- Bekijk ISO 27002:2022 Controle 8.24 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 10.1.1 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 10.1.2 voor meer informatie.
Bijlage A 8.24 Uitgelegd: Implementeren van veilige cryptografische controles
Bij het verzenden van informatie tussen netwerken en apparaten kunnen cyberaanvallers proberen gevoelige gegevens te stelen, de inhoud te wijzigen, afzenders/ontvangers te imiteren om ongeautoriseerde toegang te verkrijgen, of de uitwisseling te onderscheppen.
Cybercriminelen kunnen gebruik maken van man-in-the-middle (MITM) aanvallen, het onderscheppen van datatransmissies en het zich voordoen als de server om de afzender ertoe te brengen inloggegevens te onthullen. Met deze inloggegevens kunnen ze toegang krijgen tot systemen en gevoelige gegevens in gevaar brengen.
Cryptografie, zoals encryptie, kan de vertrouwelijkheid, integriteit en beschikbaarheid van informatie tijdens het transport effectief waarborgen.
Cryptografische technieken kunnen informatiemiddelen veilig houden wanneer ze niet worden gebruikt. Ze zorgen ervoor dat de gegevens worden beschermd tegen ongeoorloofde toegang of wijziging.
ISO 27001:2022 Annex A 8.24 schetst hoe organisaties regels en processen met betrekking tot het gebruik van cryptografie kunnen creëren en toepassen.
Doel van ISO 27001:2022 Bijlage A 8.24
ISO 27001:2022 Bijlage A 8.24 stelt organisaties in staat de vertrouwelijkheid, integriteit, authenticiteit en beschikbaarheid van informatiemiddelen te waarborgen door correcte toepassing van cryptografie en door aan de volgende criteria te voldoen:
- Zakelijke vereisten zijn een must.
- Verzekeren informatiebeveiliging door de implementatie van strenge eisen.
- Statutaire, contractuele en organisatorische mandaten vereisen het gebruik van cryptografie.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Eigendom op bijlage A 8.24
Het voldoen aan bijlage A 8.24 vereist de implementatie van een beleid inzake cryptografie, het opzetten van een efficiënt sleutelbeheerproces en het bepalen van het type cryptografische techniek dat van toepassing is op de gegevensclassificatie van een bepaald informatiemiddel.
De Chief Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten van goede regelgeving en protocollen met betrekking tot cryptografische sleutels.
Algemene richtlijn voor ISO 27001:2022 bijlage A 8.24 Naleving
ISO 27001:2022 bijlage A Controle 8.24 bepaalt zeven eisen die organisaties in acht moeten nemen bij het gebruik van cryptografische methoden:
- Organisaties moeten beleid hebben met betrekking tot het gebruik van cryptografie, om de voordelen ervan te maximaliseren en de risico’s te verminderen. Dit beleid moet ook algemene beginselen voor de bescherming van informatie schetsen.
- Organisaties moeten bij het selecteren van het type, de kracht en de kwaliteit van het versleutelingsalgoritme rekening houden met de kwetsbaarheid van hun informatiebronnen en met het informatieclassificatieniveau dat hen is toegewezen.
- Organisaties zouden cryptografische benaderingen moeten gebruiken bij het overbrengen van informatie naar draagbare apparaten, media-apparatuur of wanneer deze daarop wordt opgeslagen.
- Organisaties moeten alle zaken aanpakken die verband houden met sleutelbeheer, zoals het vormen en afschermen van cryptografische sleutels en het hebben van een schema voor gegevensherstel in het geval dat de sleutels ontbreken of kwetsbaar zijn.
- Organisaties moeten de rollen en verantwoordelijkheden definiëren voor het volgende:
- De regels voor het gebruik van cryptografische technieken moeten worden vastgesteld en gehandhaafd.
- Omgaan met sleutels, inclusief het genereren ervan.
- De organisatie adopteert en keurt standaarden goed die de cryptografische algoritmen, de coderingssterkte en de gebruikspraktijken van cryptografie omvatten.
- Organisaties moeten rekening houden met de potentiële impact van encryptie op de effectiviteit van de controles op de inhoudsinspectie, zoals de detectie van malware.
ISO 27001:2022 Annex A 8.24 benadrukt dat organisaties rekening moeten houden met wettelijke vereisten en beperkingen die van invloed kunnen zijn op het gebruik van cryptografie, inclusief de internationale overdracht van gecodeerde informatie.
Organisaties moeten rekening houden met aansprakelijkheid en continuïteit van diensten wanneer zij serviceovereenkomsten aangaan met externe aanbieders van cryptografische diensten.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Begeleiding bij sleutelbeheer
Organisaties moeten veilige processen opzetten en volgen voor het genereren, opslaan, ophalen en verwijderen van cryptografische sleutels.
Organisaties zouden een solide sleutelbeheersysteem moeten installeren dat regels, procedures en criteria bevat voor:
- Het genereren van cryptografische sleutels voor een verscheidenheid aan systemen en toepassingen is noodzakelijk.
- Het uitgeven en verkrijgen van public-key certificaten.
- Verdeel sleutels onder de beoogde ontvangers, inclusief de procedure voor sleutelactivering.
- Sleutels moeten veilig worden opgeborgen. Degenen die geautoriseerd zijn om toegang te krijgen, kunnen dit doen met de benodigde inloggegevens.
- Wisselen van sleutels.
- Het omgaan met gecompromitteerde sleutels moet serieus worden genomen.
- Als sleutels in gevaar komen of als geautoriseerd personeel een organisatie verlaat, moeten deze worden ingetrokken.
- Herstel van verloren sleutels.
- Sleutelback-up en archivering moeten regelmatig worden uitgevoerd.
- Sleutels vernietigen.
- Houd een register bij van alle activiteiten die aan elke sleutel zijn gekoppeld.
- Vaststellen van de activatie- en deactiveringsdata voor sleutels.
- Toegang tot sleutels als reactie op juridische verzoeken.
Tenslotte is het essentieel dat organisaties zich bewust zijn van de drie belangrijkste risico’s die deze aanvullende leidraad schetst:
- Veilige en privésleutels moeten worden beveiligd tegen ongeoorloofd gebruik.
- Er moet een einde komen aan het beschermen van apparatuur die wordt gebruikt voor het maken of opslaan van encryptiesleutels fysieke beveiliging maatregelen.
- Organisaties moeten de geldigheid van hun publieke sleutels garanderen.
Wat zijn de voordelen van cryptografie?
ISO 27001:2022 Annex A 8.24 stelt dat cryptografie kan worden gebruikt om organisaties te helpen vier informatiebeveiligingsdoelstellingen te bereiken. Deze doelstellingen omvatten onder meer het verifiëren van de authenticiteit van publieke sleutels via publieke sleutelbeheerprocessen:
- Cryptografie zorgt ervoor dat de vertrouwelijkheid van gegevens, zowel onderweg als opgeslagen, behouden blijft.
- Digitale handtekeningen en authenticatiecodes garanderen dat de gecommuniceerde informatie authentiek en betrouwbaar is.
- Cryptografische methoden geven de zekerheid dat alle gebeurtenissen of ondernomen acties, inclusief de ontvangst van informatie, niet zullen worden ontkend.
- Authenticatie via cryptografische methoden stelt organisaties in staat de identiteit te valideren van gebruikers die toegang zoeken tot systemen en applicaties.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 8.24 vervangt ISO 27001:2013 bijlage A 10.1.1 en 10.1.2 in de herziene norm van 2022.
De inhoud van de twee is vrijwel hetzelfde, hoewel er enkele structurele wijzigingen zijn.
Terwijl de versie van 2013 twee afzonderlijke controles had, 10.1.1 en 10.1.2, voor het gebruik van cryptografie, consolideerde de versie van 2022 deze in één bijlage A-controle, 8.24.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
ISMS.Online is de belangrijkste ISO 27001-managementsysteemsoftware, die bedrijven helpt bij het naleven van ISO 27001:2022 en ervoor zorgt dat hun beveiligingsbeleid en -procedures aan de norm voldoen.
In deze cloud-gebaseerd platform biedt een uitgebreide set tools om organisaties te helpen bij het implementeren van een Information Security Management System (ISMS) in overeenstemming met ISO 27001.
Reik uit en boek vandaag nog een demonstratie.