- Bekijk ISO 27002:2022 Controle 8.7 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 12.2.1 voor meer informatie.
Doel van ISO 27001:2022 Bijlage A 8.7
Malware is een van de grootste bedreigingen voor de bedrijfscontinuïteit en gegevensbeveiliging in het digitale tijdperk.
De mondiale zakenwereld wordt dagelijks geconfronteerd met talloze gevaren van een breed scala aan aanvalsvectoren die tot doel hebben zonder toestemming toegang te krijgen tot vertrouwelijke systemen en gegevens, gegevens en geld te extraheren, nietsvermoedend personeel te misleiden en vrijgekochte gegevens te gebruiken om grote losgelden te eisen.
Veilige bescherming tegen malware moet een prioriteit zijn bij het opstellen van een informatiebeveiligingsbeleid. Het is essentieel dat organisaties stappen ondernemen om zich te beschermen tegen schadelijke software.
ISO 27001:2022 Bijlage A 8.7 schetst een reeks maatregelen om personeel voor te lichten over de risico's van kwaadaardige software en om effectieve preventieve maatregelen te implementeren ter bescherming tegen interne en externe bedreigingen, waardoor verstoring en gegevensverlies worden voorkomen.
Eigendom van bijlage A 8.7
Malwarebescherming is een breed onderwerp en omvat meerdere bedrijfsfuncties met verschillende risicograden en talrijke ISO-controles. Als zodanig moet de verantwoordelijkheid voor ISO 27001:2022 bijlage A 8.7 worden gelegd bij de Chief Information Security Officer, of gelijkwaardig. ICT-beheerders en standaardgebruikers moeten praktische stappen ondernemen om zich tegen malware te beschermen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Leidraad voor ISO 27001:2022 bijlage A 8.7 Naleving
Bijlage A 8.7 vereist dat bedrijven een malwareverdediging uitvoeren die vier hoofdaspecten omvat:
- Gecontroleerde systemen en accounttoegang.
- Verandermanagement.
- Anti-malwaresoftware.
- Organisatorisch informatiebeveiliging bewustwording (gebruikerstraining).
ISO waarschuwt ervoor niet te geloven dat anti-malwaresoftware voldoende is om een veilige omgeving te bieden. ISO 27001:2022 Annex A 8.7 roept organisaties op om een end-to-end strategie tegen malware te hanteren, een strategie die begint met het opleiden van gebruikers en culmineert in een beveiligd netwerk dat de mogelijkheid van inbraak vanuit een groot aantal aanvalsbronnen minimaliseert.
Organisaties moeten maatregelen nemen om hun doel te bereiken, waaronder:
- Ontmoedig het gebruik van niet-goedgekeurde software (zie bijlage A 8.19 en bijlage A 8.32).
- Stop de toegang tot kwaadaardige of ongeschikte sites.
- Verminder het aantal bestaande kwetsbaarheden op hun netwerk waarvan misbruik kan worden gemaakt door malware of personen met kwade bedoelingen (zie bijlage A 8.8 en bijlage A 8.19).
- Voer regelmatig softwarebeoordelingen uit om ongeautoriseerde software, systeemwijzigingen en/of gegevens op het netwerk te detecteren.
- Beveilig gegevens en applicaties met minimaal risico, via interne of externe acquisitie.
- Organisaties moeten een malwaredetectiebeleid implementeren dat regelmatige en uitgebreide scans van alle relevante systemen en bestanden omvat, afgestemd op de afzonderlijke risico's van elk gebied. Er moet een 'diepgaande verdediging'-aanpak worden gevolgd, inclusief eindpuntapparaten en gateway-controles, waarbij rekening wordt gehouden met talrijke aanvalsvectoren (bijvoorbeeld ransomware).
- Wend indringers af die voortkomen uit noodprotocollen en -procedures, vooral als er sprake is van een incident of onderhoudsactiviteiten met een hoog risico.
- Stel een proces op waarmee technisch personeel sommige of alle anti-malware-inspanningen kan deactiveren wanneer deze de activiteiten van de organisatie belemmeren.
- Implementeer een stevig back-up- en rampenherstelplan (BUDR) dat de hervatting van de activiteiten van de organisatie bij de eerste gelegenheid, na de verstoring, vergemakkelijkt (zie bijlage A 8.13). Dit moet procedures omvatten voor software die niet kan worden beveiligd door anti-malwaresoftware (bijvoorbeeld machinesoftware).
- Verdeel het netwerk en/of de digitale en virtuele werkruimten in secties om catastrofale schade te voorkomen als er een aanval plaatsvindt.
- Voorzie al het personeel van anti-malwaretraining om hun inzicht in een groot aantal onderwerpen te vergroten, waaronder (maar niet beperkt tot):
- E-mail beveiliging
- Het installeren van schadelijke software
- Social engineering
- Verzamel informatie over de nieuwste ontwikkelingen op het gebied van malwarebeveiliging met betrekking tot de branche.
- Zorg ervoor dat alle meldingen over mogelijke malware-aanvallen (met name van software- en hardwareleveranciers) afkomstig zijn van een betrouwbare bron en nauwkeurig zijn.
Bijbehorende bijlage A-controles
- ISO 27001:2022 Bijlage A 8.13
- ISO 27001:2022 Bijlage A 8.19
- ISO 27001:2022 Bijlage A 8.32
- ISO 27001:2022 Bijlage A 8.8
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 8.7 vervangt ISO 27001:2013 Bijlage A 12.2.1 (waarin de controles tegen malware aan bod kwamen).
ISO 27001:2022 bijlage A 8.7 is vergelijkbaar met ISO 27001:2013 bijlage A 12.2.1, maar sommige aanvullende adviezen hebben een hogere prioriteit gekregen, gezien de betekenis ervan voor de antimalwareprogramma's van bedrijven. Concreet omvat het:
- Het garanderen van de veiligheid tegen malware tijdens onderhoudsperioden is essentieel.
ISO 27001:2013 Annex A 12.2.1 vraagt organisaties na te denken over het gebruik van twee verschillende anti-malwareplatforms, terwijl ISO 27001:2022 Annex A 8.7 tevreden is met één enkele geïntegreerde oplossing.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
Ons platform biedt u aanpasbare dashboards waarmee u realtime inzicht krijgt in uw nalevingsstatus.
U kunt uw volledige ISO 27001:2022-conformiteit vanaf één locatie overzien en controleren, inclusief controle beheer, gap-analyse, trainingsbeheer, risicobeoordeling en meer.
Dit uitgebreide platform biedt een eenvoudige en geïntegreerde oplossing die 27001 uur per dag kan worden gebruikt vanaf elk apparaat dat met internet is verbonden. Het vergemakkelijkt een naadloze en veilige samenwerking tussen medewerkers om veiligheidsrisico's te monitoren en de voortgang van de organisatie bij het behalen van de ISO 2022:XNUMX-certificering bij te houden.
Neem nu contact met ons op een demonstratie organiseren.