- Bekijk ISO 27002:2022 Controle 8.32 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 12.1.2 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.2.2 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.2.3 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.2.4 voor meer informatie.
ISO 27001 Bijlage A 8.32: Beheersing van veranderingen voor informatiebeveiliging
Veranderd naar informatiesystemen, zoals het vervangen van een netwerkapparaat, het maken van een nieuw database-exemplaar of het upgraden van software, zijn vaak nodig om de prestaties te verbeteren, de kosten te verlagen en de efficiëntie te vergroten.
Als wijzigingen in informatieverwerkingsfaciliteiten en -systemen niet correct worden uitgevoerd, kunnen de daarin opgeslagen of verwerkte gegevens in gevaar worden gebracht.
ISO 27001:2022 Bijlage A 8.32 onderzoekt hoe organisaties verandermanagementprocedures kunnen opzetten en uitvoeren om veranderingen in de informatieverwerkingsfaciliteiten en -systemen te monitoren, onderzoeken en beheren.
Doel van ISO 27001:2022 Bijlage A 8.32
ISO 27001:2022 Annex A Control 8.32 stelt organisaties in staat informatiemiddelen te beschermen en tegelijkertijd wijzigingen aan te brengen in informatieverwerkingssystemen en -faciliteiten. Dit doet zij door het opzetten, uitvoeren en beheren van verandermanagementregels en -procedures.
Eigendom van bijlage A 8.32
Chief Information Security Officers moeten, met de expertise van domeinexperts, verantwoordelijk zijn voor het ontwerpen en handhaven van wijzigingscontroleprocedures die van toepassing zijn op alle stadia van de levenscyclus van informatiesystemen, in overeenstemming met ISO 27001:2022 Bijlage A Controle 8.32.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Algemene richtlijn voor ISO 27001:2022 bijlage A 8.32 Naleving
Alle wijzigingen aan informatiesystemen, evenals de implementatie van nieuwe systemen, moeten voldoen aan een vastgestelde reeks voorschriften en procedures. De details van deze wijzigingen moeten expliciet worden vermeld en gedocumenteerd. Bovendien moeten ze beoordelings- en kwaliteitsborgingsprocessen doorlopen.
Organisaties moeten managementtaken toewijzen aan het meest geschikte management en de nodige procedures vastleggen om te garanderen dat alle wijzigingen in overeenstemming zijn met de regelgeving en normen voor wijzigingsbeheer.
ISO 27001:2022 Annex A Control 8.32 somt negen componenten op die in de change management procedure aan bod moeten komen:
- Organisaties zouden het potentiële effect van voorgestelde wijzigingen in kaart moeten brengen en beoordelen, rekening houdend met alle afhankelijkheden.
- Implementeer autorisatiecontroles voor wijzigingen. Zorg ervoor dat alle wijzigingen zijn geautoriseerd door het juiste personeel. Zorg ervoor dat alleen geautoriseerd personeel toegang heeft tot het systeem en dat alle wijzigingen goed worden gedocumenteerd.
- Breng relevante binnen- en buitengroepen op de hoogte van de voorgestelde wijzigingen.
- Garandeer de naleving van ISO 27001:2022 bijlage A 8.29 door het ontwikkelen en uitvoeren van testen en acceptatietests voor wijzigingen.
- De implementatie van de wijzigingen en de praktische implementatie ervan worden verzorgd.
- Stel nood- en noodplannen en -procedures op, inclusief een uitwijkprocedure.
- Het bijhouden van de administratie van alle wijzigingen en daarmee samenhangende activiteiten, waaronder de hierboven genoemde 1-6.
- Om naleving van bijlage A 5.37 van ISO 27001:2022 te garanderen, worden de operationele documentatie en gebruikersprocedures regelmatig herzien en indien nodig aangepast.
- ICT-continuïteitsplannen en herstel- en responsprocedures moeten worden geëvalueerd en bijgewerkt om tegemoet te komen aan de wijzigingen.
Organisaties moeten ernaar streven om zoveel mogelijk wijzigingscontroleprocedures voor software en ICT-infrastructuur te integreren.
Aanvullend richtsnoer bij bijlage A 8.32
Veranderingen in de productieomgeving, bijvoorbeeld besturingssystemen en databases, kunnen de integriteit en beschikbaarheid van applicaties in gevaar brengen, met name de overdracht van software van ontwikkeling naar productie.
Organisaties moeten op hun hoede zijn voor de mogelijke gevolgen van het wijzigen van software in hun productieomgeving. Er kunnen zich onvoorziene gevolgen voordoen, dus voorzichtigheid is geboden.
Organisaties moeten tests uitvoeren op ICT-componenten in een veilige, aparte omgeving, weg van ontwikkeling en productie.
Organisaties kunnen meer controle krijgen over nieuwe software en de gegevens uit de echte wereld die worden gebruikt voor het testen beveiligen met patches en servicepacks, waardoor een extra beschermingslaag wordt geboden.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 8.32 vervangt de vier secties van ISO 27001:2013 Bijlage A 12.1.2, 14.2.2, 14.2.3 en 14.2.4.
In ISO 27001:2013 zijn de change control-procedures nader gespecificeerd dan in 2022 het geval zal zijn.
Er kunnen drie belangrijke verschillen tussen de twee versies worden onderscheiden.
ISO 27001:2013-versie was gedetailleerder in termen van wat de 'wijzigingsprocedure' zou moeten inhouden
De versies ISO 27001:2022 en ISO 27001:2013 geven beide op niet-uitputtende wijze aan wat er in een wijzigingsprocedure moet worden opgenomen.
De editie van 2013 bevatte componenten die niet in de variant van 2022 werden genoemd:
- Identificeer en beoordeel beveiligingskritieke code om eventuele zwakke punten aan te pakken.
- Organisaties moeten versiebeheer behouden voor alle softwarewijzigingen.
- Organisaties moeten een lijst opstellen en vastleggen van hardware- en softwarecomponenten die moeten worden gewijzigd en bijgewerkt.
De ISO 27001:2013-versie heeft betrekking op 'Wijzigingen in besturingsplatforms'
Bijlage A 14.2.3 van ISO 27001:2013 schetst manieren waarop organisaties de negatieve impact en verstoringen op de bedrijfsvoering kunnen verminderen die kunnen voortvloeien uit veranderingen in besturingssystemen.
Ter vergelijking: ISO 27001:2022 bevat geen eisen voor aanpassingen.
ISO 27001:2013 behandelt 'Wijzigingen in softwarepakketten'
Bijlage A 14.2.4, gericht op 'Wijzigingen in softwarepakketten' in ISO 27001:2013, deze is niet opgenomen in de ISO 27001:2022-versie.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
Ons cloudplatform biedt een sterke structuur van informatiebeveiligingsmaatregelen, waardoor u uw ISMS-proces kunt afvinken naarmate u verder komt, en garandeert dat het voldoet aan de ISO 27000k-criteria.
ISMS.online kan u helpen de certificering efficiënt en met minimale middelen te behalen. Als het op de juiste manier wordt gebruikt, kan het een grote troef zijn bij het bereiken van dit doel.
Neem nu contact met ons op een demonstratie plannen.