Versterking van fysieke beveiliging met ISO 27001:2022-naleving
In het geval dat ongeautoriseerde toegang wordt verleend tot beperkte fysieke ruimtes zoals serverruimtes en IT-apparatuurruimtes, informatie-activa kan in gevaar komen op het gebied van vertrouwelijkheid, beschikbaarheid, integriteit en veiligheid.
In ISO 27001:2022 bijlage A 7.4 wordt voorkomen dat indringers zonder toestemming gevoelige fysieke gebouwen betreden.
Het doel van ISO 27001:2022 bijlage A 7.4?
Bijlage A Controle 7.4 vereist dat organisaties passende surveillance-instrumenten implementeren. Dit is om te detecteren en te voorkomen dat externe en interne indringers zonder toestemming beperkte fysieke gebieden betreden.
Bewakingsinstrumenten die gebieden met beperkte toegang kunnen bewaken en registreren, beschermen tegen risico's die voortkomen uit ongeoorloofde toegang tot gebieden met beperkte toegang, inclusief maar niet beperkt tot:
- Data diefstal.
- Het verlies van informatiemiddelen.
- Financiële schade.
- Verwijdering van verwijderbare media-items voor kwaadaardige doeleinden.
- Malware-infectie van IT-middelen.
- Aanvallen worden uitgevoerd door een indringer met behulp van ransomware.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wie is eigenaar van bijlage A 7.4?
Volgens ISO 27001 bijlage A Controle 7.4: naleving van deze controle vereist de identificatie van alle beperkte gebieden. Het vereist ook de identificatie van bewakingsinstrumenten die geschikt zijn voor het specifieke fysieke gebied dat moet worden bewaakt.
Daarom moet de hoofdveiligheidsfunctionaris op een effectieve manier verantwoordelijk zijn voor de implementatie, het onderhoud, het beheer en de beoordeling van bewakingssystemen.
Leidraad voor het naleven van ISO 27001:2022 bijlage A 7.4
Volgens ISO 27001 Annex A Controle 7.4 moeten organisaties de volgende drie stappen implementeren om ongeoorloofde toegang tot faciliteiten die kritieke informatie bevatten te detecteren en te ontmoedigen en te voorkomen dat deze in gevaar komen.
Installeer een videobewakingssysteem om de situatie in de gaten te houden
Om de toegang tot beperkte gebieden waar kritieke informatie wordt opgeslagen voortdurend te kunnen monitoren, moet een organisatie beschikken over een videobewakingssysteem, zoals CCTV-camera's. Dit is een voorbeeld van een dergelijk systeem. Bovendien is het ook van cruciaal belang dat dit bewakingssysteem alle in- en uitgangen van het pand registreert.
Detectoren installeren om een alarm te activeren
De mogelijkheid om een alarm te activeren wanneer een indringer het fysieke pand betreedt, stelt het beveiligingsteam in staat snel te reageren op elke inbreuk op de beveiliging. Het kan ook een effectieve manier zijn om indringers ervan te weerhouden uw huis binnen te komen.
Het wordt aanbevolen dat organisaties bewegings-, geluids- en contactdetectoren aanschaffen die hen waarschuwen wanneer abnormale activiteit wordt gedetecteerd binnen de fysieke gebouwen van de organisatie.
Dit omvat, maar is niet beperkt tot:
- Er moet een contactdetector in de omgeving worden geïnstalleerd. Wanneer een onbekend object of individu in contact komt met een specifiek object of het contact met een bepaald object verbreekt, moet er een alarm worden geactiveerd. Een contactdetector kan bijvoorbeeld worden geconfigureerd om een alarm te activeren wanneer de contactdetector contact maakt met een raam of deur.
- De bewegingsdetectoren kunnen worden geconfigureerd om u te waarschuwen als ze binnen hun gezichtsveld beweging detecteren van een object dat binnen hun gezichtsveld beweegt.
- Een geluidsmelder, zoals een glasbreukmelder, kan worden geactiveerd wanneer hij een geluid detecteert, wat auto-ongelukken kan helpen voorkomen.
Configuratie van alarmen voor alle interne gebouwen
Het is absoluut noodzakelijk om ervoor te zorgen dat het alarmsysteem op de juiste manier is geconfigureerd. Dit zorgt ervoor dat alle gevoelige gebieden, inclusief alle buitendeuren, ramen, onbezette gebieden en computerruimtes, zich binnen het bereik van het alarmsysteem bevinden. Hierdoor wordt voorkomen dat eventuele kwetsbaarheden worden misbruikt.
Indringers kunnen bijvoorbeeld rookruimtes of ingangen van sportscholen gebruiken als aanvalsvectoren als ze niet worden gecontroleerd.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
De soorten bewakingssystemen die beschikbaar zijn
Hoewel ISO 27001 Bijlage A Controle 7.4 schrijft niet voor dat organisaties het ene surveillancesysteem boven het andere moeten verkiezen; het vermeldt wel verschillende surveillance-instrumenten die afzonderlijk of in combinatie met andere kunnen worden gebruikt, waaronder:
- Bewakingscamera's.
- Bewakers.
- Inbraakalarmsystemen.
- Software voor fysiek beveiligingsbeheer.
ISO 27001:2022 Bijlage A 7.4 Aanvullende richtlijnen
De volgende overwegingen moeten in overweging worden genomen bij het implementeren van fysieke beveiligingsmonitoringsystemen volgens bijlage A Controle 7.4:
- Het handhaven van de vertrouwelijkheid over het ontwerp en de interne werking van monitoringsystemen is essentieel.
- Om het risico van het op afstand uitschakelen van monitoringsystemen door kwaadwillende partijen te elimineren, moeten passende maatregelen worden geïmplementeerd. Deze maatregelen moeten worden geïmplementeerd om de openbaarmaking van monitoringactiviteitenen videofeeds naar ongeautoriseerde partijen.
- Het is van essentieel belang dat de alarmcentrale zich in een met alarm uitgeruste ruimte bevindt. Daarnaast is het van essentieel belang dat de persoon die het alarm activeert een veilige en gemakkelijke toegang heeft om de ruimte te verlaten.
- Er moet gebruik worden gemaakt van een sabotagebestendige detector en een alarmbedieningspaneel.
- Individuen mogen alleen voor legitieme doeleinden worden gemonitord en geregistreerd met behulp van bewakingssystemen. Deze monitoring en registratie moet voldoen aan alle toepasselijke wet- en regelgeving, inclusief wetgeving inzake gegevensbescherming. Bijvoorbeeld de EU en Groot-Brittannië GDPR kan organisaties verplichten een effectbeoordeling uit te voeren voordat zij CCTV-camera's inzetten. Bovendien moet de opname van videofeeds voldoen aan de bewaartermijnen voor gegevens die zijn vastgelegd in de toepasselijke lokale wetgeving.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wat zijn de veranderingen ten opzichte van ISO 27001:2013?
Het is relevant om op te merken dat controle 7.4 een gloednieuwe bijlage A-controle is die niet aan bod komt in ISO 27001:2013.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
De voordelen van ISMS.online
ISMS.online biedt een breed scala aan krachtige tools die de implementatie, het onderhoud en de verbetering van uw informatiebeveiligingsbeheersysteem (ISMS) vereenvoudigen om te voldoen aan de ISO 27001-compliancevereisten.
Naast het aanbieden van uitgebreide tools, Met ISMS.online kunt u creëren beleid en procedures op maat, afgestemd op de risico's en vereisten van uw organisatie. Het maakt ook samenwerking mogelijk tussen collega's en externe partners zoals leveranciers of externe auditors.
Neem vandaag nog contact op met boek een demo.