ISO 27001 – Bijlage A.8: Vermogensbeheer

Wat is het doel van bijlage A.8.1?

Bijlage A.8.1 gaat over de verantwoordelijkheid voor activa. Het doel van deze bijlage is het identificeren van informatiemiddelen die binnen het toepassingsgebied van het managementsysteem vallen, en het definiëren van passende beschermingsverantwoordelijkheden.

Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.

A.8.1.1 Inventaris van activa

Alle activa die verband houden met informatie en informatieverwerkingsfaciliteiten moeten gedurende de levenscyclus worden geïdentificeerd en beheerd, altijd up-to-date.

Er moet een register of inventaris van deze activa worden samengesteld waaruit blijkt hoe ze worden beheerd en gecontroleerd, op basis van hun belang (wat ook netjes aansluit bij de informatieclassificatie hieronder). Deze levenscyclus van de informatie omvat doorgaans de fasen van creatie, verwerking, opslag, verzending, verwijdering en vernietiging.

A.8.1.2 Eigendom van activa

Alle informatiemiddelen moeten eigenaren hebben. Eigendom van vermogensbeheer kan ook verschillen van juridisch eigendom, en kan op individueel niveau, afdeling of andere entiteit plaatsvinden. Het eigendom moet worden overgedragen wanneer de activa worden gecreëerd.

De asset-eigenaar is verantwoordelijk voor het effectieve beheer van het asset gedurende de gehele levenscyclus van het asset. Ze kunnen het beheer daarvan ook delegeren en het eigendom kan tijdens die levenscyclus veranderen, zolang beide gedocumenteerd zijn.

A.8.1.3 Aanvaardbaar gebruik van activa

Acceptabel gebruik van informatie en middelen is belangrijk om goed te kunnen handelen. Regels voor acceptabel gebruik van bedrijfsmiddelen worden vaak gedocumenteerd in een ‘Beleid voor acceptabel gebruik’. Bij de regels voor acceptabel gebruik moet rekening worden gehouden met werknemers, tijdelijk personeel, aannemers en andere derde partijen, indien van toepassing, voor de informatiemiddelen waartoe zij toegang hebben.

Het is belangrijk dat alle relevante partijen toegang hebben tot de reeks gedocumenteerde regels voor acceptabel gebruik en deze worden versterkt tijdens reguliere trainingen en activiteiten op het gebied van informatiebeveiligingsbewustzijn en compliance.

A.8.1.4 Teruggave van activa

Van alle werknemers en externe gebruikers wordt verwacht dat zij alle organisatie- en informatiemiddelen teruggeven bij beëindiging van hun dienstverband, contract of overeenkomst. Als zodanig moet het een verplichting zijn voor werknemers en externe gebruikers om alle activa terug te geven en deze verplichtingen zouden worden verwacht in de relevante overeenkomsten met personeel, aannemers en anderen.

Er is ook een solide, gedocumenteerd proces nodig om ervoor te zorgen dat de teruggave van activa op de juiste manier wordt beheerd en kan worden aangetoond voor elke persoon of leverancier die dit proces doorloopt – dit komt overeen met de exitcontroles in bijlage 7 voor Human Resource Security en bijlage 13.2.4 voor vertrouwelijkheidsovereenkomsten, en bijlage A.15 voor leveranciersactiviteiten.

Wanneer activa niet volgens het proces worden geretourneerd, tenzij anders overeengekomen en gedocumenteerd als onderdeel van het exitproces, moet het niet-teruggeven worden geregistreerd als een beveiligingsincident en worden opgevolgd in overeenstemming met bijlage A.16. De procedure voor de teruggave van activa is nooit waterdicht en dit onderstreept ook de noodzaak van periodieke audits van activa om de voortdurende bescherming ervan te garanderen.

Wat is het doel van bijlage A.8.2?

Bijlage A.8.2 gaat over informatieclassificatie. Het doel van deze bijlage is ervoor te zorgen dat informatie een passend beschermingsniveau krijgt, in overeenstemming met het belang ervan voor de organisatie (en belanghebbenden zoals klanten).

A.8.2.1 Classificatie van informatie

Informatie moet worden geclassificeerd in termen van wettelijke vereisten, waarde, kriticiteit en gevoeligheid voor ongeoorloofde openbaarmaking of wijziging, idealiter geclassificeerd om bedrijfsactiviteiten te weerspiegelen in plaats van deze te belemmeren of te compliceren. Informatie die openbaar beschikbaar is gemaakt, bijvoorbeeld op een website, kan bijvoorbeeld als 'openbaar' worden aangemerkt, terwijl vertrouwelijke of commerciële informatie voor de hand liggend is omdat de informatie gevoeliger is dan openbaar.

Informatieclassificatie is een van de belangrijkste controles die worden gebruikt om ervoor te zorgen dat activa adequaat en proportioneel worden beschermd. Veel organisaties hebben drie tot vier classificatieopties om effectief beheer van de informatie mogelijk te maken, rekening houdend met de waarde en het belang ervan. Het kan echter zo eenvoudig of zo complex zijn als nodig is om het juiste granulariteitsniveau voor de bescherming van activa te garanderen.

Houd er rekening mee dat als u het heel simpel houdt en te weinig classificaties heeft, dit zou kunnen betekenen dat u over- of onder technische controles staat. Te veel classificatieopties zullen eindgebruikers waarschijnlijk in verwarring brengen over wat ze moeten gebruiken en extra overhead voor het beheerschema creëren. Zoals bij alle controles moet deze regelmatig worden herzien om ervoor te zorgen dat deze voortdurend geschikt is voor het beoogde doel.

A.8.2.2 Etikettering van informatie

Er moet een passende reeks procedures voor het etiketteren van informatie worden ontwikkeld en geïmplementeerd in overeenstemming met het door de organisatie aangenomen informatieclassificatieschema. Procedures voor het labelen van informatie zullen informatie en aanverwante activa in zowel fysieke als elektronische formaten moeten omvatten. Deze etikettering moet het classificatieschema weerspiegelen dat is vastgelegd in 8.2.1.

De labels moeten in de praktijk gemakkelijk herkenbaar en eenvoudig te beheren zijn, anders worden ze niet gevolgd. Het zou bijvoorbeeld gemakkelijker kunnen zijn om de facto te beslissen dat alles vertrouwelijk is in de digitale systemen, tenzij uitdrukkelijk anders aangegeven, in plaats van het personeel elke CRM-update te laten labelen met een commerciële vertrouwelijkheidsverklaring!

Wees duidelijk over waar deze feitelijke etikettering plaatsvindt en documenteer dit in uw beleid. Vergeet niet om dit op te nemen in de training voor het personeel.

A.8.2.3 Behandeling van activa

Procedures voor het omgaan met activa moeten worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema. Het volgende moet worden overwogen; Toegangsbeperkingen voor elk classificatieniveau; Het bijhouden van een formeel register van de bevoegde ontvangers van activa; Opslag van IT-middelen volgens specificaties van de fabrikant, markering van media voor geautoriseerde partijen.

Als de organisatie informatiemiddelen voor klanten, leveranciers en anderen verwerkt, is het belangrijk om óf een mappingbeleid aan te tonen, bijvoorbeeld klantclassificatie van officiële gevoelige kaarten, aan onze organisatie of commerciële bedrijven in vertrouwen, óf dat de aanvullende classificatie op andere manieren wordt afgehandeld om laten zien dat het wordt beschermd.

Wat is het doel van bijlage A.8.3?

Bijlage A.8.3 gaat over de omgang met media. Het doel van deze bijlage is het voorkomen van ongeoorloofde openbaarmaking, wijziging, verwijdering of vernietiging van op media opgeslagen informatie.

A.8.3.1 Beheer van verwijderbare media

Er moeten procedures worden ingesteld voor het beheer van verwijderbare media in overeenstemming met het classificatieschema. Bij algemeen gebruik van verwijderbare media moeten de risico's worden beoordeeld en het kan nodig zijn om ook daarbuiten gebruiksspecifieke risicobeoordelingen uit te voeren. Verwijderbare media mogen alleen worden toegestaan ​​als daar een gerechtvaardigde zakelijke reden voor is.

Als de inhoud van herbruikbare media niet langer nodig is, moet deze onherstelbaar worden gemaakt en veilig worden vernietigd of gewist. Alle media moeten worden opgeslagen in een veilige omgeving, in overeenstemming met de specificaties van de fabrikant en aanvullende technieken zoals cryptografie die, indien nodig, in aanmerking worden genomen (dat wil zeggen als onderdeel van de risicobeoordeling).

Waar nodig en praktisch moet toestemming worden verleend voor media die uit de organisatie worden verwijderd, en moet er een dossier worden bijgehouden om een ​​audittraject bij te houden.

A.8.3.2 Verwijdering van media

Wanneer media niet langer nodig zijn, moeten ze veilig worden weggegooid door de gedocumenteerde procedures te volgen. Deze procedures minimaliseren het risico dat vertrouwelijke informatie naar onbevoegde partijen lekt.

De procedures moeten evenredig zijn aan de gevoeligheid van de informatie die wordt verwijderd. Dingen waar rekening mee moet worden gehouden zijn onder meer; of de media al dan niet vertrouwelijke informatie bevatten; en het beschikken over procedures die helpen bij het identificeren van de mogelijke problemen. veilige verwijdering vereisen.

A.8.3.3 Fysieke mediaoverdracht

Alle media die informatie bevatten, moeten worden beschermd tegen ongeoorloofde toegang, misbruik of corruptie tijdens transport (tenzij ze al openbaar beschikbaar zijn).

Het volgende moet in overweging worden genomen om media te beschermen tijdens transport; Er moet gebruik worden gemaakt van betrouwbaar vervoer of koeriers – misschien moet er met het management overeenstemming worden bereikt over een lijst met geautoriseerde koeriers; De verpakking moet voldoende zijn om de inhoud tijdens het transport te beschermen tegen fysieke schade; en Er moeten logs worden bijgehouden waarin de inhoud van de media en de toegepaste bescherming worden geïdentificeerd.

Er moet ook worden opgemerkt dat wanneer vertrouwelijke informatie op media niet is gecodeerd, aanvullende fysieke bescherming van de media moet worden overwogen.