- Bekijk ISO 27002:2022 Controle 8.22 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 13.1.3 voor meer informatie.
ISO 27001 Bijlage A 8.22: Versterking van de beveiliging door middel van netwerksegregatie
Wanneer cybercriminelen computersystemen, diensten of apparaten infiltreren, beperken ze zich niet alleen tot die middelen.
Ze maken gebruik van de eerste infiltratie om het hele netwerk van een bedrijf binnen te dringen, toegang te krijgen tot gevoelige gegevens of om ransomware-aanvallen uit te voeren.
Cybercriminelen zouden na een succesvolle phishing-aanval de inloggegevens van HR-personeel in een ziekenhuis kunnen stelen, waardoor ze toegang krijgen tot HR-systemen.
Met behulp van hun toegangspunt kunnen de aanvallers het netwerk doorkruisen en netwerken blootleggen die vertrouwelijke patiëntgegevens bevatten. Deze inbreuk kan leiden tot gegevensverlies, verstoring van de bedrijfsvoering of zelfs de deur openen voor een ransomware-aanval.
Het ziekenhuis kan ongeoorloofde toegang tot vertrouwelijke gegevens voorkomen en de gevolgen van een inbreuk beperken door gebruik te maken van netwerksegmentatietechnieken zoals firewalls, virtuele netwerken of serverisolatie.
ISO 27001:2022 Annex A 8.22 schetst hoe bedrijven geschikte methoden voor netwerksegregatie kunnen toepassen en behouden om risico's voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatiemiddelen te voorkomen.
Doel van ISO 27001:2022 Bijlage A 8.22
ISO 27001:2022 Annex A 8.22 staat organisaties toe hun IT-netwerken op te delen in subnetwerken, afhankelijk van de mate van gevoeligheid en belang, en de overdracht van informatie tussen die verschillende subnetwerken te beperken.
Organisaties kunnen dit gebruiken om te voorkomen dat malware en virussen zich verspreiden van geïnfecteerde netwerken naar netwerken die gevoelige gegevens bevatten.
Dit garandeert dat organisaties veilig de vertrouwelijkheid, integriteit en toegankelijkheid van gegevensmiddelen die zijn opgeslagen op essentiële subnetwerken.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Eigendom van bijlage A 8.22
De Information Security Officer moet verantwoordelijk worden gehouden voor het naleven van ISO 27001:2022 bijlage A 8.22, die de segmentatie van netwerken, apparaten en systemen vereist op basis van risico's en de toepassing van netwerksegregatietechnieken en -procedures.
Algemene richtlijn voor ISO 27001:2022 bijlage A 8.22 Naleving
Organisaties moeten ernaar streven om een evenwicht te bereiken tussen operationele behoeften en veiligheidsproblemen bij het instellen van regels voor netwerksegregatie.
ISO 27001:2022 bijlage A Controle 8.22 biedt drie aanbevelingen waarmee rekening moet worden gehouden bij het opzetten van netwerksegregatie.
Hoe u het netwerk kunt opsplitsen in kleinere subnetwerken
Bij het opsplitsen van het netwerk in kleinere subdomeinen moeten organisaties rekening houden met de gevoeligheid en het belang van elk netwerkdomein. Afhankelijk van deze beoordeling kunnen netwerksubdomeinen worden bestempeld als 'publieke domeinen', 'desktopdomeinen', 'serverdomeinen' of 'systemen met een hoog risico'.
Organisaties moeten rekening houden met bedrijfsafdelingen zoals HR, marketing en financiën bij het segmenteren van hun netwerk.
Organisaties kunnen deze twee criteria ook samenvoegen, door netwerksubdomeinen in categorieën in te delen, zoals ‘serverdomein dat is gekoppeld aan de verkoopafdeling’.
Beveiligingsperimeters en toegangscontrole
Organisaties moeten de grenzen van elk netwerksubdomein expliciet afbakenen. Als er toegang moet zijn tussen twee verschillende netwerkdomeinen, moet deze verbinding op perimetrisch niveau worden beperkt door het gebruik van gateways zoals firewalls of filterrouters.
Organisaties moeten de beveiligingsbehoeften voor elk domein evalueren bij het tot stand brengen van netwerkscheiding en bij het verlenen van toegang via gateways.
Deze beoordeling moet worden uitgevoerd in overeenstemming met het toegangscontrolebeleid dat is voorgeschreven door ISO 27001:2022 bijlage A 5.15, waarbij rekening moet worden gehouden met het volgende:
- De classificatie die aan info-items wordt toegewezen, is op welk niveau.
- Het belang van de informatie staat voorop.
- Kosten en bruikbaarheid zijn belangrijke factoren bij het beslissen welke gatewaytechnologie moet worden gebruikt.
Draadloze netwerken
ISO 27001:2022 Bijlage A 8.22 beveelt organisaties aan de volgende praktijken in acht te nemen bij het creëren van netwerkbeveiligingsparameters voor draadloze netwerken:
- Evalueer het gebruik van methoden voor aanpassing van de radiodekking om draadloze netwerken te verdelen.
- Voor kwetsbare netwerken kunnen organisaties alle draadloze toegangspogingen als externe verbindingen beschouwen en de toegang tot interne netwerken verbieden totdat de gatewaycontrole toestemming geeft.
- Personeel mag de eigen devices alleen gebruiken in overeenstemming met het beleid van de organisatie; de netwerktoegang voor personeel en gasten moet gescheiden worden gehouden.
- Voor bezoekers moeten dezelfde regels met betrekking tot Wi-Fi-gebruik gelden als teamleden.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Aanvullend richtsnoer bij ISO 27001:2022 bijlage A 8.22
Organisaties moeten ervoor zorgen dat alle zakelijke partnerschappen onderworpen zijn aan passende beveiligingsmaatregelen. Bijlage A 8.22 adviseert organisaties om maatregelen te implementeren om hun netwerk, IT-apparaten en andere informatiefaciliteiten te beschermen wanneer ze samenwerken met zakelijke partners.
Gevoelige netwerken kunnen worden blootgesteld aan een verhoogd risico op ongeoorloofde toegang. Om zich hiertegen te beschermen, moeten organisaties de juiste stappen ondernemen.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 8.22 vervangt ISO 27001:2013 Bijlage A 13.1.3 in de laatste ISO-revisie.
In vergelijking met ISO 27001:2013 vereist de herziening van ISO 27001:2022 het volgende van draadloze netwerken:
- Als medewerkers zich aan het beleid van de organisatie houden en alleen hun eigen apparaten gebruiken, moet de draadloze netwerktoegang voor personeel en bezoekers gescheiden worden gehouden.
- Gasten moeten onderworpen zijn aan dezelfde beperkingen en controles met betrekking tot Wi-Fi als personeel.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
ISMS.Online faciliteert u om:
- Documentprocessen eenvoudig met deze gebruiksvriendelijke interface. Er is geen software-installatie op uw computer of netwerk vereist.
- Stroomlijn uw risico-evaluatieprocedure door deze te automatiseren.
- Realiseer eenvoudig naleving door gebruik te maken van online rapporten en checklists.
- Houd uw voortgang bij terwijl u toewerkt naar certificering.
ISMS.online biedt een uitgebreide set functionaliteiten om organisaties en bedrijven te helpen bij het voldoen aan de branche ISO 27002 en/of ISO 27001:2022 ISMS-standaard.
Neem contact met ons op een demonstratie organiseren.