm doorgaans nutteloos. Aan de andere kant zijn informatie gegevens die in een bruikbaar formaat zijn gerangschikt, zoals een e-mailadres of telefoonnummer.
Infrastructuur
Infrastructuur omvat alle componenten van een netwerk – servers, printers, routers en meer – om een samenhangend systeem te creëren.
Software-infrastructuur, zoals besturingssystemen en applicaties moeten worden beschermd tegen cyberdreigingen, net zoals hardware dat doet. Om uitbuiting door kwaadwillende hackers die toegang zoeken tot gevoelige gegevens te voorkomen, moeten beide regelmatig worden bijgewerkt met patches en oplossingen voor eventuele kwetsbaarheden die door hackers aan het licht zijn gebracht.
Fysieke beveiligingsperimeters uitgelegd
Fysieke beveiliging verwijst naar de fysieke maatregelen die de middelen en gebouwen van een organisatie beschermen. Het is een fundamenteel en onmisbaar onderdeel van informatiebeveiliging. Het houdt meer in dan alleen de deur op slot doen; het houdt ook in dat je je bewust bent van wie toegang heeft tot wat, wanneer, waar en hoe.
Fysieke beveiligingsperimeters identificeren de fysieke grenzen van een gebouw of gebied en controleren de toegang daartoe. Hekken, muren, poorten en andere barrières kunnen worden gebruikt om ongeautoriseerde toegang door mensen of voertuigen te voorkomen. Bovendien kan elektronische bewakingsapparatuur zoals CCTV-camera's worden gebruikt om activiteiten buiten de faciliteit te monitoren.
Fysieke beveiligingsperimeters bieden de eerste beschermingslaag tegen buitenstaanders die proberen toegang te krijgen tot uw computersysteem via een bekabelde of draadloze verbinding in een bedrijf. Ze worden vaak gecombineerd met aanvullende informatiebeveiligingscontroles, zoals identiteitsbeheer, toegangscontrole en inbraakdetectiesystemen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Richtsnoer voor ISO 27001:2022 bijlage A 7.1
ISO 27001:2022 Annex A 7.1 garandeert dat een organisatie kan aantonen dat zij over geschikte fysieke beveiligingsgrenzen beschikt om ongeautoriseerde fysieke toegang tot informatie en andere gerelateerde bedrijfsmiddelen te voorkomen.
Dit houdt in dat er stappen worden ondernomen om te voorkomen dat:
- Ongeoorloofde toegang tot gebouwen, kamers of gebieden die informatie bevatten, is verboden.
- Het zonder toestemming verwijderen van eigendommen uit het pand is onaanvaardbaar.
- Het ongeoorloofd gebruik van bedrijfsmiddelen, zoals computers en aanverwante apparaten, is niet toegestaan.
- Ongeoorloofd knoeien met elektronische communicatieapparatuur, zoals telefoons, faxen en computerterminals, is niet toegestaan.
Het is mogelijk om fysieke beveiligingsperimeters op twee verschillende manieren te implementeren:
Fysieke toegangscontrole – waarborgt de toegang tot faciliteiten en gebouwen en de beweging daarin. Denk hierbij aan het vergrendelen van deuren, alarmen, hekken en slagbomen.
Hardware beveiliging – biedt controle over fysieke apparatuur, zoals computers, printers en scanners, die gegevens verwerken die gevoelige informatie bevatten.
Deze controle helpt informatie en andere gerelateerde activa veilig te stellen, zoals vertrouwelijke documenten, documenten en apparatuur, door ongeoorloofd gebruik van de ruimte, apparatuur en benodigdheden van de faciliteit te voorkomen.
Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan
Waar mogelijk moeten richtlijnen worden aangenomen waarmee rekening moet worden gehouden bij de fysieke veiligheidsperimeters:
- Het vaststellen van beveiligingsbarrières en het vaststellen van de exacte locatie en sterkte van elk ervan, in overeenstemming met de informatiebeveiligingsregels met betrekking tot de bronnen binnen de grens.
- Het garanderen van de fysieke veiligheid van een gebouw of locatie waar informatieverwerkingssystemen zijn gehuisvest, is van cruciaal belang, zonder gaten of zwakke punten in de perimeter waar een inbraak zou kunnen worden vergemakkelijkt.
- De buitenoppervlakken van de locatie, inclusief daken, muren, plafonds en vloeren, moeten van een stevige constructie zijn en alle buitendeuren moeten zijn uitgerust met controlemechanismen zoals tralies, alarmen en sloten om ongeoorloofde toegang te voorkomen.
- Zorg ervoor dat ramen en deuren gesloten zijn als er niemand aanwezig is en houd rekening met externe beveiliging van ramen, vooral op de begane grond; Er moet ook rekening worden gehouden met ventilatie.
Voor meer inzicht in wat er verwacht wordt voor het voldoen aan de ISO 27001:2022 norm kunt u de bijbehorende documentatie raadplegen.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 7.1 vervangt ISO 27001:2013 Bijlage A 11.1.1; de context en de betekenis blijven grotendeels hetzelfde, zij het anders geformuleerd.
De versie van 2022 zag een vermindering van de implementatievereisten vergeleken met de voorafgaande controle.
In bijlage A 7.1 ontbreken de eisen die zijn beschreven in bijlage A 11.1.1, die als volgt zijn:
- Er moet een bemande receptie zijn of een andere manier van beheer fysieke binnenkomst naar de locatie of het gebouw.
- Alleen bevoegd personeel mag toegang krijgen tot terreinen en gebouwen.
- Bouw, indien van toepassing, fysieke barrières om ongeoorloofde fysieke toegang te belemmeren en milieuvervuiling te voorkomen.
- Het is noodzakelijk om inbraakdetectiesystemen te installeren die voldoen aan nationale, regionale of internationale normen en deze regelmatig te testen om alle buitendeuren en toegankelijke ramen te beveiligen.
- Alle onbewoonde ruimtes moeten te allen tijde voorzien zijn van een alarmsysteem.
- We moeten zorgen voor dekking van andere gebieden, zoals computer- en communicatieruimtes.
- De organisatie moet haar informatieverwerkingsfaciliteiten fysiek gescheiden houden van de faciliteiten die door externe bronnen worden beheerd.
Geen enkele weglating vermindert de effectiviteit van de nieuwe ISO 27001:2022-norm; in plaats daarvan werden ze geëlimineerd om de bediening gemakkelijker te gebruiken en te begrijpen.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Wie is verantwoordelijk voor dit proces?
De Chief Information Officer (CIO) is de leider die verantwoordelijk is voor het beveiligen van bedrijfsgegevens en -systemen. Ze werken samen met andere leidinggevenden om veiligheid in overweging te nemen bij het nemen van zakelijke beslissingen, zoals de Chief Financial Officer en de Chief Executive Officer. Het implementeren van beleid en procedures om de informatie van het bedrijf te beschermen is een belangrijk onderdeel van de rol van de CIO.
De Chief Financial Officer speelt een rol bij het bepalen van de fysieke veiligheidsperimeters. In samenwerking met andere leidinggevenden op het hoogste niveau, waaronder de CIO, beslissen zij hoeveel ze investeren in fysieke beveiligingsmaatregelen, zoals bewakingscamera's, toegangscontroles en alarmen.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wat betekenen deze veranderingen voor u?
ISO 27001:2022 is geen ingrijpende herziening, dus er zijn geen significante wijzigingen nodig om te voldoen.
Het is de moeite waard om uw huidige implementatie te onderzoeken om te garanderen dat deze in overeenstemming is met de nieuwe vereisten. Met name als er wijzigingen zijn aangebracht sinds de versie van 2013. Het is de moeite waard om deze wijzigingen opnieuw te beoordelen om te bepalen of ze geldig blijven of moeten worden gewijzigd.
Hoe ISMS.Online helpt
ISMS.online kan helpen bij het bewijzen van ISO 27001-naleving door een online systeem aan te bieden dat de opslag van documenten op één toegankelijke locatie mogelijk maakt. Het vergemakkelijkt ook de ontwikkeling van checklists voor elk document, waardoor de beoordeling en wijziging van documenten wordt vergemakkelijkt.
Wilt u ervaren hoe het werkt?
Neem vandaag nog contact met ons op reserveer een demonstratie.