- Bekijk ISO 27002:2022 Controle 8.27 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.2.5 voor meer informatie.
ISO 27001:2022 Controle 8.27 – Systeembeveiliging vanaf de basis versterken
ISO 27001:2022 Bijlage A 8.27 specificeert dat organisaties veilige systeemarchitectuur en engineeringprincipes moeten implementeren om ervoor te zorgen dat het ontwerp, de implementatie en het beheer van het informatiesysteem geschikt zijn voor de beveiligingsvereisten van de organisatie. Dit omvat het opzetten van veilige systeemarchitecturen, technische principes en veilige ontwerppraktijken.
De ingewikkelde structuren van hedendaagse informatiesystemen, gecombineerd met de voortdurend veranderende cyberveiligheidsrisicoomgeving, maken informatiesystemen gevoeliger voor bestaande en potentiële veiligheidsdreigingen.
Bijlage A 8.27 schetst hoe organisaties kunnen beschermen hun informatiesystemen te beschermen tegen veiligheidsbedreigingen door de implementatie van veilige systeemtechniekprincipes tijdens alle fasen van de levenscyclus van informatiesystemen.
Doel van ISO 27001:2022 Bijlage A 8.27
Bijlage A 8.27 faciliteert organisaties om informatiesystemen te beveiligen tijdens de fasen van ontwerp, implementatie en exploitatie, via het vaststellen en implementeren van veilige systeemtechnische principes waaraan systeemingenieurs zich moeten houden.
Eigendom van bijlage A 8.27
De Chief Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten, onderhouden en in praktijk brengen van de regels die de veilige engineering van informatiesystemen beheersen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Algemene richtlijn voor ISO 27001:2022 bijlage A 8.27 Naleving
ISO 27001:2022 Annex A 8.27 onderstreept de noodzaak voor organisaties om beveiliging te verankeren in het geheel van hun informatiesystemen, inclusief bedrijfsprocessen, applicaties en data-architectuur.
Voor alle taken die verband houden met informatiesystemen moeten veilige engineeringpraktijken worden geïmplementeerd, die regelmatig moeten worden herzien en bijgewerkt om rekening te houden met opkomende bedreigingen en aanvalspatronen.
Bijlage A 8.27 is ook van toepassing op systemen die door externe aanbieders zijn gemaakt, naast de systemen die intern zijn ontwikkeld en beheerd.
Organisaties moeten garanderen dat de praktijken en normen van dienstverleners in overeenstemming zijn met hun veilige technische protocollen.
ISO 27001:2022 bijlage A 8.27 vereist veilige systeemtechniekprincipes om de volgende acht onderwerpen aan te pakken:
- Methoden voor gebruikersauthenticatie.
- Veilige begeleiding bij sessiecontrole.
- Procedures voor het opschonen en valideren van gegevens.
- Beveiligingsmaatregelen voor het beschermen van informatiemiddelen en -systemen tegen bekende bedreigingen worden uitgebreid geanalyseerd.
- Beveiligingsmaatregelen geanalyseerd op hun vermogen om beveiligingsbedreigingen te identificeren, te elimineren en erop te reageren.
- Het analyseren van de beveiligingsmaatregelen die worden toegepast op specifieke bedrijfsactiviteiten, zoals informatie-encryptie.
- Waar en hoe beveiligingsmaatregelen zullen worden geïmplementeerd. Als onderdeel van dit proces kan een specifieke Annex A-veiligheidscontrole worden geïntegreerd in de technische infrastructuur.
- De manier waarop verschillende beveiligingsmaatregelen samenwerken en als een gecombineerd systeem functioneren.
Richtlijnen voor het Zero Trust-principe
Organisaties moeten deze zero-trust-principes in gedachten houden:
- Gebaseerd op de veronderstelling dat de systemen van de organisatie al zijn gecompromitteerd en dat de gedefinieerde perimeterbeveiliging van het netwerk geen adequate bescherming kan bieden.
- Er moet een beleid van ‘verificatie vóór vertrouwen’ worden gevoerd als het gaat om het verlenen van toegang tot informatiesystemen. Dit zorgt ervoor dat toegang pas na controle wordt verleend, zodat de juiste mensen toegang krijgen.
- Ervoor zorgen dat verzoeken aan informatiesystemen worden beveiligd met end-to-end-encryptie.
- Er worden verificatiemechanismen geïmplementeerd waarbij wordt uitgegaan van toegangsverzoeken van externe, open netwerken tot informatiesystemen.
- Implementeer minimale privileges en dynamische toegangscontrole in overeenstemming met ISO 27001:2022 bijlage A 5.15, 5.18 en 8.2. Dit moet de authenticatie en autorisatie van gevoelige informatie en informatiesystemen omvatten, waarbij rekening wordt gehouden met contextuele aspecten zoals gebruikersidentiteiten (ISO 27001:2022 bijlage A 5.16) en informatie classificatie (ISO 27001:2022 bijlage A 5.12).
- Authenticeer de identiteit van de aanvrager en verifieer autorisatieverzoeken om toegang te krijgen tot informatiesystemen volgens de authenticatie-informatie in ISO 27001:2022 bijlage A 5.17, 5.16 en 8.5.
Waar moeten veilige systeemtechniektechnieken aan voldoen?
Uw organisatie moet rekening houden met het volgende:
- Het integreren van veilige architectuurprincipes zoals ‘security by design’, ‘defence in depth’, ‘fail secure’, ‘wantrouwen inbreng van externe applicaties’, ‘aanname van inbreuk’, ‘least privilege’, ‘bruikbaarheid en beheerbaarheid’ en ‘minste functionaliteit’ " is Paramount.
- Het uitvoeren van een beveiligingsgerichte ontwerpbeoordeling om eventuele informatiebeveiligingsproblemen op te sporen en ervoor te zorgen dat beveiligingsmaatregelen worden getroffen en aan de beveiligingsbehoeften voldoen.
- Het documenteren en erkennen van beveiligingsmaatregelen die niet aan de eisen voldoen, is essentieel.
- Systeemverharding is essentieel voor de beveiliging van elk systeem.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Met welke criteria moet rekening worden gehouden bij het ontwerpen van veilige engineeringprincipes?
Organisaties moeten rekening houden met de volgende punten bij het opzetten van veilige systeemtechniekprincipes:
- De vereiste om de controles van bijlage A te coördineren met een specifieke beveiligingsarchitectuur is onontbeerlijk.
- De bestaande technische beveiligingsinfrastructuur van een organisatie, inclusief openbare sleutelinfrastructuur, identiteitsbeheer en preventie van gegevenslekken.
- Kan de organisatie de gekozen technologie construeren en onderhouden.
- Er moet rekening worden gehouden met de kosten en de tijd die nodig zijn om aan de beveiligingsvereisten te voldoen, rekening houdend met de complexiteit ervan.
- Het volgen van de huidige best practices is essentieel.
Leidraad voor de toepassing van principes voor veilige systeemtechniek
ISO 27001:2022 Annex A 8.27 stelt dat organisaties veilige engineeringprincipes kunnen gebruiken bij het opzetten van het volgende:
- Fouttolerantie en andere veerkrachtstrategieën zijn essentieel. Ze helpen ervoor te zorgen dat systemen operationeel blijven ondanks het optreden van onverwachte gebeurtenissen.
- Segregatie door middel van virtualisatie is een techniek die kan worden toegepast.
- Fraudebestendigheid zorgt ervoor dat systemen veilig en ongevoelig blijven voor kwaadwillige inmenging.
Veilige virtualisatietechnologie kan het risico op onderschepping tussen applicaties die op hetzelfde apparaat draaien, verminderen.
Er wordt benadrukt dat sabotagebestendige systemen zowel logische als fysieke manipulatie van informatiesystemen kunnen detecteren, waardoor ongeoorloofde toegang tot gegevens wordt voorkomen.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 Bijlage A 8.27 vervangt ISO 27001:2013 bijlage A 14.2.5 in de herziene norm uit 2022.
De versie 2022 bevat uitgebreidere eisen dan de versie 2013, zoals:
- In vergelijking met 2013 biedt de versie van 2022 richtlijnen over wat veilige engineeringprincipes zouden moeten omvatten.
- In tegenstelling tot de versie uit 2013 houdt de versie uit 2022 rekening met de criteria waarmee organisaties rekening moeten houden bij het construeren van veilige systeemtechniekprincipes.
- De versie uit 2022 geeft richtlijnen over het zero trust-principe, dat niet was opgenomen in de versie uit 2013.
- De editie van 2022 van het document bevat aanbevelingen voor veilige engineeringtechnieken, zoals ‘security by design’, die niet aanwezig waren in de versie van 2013.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
Onze stapsgewijze checklist maakt de implementatie van ISO 27001 een fluitje van een cent. Ons complete compliance-oplossing voor ISO/IEC 27001:2022 begeleidt u van begin tot eind door het proces.
Bij het inloggen kunt u tot 81% voortgang verwachten.
Deze oplossing is volledig uitgebreid en eenvoudig.
Neem nu contact op met boek een demonstratie.