- Bekijk ISO 27002:2022 Controle 7.9 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 11.2.6 voor meer informatie.
ISO 27001:2022 Controle 7.9 – Beveiliging van activa buiten het kantoor
Wanneer apparaten die waardevolle informatie bevatten, worden verwijderd van de fysieke locatie van de organisatie, zijn ze gevoeliger voor schade, diefstal, verlies, vernietiging of inbreuk.
Fysieke beveiligingscontroles binnen de faciliteiten van een organisatie zullen niet effectief zijn, waardoor de externe activa worden blootgesteld aan bedreigingen zoals fysieke risico's en kwaadwillende personen die ongeautoriseerde toegang proberen te verkrijgen.
Werknemers het werken op afstand kunnen bedrijfscomputers met vertrouwelijke gegevens meenemen uit het bedrijf, werken in een café, hotellobby, enz., verbinding maken met onbeveiligde openbare wifi en hun apparaten onbeheerd achterlaten. Deze acties vormen een risico voor de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid van de informatie op de apparaten.
Organisaties moeten ervoor zorgen dat apparaten die buiten het pand worden meegenomen, veilig blijven.
ISO 27001:2022 bijlage A 7.9 schetst hoe organisaties de veiligheid kunnen garanderen van apparaten die zich ver van de hoofdlocatie bevinden en waarop informatiemiddelen worden gehost. Om dit te bereiken moeten zij passende controles en procedures opzetten.
Doel van ISO 27001:2022 Bijlage A 7.9
ISO 27001:2022 Bijlage A 7.9 stelt organisaties in staat de veiligheid van informatiemiddelen die in hardware zijn ondergebracht te waarborgen door twee afzonderlijke risico's te dwarsbomen:
- Het minimaliseren van de kans dat gegevensmiddelen op externe apparaten verloren gaan, beschadigd raken, worden vernietigd of worden blootgesteld.
- Het vermijden van onderbrekingen in het bedrijf gegevensverwerking operaties tegen de inbreuk op externe apparaten.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Eigendom van bijlage A 7.9
ISO 27001:2022 Annex A 7.9 verplicht organisaties om protocollen en voorschriften op te stellen en te implementeren die betrekking hebben op alle apparaten die eigendom zijn van of gebruikt worden namens het bedrijf. Bovendien is het voor de effectieve bescherming van externe apparaten van cruciaal belang dat er een activa-inventaris wordt gemaakt en dat het hogere management het gebruik van persoonlijke apparaten goedkeurt.
De Informatiebeveiligingsmanager moet overleggen met het management en de eigenaren van activa en verantwoordelijk zijn voor het ontwikkelen, uitvoeren en onderhouden van procedures en maatregelen om de veiligheid te garanderen van apparaten die buiten bedrijfsruimten worden meegenomen.
Algemene richtlijn voor ISO 27001:2022 bijlage A 7.9 Naleving
bijlage A 7.9 beschrijft zes vereisten die organisaties in acht moeten nemen bij het opstellen en toepassen van maatregelen en protocollen voor de bescherming van activa die uit het pand worden verwijderd:
- Computers, USB's, harde schijven en monitoren die door het bedrijf buiten de locatie worden meegenomen, mogen nooit onbeheerd worden achtergelaten in openbare ruimtes zoals cafés, noch op een onveilige locatie.
- Houd u te allen tijde aan de instructies en specificaties van de fabrikant van het apparaat met betrekking tot de fysieke bescherming van het apparaat. Houd u bijvoorbeeld aan hun instructies over het beschermen van het apparaat tegen water, hitte, elektromagnetische velden en stof.
- Werknemers en andere organisaties die computerapparatuur meenemen naar buiten het bedrijfsterrein moeten een logboek bijhouden waarin de bewakingsketen wordt beschreven. Dit logboek moet minimaal de namen bevatten van de personen die verantwoordelijk zijn voor het apparaat, en hun organisatie.
- Als een organisatie vindt dat autorisatie noodzakelijk en praktisch is voor het verwijderen van apparatuur uit bedrijfsruimten, moet zij een procedure opstellen. Deze procedure moet betrekking hebben op het meenemen van bepaalde apparatuur naar een andere locatie en een register bijhouden van alle verwijderingsacties om de organisatie te voorzien van een overzicht controlespoor.
- Het is essentieel om de nodige stappen te ondernemen om het gevaar van het niet-goedgekeurd bekijken van gegevens op de schermen van het openbaar vervoer te voorkomen.
- De organisatie moet tools voor locatietracking installeren en externe toegang mogelijk maken, zodat de locatie van het apparaat kan worden gecontroleerd en, indien nodig, alle gegevens die op het apparaat zijn opgeslagen op afstand kunnen worden gewist.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Aanvullend richtsnoer bij bijlage A 7.9
ISO 27001:2022 Bijlage A 7.9 bevat eisen voor het beschermen van apparatuur die permanent buiten de gebouwen van een bedrijf wordt geïnstalleerd.
Deze apparatuur kan bestaan uit antennes en geldautomaten.
Gezien het verhoogde risico op schade en verlies van deze apparatuur, vereist bijlage A 7.9 dat organisaties rekening houden met het volgende wanneer ze deze buiten de locatie beveiligen:
- Er moet rekening worden gehouden met ISO 27001:2022 bijlage A 7.4, Fysieke beveiligingsmonitoring.
- Zorg ervoor dat rekening wordt gehouden met ISO 27001:2022 bijlage A 7.5, namelijk de bescherming tegen omgevings- en fysieke bedreigingen.
- Er moeten toegangscontroles worden ingesteld en er moeten passende maatregelen worden genomen om interferentie te stoppen.
- Creëer en pas logische toegangscontroles toe.
Bijlage A 7.9 adviseert organisaties bijlage A 6.7 en bijlage A 8.1 in gedachten te houden bij het formuleren en invoeren van maatregelen ter beveiliging van apparaten en apparatuur.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 7.9 vervangt ISO 27001:2013 Bijlage A 11.2.6.
Er zijn drie belangrijke verschillen die moeten worden opgemerkt:
ISO 27001:2022 Annex A Control 7.9 vereist een uitgebreide set instructies.
Bijlage A 7.9 introduceert twee nieuwe eisen in vergelijking met de ISO 27001:2013-versie:
- Er moeten passende maatregelen worden genomen om te voorkomen dat onbevoegden de informatie zien die in het openbaar vervoer wordt getoond.
- Locatiebewaking en toegang op afstand moeten mogelijk worden gemaakt om het volgen van het apparaat mogelijk te maken en de mogelijkheid te bieden om indien nodig op afstand opgeslagen informatie op het apparaat te wissen.
Bijlage A 7.9 introduceert nieuwe criteria voor apparaten die zich permanent buiten het pand bevinden.
In vergelijking met de ISO 27001:2013-versie biedt ISO 27001:2022 bijlage A 7.9 duidelijk advies over het beveiligen van apparatuur die op een externe locatie is bevestigd.
Het kan hierbij gaan om antennes en geldautomaten.
Het verbod op werken op afstand is ingevoerd om de risico's te verminderen.
De ISO 27001:2013-versie maakte duidelijk dat organisaties werknemers konden verbieden om op afstand te werken als dit consistent was met de geïdentificeerde risiconiveaus. De ISO 27001:2022-versie vermeldt dit daarentegen niet.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
ISMS.online is de perfecte tool voor het beheren van een ISO 27001:2022-implementatie. Het is op maat gemaakt om bedrijven te helpen bij het implementeren van een informatiebeveiligingsbeheersysteem (ISMS) dat voldoet aan de normen van ISO 27001:2022.
Het platform maakt gebruik van een op risico's gebaseerde aanpak, naast hoogwaardige best practices en sjablonen, om u te helpen bij het herkennen van de risico's waarmee uw organisatie wordt geconfronteerd en bij de noodzakelijke controles om deze te beheren. Door dit te doen, kunt u zowel uw risicoblootstelling als de nalevingskosten effectief minimaliseren.
Neem nu contact met ons op een demonstratie organiseren.