- Bekijk ISO 27002:2022 Controle 7.10 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 8.3.1 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 8.3.2 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 8.3.3 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 11.2.5 voor meer informatie.
ISO 27001 Bijlage A 7.10: Bescherming van gevoelige gegevens op opslagmedia
Het gebruik van opslagmedia-apparaten, zoals SSD's, USB's, externe schijven en mobiele apparaten, is essentieel voor tal van essentiële informatieverwerkingsactiviteiten, waaronder gegevensback-up, opslag en overdracht.
Het opslaan van gevoelige en belangrijke gegevens op deze apparaten brengt risico's met zich mee voor de nauwkeurigheid, geheimhouding en toegankelijkheid van informatiebronnen. Deze risico's kunnen betrekking hebben op de verdwijning of diefstal van opslagmedia met vertrouwelijke informatie, de overdracht van malware via alle bedrijfscomputernetwerken via de opslagmedia, en de storing of vermindering van de kwaliteit van opslagmedia die worden gebruikt voor back-up.
ISO 27001:2022 Annex A 7.10 schetst de stappen die organisaties moeten nemen om de veiligheid van opslagmedia gedurende de gehele levenscyclus te garanderen, van aanschaf tot verwijdering. Er moeten beleidsmaatregelen en controles worden ingevoerd om de veiligheid ervan te garanderen.
Doel van ISO 27001:2022 Bijlage A 7.10
ISO 27001:2022 Annex A 7.10 faciliteert organisaties bij het beperken en uitroeien van risico's die verband houden met ongeoorloofde toegang, gebruik, verwijdering, wijziging en overdracht van vertrouwelijke gegevens op opslagmedia-apparaten. Het stelt procedures vast voor het beheer van opslagmedia gedurende de gehele levenscyclus ervan.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wat valt onder bijlage A 7.10?
ISO 27001:2022 Bijlage A 7.10 heeft betrekking op zowel digitale als fysieke opslagmedia. Ook de opslag van gegevens op fysieke documenten valt onder deze controle.
Naast verwijderbare opslagmedia vallen harde schijven als vorm van vaste opslag ook onder ISO 27001:2022 bijlage A 7.10.
Eigendom van bijlage A 7.10
ISO 27001:2022 Bijlage A 7.10 geeft organisaties de opdracht om passende procedures, technische controles en organisatiebreed beleid te creëren en uit te voeren met betrekking tot het gebruik van opslagmedia volgens het eigen classificatieschema van de organisatie en eventuele gegevensverwerking vereisten zoals wettelijke en contractuele vereisten voorwaarden.
Informatiebeveiligingsmanagers moet de leiding nemen over de hele compliancecyclus.
Leidraad voor ISO 27001:2022 bijlage A 7.10 Naleving
Verwisselbare opslagmedia
Verwisselbare media zijn onmisbaar voor veel bedrijfsactiviteiten en worden veel gebruikt door personeel. Ze vormen echter het grootste risico voor gevoelige gegevens.
ISO 27001:2022 Annex A 7.10 zet tien voorwaarden uiteen die organisaties in acht moeten nemen voor het beheer van verwijderbare opslagmedia tijdens de levenscyclus ervan:
- Organisaties zouden een beleid moeten creëren dat zich richt op de aanschaf, autorisatie, gebruik en verwijdering van verwijderbare opslagmedia, waarbij al het personeel en de betrokken partijen op de hoogte moeten worden gesteld van het bestaan ervan.
- Organisaties moeten, waar dit praktisch en noodzakelijk is, autorisatieprocedures implementeren voor het meenemen van verwijderbare opslagmedia uit bedrijfsruimten. Bovendien moet er een logboek van verwijderingen worden bijgehouden audit-tracking.
- Bewaar alle verwijderbare opslagmedia op een veilige plaats, zoals een kluis, rekening houdend met de informatie classificatie niveau dat aan de informatie wordt toegekend en eventuele ecologische en fysieke bedreigingen voor de media.
- Als het handhaven van de vertrouwelijkheid en betrouwbaarheid van de informatie op verwijderbare media van het grootste belang is, moeten cryptografische methoden worden gebruikt om de media te beschermen tegen ongeoorloofde toegang.
- Om beschadiging van verwijderbare opslagmedia en gegevensverlies te voorkomen, moet de informatie naar een nieuw opslagmedium worden verplaatst voordat het risico zich voordoet.
- Het is van cruciaal belang om gevoelige gegevens op meerdere opslagmedia te kopiëren en op te slaan om de kans te verkleinen dat kritieke informatie verloren gaat.
- Om de kans op volledig gegevensverlies te verkleinen, kan het registreren van verwisselbare opslagmedia een haalbare oplossing zijn.
- Tenzij er een zakelijke noodzaak is, mogen USB-poorten en SD-kaartsleuven niet worden gebruikt.
- Het is noodzakelijk om de overdracht van informatie naar verwijderbare opslagmedia te controleren.
- Bij het overbrengen van informatie uit fysieke documenten per post of koerier is er een grote kans op ongeoorloofde toegang. Om dit tegen te gaan moeten passende maatregelen worden genomen.
Leidraad voor veilig hergebruik en verwijdering van opslagmedia
ISO 27001:2022 Bijlage A 7.10 biedt richtlijnen voor het veilig hergebruiken en verwijderen van opslagmedia om organisaties te helpen het gevaar van schending van de vertrouwelijkheid van informatie te verminderen en weg te nemen.
bijlage A 7.10 stelt dat organisaties plannen moeten opstellen en uitvoeren voor het recyclen en weggooien van opslagmedia, rekening houdend met de gevoeligheid van de gegevens die op de opslagmedia worden bewaard.
Organisaties moeten bij het opzetten van deze maatregelen rekening houden met het volgende:
- Als de interne partij van een organisatie een opslagmedium wil hergebruiken, moet gevoelige informatie die daarop wordt gehost onherroepelijk worden verwijderd of opnieuw worden geformatteerd voordat toestemming wordt verleend.
- Veilige vernietiging van opslagmedia waarop gevoelige informatie wordt gehost, is noodzakelijk zodra deze niet langer nodig is. Papieren documenten kunnen worden versnipperd en digitale apparatuur kan fysiek worden vernietigd.
- Er moet een systeem worden ontwikkeld om opslagmedia te identificeren die moeten worden weggegooid.
- Organisaties moeten due diligence uitvoeren bij het selecteren van een externe partij voor het inzamelen en afvoeren van opslagmedia, waarbij ervoor moet worden gezorgd dat de gekozen leverancier competent is en over de juiste controles beschikt.
- Het documenteren van alle verwijderde items voor een audittrail.
- Wanneer meerdere opslagmedia samen worden weggegooid, moet rekening worden gehouden met het cumulatieve effect: het combineren van verschillende stukjes gegevens van elk opslagmedium kan resulteren in de transformatie van niet-gevoelige informatie in gevoelig materiaal.
Ten slotte verplicht ISO 27001:2022 Annex A 7.10 organisaties om het risico van vertrouwelijke gegevens die zijn opgeslagen op beschadigde apparatuur te evalueren, om te bepalen of de apparatuur moet worden vernietigd of gerepareerd.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 7.10 vervangt ISO 27001:2013 Bijlage A 08.3.1, 08.3.2, 08.3.3 en 11.2.5.
Er zijn vier opmerkelijke verschillen.
Veranderingen in structuur
In tegenstelling tot de versie van 2013, die drie afzonderlijke controles had voor mediabeheer, mediaverwijdering en fysieke mediaoverdracht, combineert de versie van 2022 deze onder bijlage A 7.10.
Vereisten voor hergebruik van opslagmedia toegevoegd aan versie 2022
In tegenstelling tot de versie uit 2013, die alleen betrekking had op het veilig verwijderen van media, bevat de versie uit 2022 ook vereisten voor veilig hergebruik van media.
De vereisten voor fysieke overdracht zijn uitgebreider in de versie van 2013
De versie uit 2013 stelde uitgebreidere eisen voor het fysiek overbrengen van opslagmedia, inclusief ID-verificatie voor koeriers en verpakkingsnormen. Daarentegen suggereert bijlage A 7 7.10 in de versie van 2022 alleen dat organisaties voorzichtig moeten handelen bij het selecteren van koeriers.
Onderwerpspecifiek beleid voor verwijderbare opslagmedia vereist in versie 2022
Hoewel de versies van 2022 en 2013 vergelijkbaar zijn wat betreft vereisten voor verwijderbare opslagmedia, schrijft de versie van 2022 een onderwerpspecifiek beleid voor verwijderbare opslagmedia voor. De versie uit 2013 voldeed niet aan deze vereiste.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
ISMS.online hanteert een risicogebaseerde aanpak, waarbij gebruik wordt gemaakt van toonaangevende best practices en sjablonen, om u te helpen de risico's waaraan uw organisatie wordt blootgesteld te detecteren en de controles uit te voeren die nodig zijn om deze te beheren. Dit helpt bij het verminderen van zowel de risico's als de compliancekosten.
Neem nu contact met ons op een demonstratie organiseren.