ISO 27001:2022 Bijlage A Controle 5.1

Informatiebeveiligingsbeleid

Boek een demo

bedrijf,man,mobiel,slim,telefoon,druk,werken,op,laptop,gebruiken

Als onderdeel van ISO 27001:2022 specificeert bijlage A 5.1 dat organisaties een informatiebeveiliging beleidsdocument aanwezig. Dit is om zichzelf te beschermen tegen bedreigingen voor de informatiebeveiliging.

Bij het ontwikkelen van beleid moet rekening worden gehouden met de behoeften van het bedrijfsleven, evenals met de toepasselijke wet- en regelgeving.

Een beleidsdocument voor informatiebeveiliging is in wezen een compendium van controlemechanismen uit bijlage A, dat de belangrijkste uitspraken van de organisatie over beveiliging versterkt en deze beschikbaar maakt voor belanghebbenden.

In de 2022-versie van de standaard zou beleid ook moeten worden opgenomen in het onderwijs-, trainings- en bewustmakingsprogramma, zoals beschreven in People Controls A.6.3.

Het organisatiebeleid specificeert de principes waaraan leden en belangrijke partijen zoals leveranciers zich moeten houden. Dit beleid moet regelmatig worden herzien en indien nodig worden bijgewerkt.

Wat is informatiebeveiligingsbeleid?

An informatiebeveiligingsbeleid heeft tot doel medewerkers, management en externe partijen (bijvoorbeeld klanten en leveranciers) een raamwerk te bieden voor het beheren van elektronische informatie, inclusief computernetwerken.

Er moet een beveiligingsbeleid worden gedefinieerd, goedgekeurd door het management, gepubliceerd en gecommuniceerd naar medewerkers en relevante externe partijen.

Naast het verminderen van het risico op gegevensverlies als gevolg van interne en externe bedreigingen, informatiebeveiligingsbeleid garandeert dat alle medewerkers hun rol bij het beschermen van de gegevens van de organisatie begrijpen.

Naast het voldoen aan standaarden zoals ISO 27001 kan een informatiebeveiligingsbeleid ook de naleving van wet- en regelgeving aantonen.

Informatiebeveiligingsbedreigingen en cyberbeveiliging uitgelegd

Cyber ​​security Tot de bedreigingen behoren bedrijfsspionnen en hacktivisten, terroristische groeperingen, vijandige natiestaten en criminele organisaties. Deze bedreigingen zijn bedoeld om onrechtmatig toegang te krijgen tot gegevens, digitale activiteiten te verstoren of informatie te beschadigen.

Bedreigingen voor cyberveiligheid en informatiebeveiliging zijn onder meer:

  • Virussen, spyware en andere kwaadaardige programma's worden als malware beschouwd.

  • Een e-mail die afkomstig lijkt te zijn van een betrouwbare bron, maar links en bijlagen bevat die malware op uw computer installeren.

  • Virussen verhinderen dat gebruikers toegang krijgen tot hun gegevens totdat ze losgeld betalen.

  • Het proces waarbij mensen worden gemanipuleerd om gevoelige informatie vrij te geven, staat bekend als social engineering.

  • Phishing-e-mails die afkomstig lijken te zijn van spraakmakende personen in een organisatie staan ​​bekend als walvisaanvallen.
Ga naar onderwerp
Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Hoe werkt ISO 27001:2022 bijlage A 5.1?

Het informatiebeveiligingsbeleid is ontworpen om de gevoelige informatie van uw bedrijf te beschermen tegen diefstal en ongeoorloofde toegang.

In conform ISO 27001, Bijlage controle A 5.1 geeft richting aan het doel en de implementatie van het vaststellen van een informatiebeveiligingsbeleid in een organisatie.

Een algemeen informatiebeveiligingsbeleid is vereist door bijlage A Controle 5.1 voor organisaties om hun informatiebeveiliging te beheren. Het senior management moet de richtlijnen goedkeuren, die regelmatig moeten worden herzien als zich veranderingen voordoen in de informatiebeveiligingsomgeving.

De juiste aanpak is om regelmatig bijeen te komen, minstens één keer per maand, met extra vergaderingen als dat nodig is. Naast het delen van beleid met interne en externe belanghebbenden, moet het management eventuele wijzigingen goedkeuren voordat deze worden geïmplementeerd.

Aan de slag en voldoen aan de vereisten van bijlage A 5.1

A gedetailleerde bedieningsprocedure dat beschrijft hoe het informatiebeveiligingsbeleid zal worden geïmplementeerd, moet gebaseerd zijn op en ondersteund worden door een informatiebeveiligingsbeleid.

Het beleid moet door de top worden goedgekeurd beheer en gecommuniceerd naar personeel en belanghebbenden.

Naast het geven richting geven aan de aanpak van de organisatie Voor het beheren van informatiebeveiliging kan het beleid worden gebruikt om meer gedetailleerde operationele procedures te ontwikkelen.

Zoals vereist door ISO/IEC 27000-normenis beleid essentieel voor het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging (ISMS). Een goed gedefinieerd beleid blijft van cruciaal belang, zelfs als de organisatie dat niet van plan is implementeren van ISO 27001 of enige andere formele certificering.

Het informatiebeveiligingsbeleid moet regelmatig worden herzien om de voortdurende geschiktheid, adequaatheid en effectiviteit ervan te garanderen.

Wanneer er wijzigingen worden aangebracht in het bedrijf, de risico's, de technologie, de wet- of regelgeving, of als beveiligingszwakheden, gebeurtenissen of incidenten erop wijzen dat er beleidswijzigingen nodig zijn.

Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?

Als onderdeel van ISO 27001 herziening 2013 voegt deze controle de controles van bijlage A 5.1.1 Beleid voor informatiebeveiliging en 5.1.2 Beoordeling van beleid voor informatiebeveiliging samen.

Bijlage A-bediening 5.1 inch ISO 27001:2022 is bijgewerkt met een beschrijving van het doel ervan en uitgebreide implementatierichtlijnen, evenals een attributentabel waarmee gebruikers bijlage A-controles kunnen afstemmen op de terminologie van de sector.

Volgens bijlage A 5.1 moet informatiebeveiligings- en onderwerpspecifiek beleid worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door het juiste personeel.

Het informatiebeveiligingsbeleid van een organisatie moet rekening houden met de omvang, het type en de gevoeligheid van de informatiemiddelen, de industriestandaarden en de toepasselijke overheidsvereisten.

Volgens clausule 5.1.2 van ISO 27001:2013 is het doel van bijlage A ervoor te zorgen dat het informatiebeveiligingsbeleid regelmatig wordt geëvalueerd als zich veranderingen in de informatiebeveiligingsomgeving voordoen.

Volgens ISO 27001: 2013 en ISO 27001: 2022 moet het topmanagement een beveiligingsbeleid ontwikkelen dat is goedgekeurd door het topmanagement en beschrijft hoe de organisatie haar gegevens gaat beschermen. Niettemin dekken beide versies van het beleid verschillende vereisten.

Vergelijkende analyse van bijlage A 5.1 Implementatierichtlijnen

Volgens ISO 27001:2013 moet het informatiebeveiligingsbeleid aan de volgende eisen voldoen:

  • De bedrijfsstrategie.

  • Contracten, regelgeving en wetgeving.

  • Een beschrijving van de huidige en verwachte dreigingsomgeving voor informatiebeveiliging.

Het informatiebeveiligingsbeleid moet de volgende verklaringen bevatten:

  • Alle activiteiten die te maken hebben met informatiebeveiliging moet leidend zijn door een definitie van informatiebeveiliging, doelstellingen en beginselen.

  • Verantwoordelijkheden voor het beheer van informatiebeveiliging worden op algemene en specifieke wijze toegewezen aan gedefinieerde rollen.

  • Het proces voor het omgaan met afwijkingen en uitzonderingen.

ISO 27001:2022 stelt daarentegen uitgebreidere eisen.

Als onderdeel van het informatiebeveiligingsbeleid moeten de volgende eisen in acht worden genomen:

  • Strategie en vereisten van het bedrijf.

  • Wet- en regelgeving en contracten.

  • Informatiebeveiligingsrisico's en bedreigingen die vandaag en in de toekomst bestaan.

In het informatiebeveiligingsbeleid moeten uitspraken over het volgende worden opgenomen:

  • Definitie van informatiebeveiliging.

  • Een raamwerk voor het vaststellen van informatiebeveiligingsdoelstellingen.

  • Informatiebeveiligingsprincipes moeten als leidraad dienen voor alle activiteiten.

  • Een verbintenis om te voldoen aan alle toepasselijke eisen op het gebied van informatiebeveiliging.

  • Een voortdurende inzet voor het verbeteren van de managementsysteem voor informatiebeveiliging.

  • Rolgebaseerde toewijzing van verantwoordelijkheden voor informatiebeveiligingsbeheer.

  • Uitzonderingen en ontheffingen worden conform deze procedures afgehandeld.

Daarnaast is ISO 27001:2022 herzien om onderwerpspecifiek beleid voor het beheer van informatiebeveiligingsincidenten, activabeheer, netwerkbeveiliging, incidentbeheer en veilige ontwikkeling als onderwerpspecifiek beleid op te nemen. Met het oog op het creëren van een meer holistisch raamwerk zijn enkele eisen uit ISO 27001:2013 verwijderd of samengevoegd.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.Online helpt

met ISMS.online, krijgt u toegang tot een complete set tools en bronnen om u te helpen bij het beheren van uw eigen ISO 27001 Information Security Management System (ISMS), of u nu een nieuwkomer bent of al gecertificeerd bent.

Bovendien biedt ISMS.online geautomatiseerde processen om het hele beoordelingsproces te vereenvoudigen. Deze processen besparen aanzienlijk veel administratieve tijd in vergelijking met andere werkmethoden.

U krijgt een voorsprong met het ISO 27001-beleid en de controles van ISMS.online.

Intuïtieve workflows, tools, raamwerken, beleid en controles, bruikbare documentatie en begeleiding, evenals bruikbare begeleiding maken het eenvoudig om ISO 27001 te implementeren door de reikwijdte te definiëren, risico's te identificeren en controles te implementeren op basis van onze algoritmen – of deze nu helemaal opnieuw zijn gemaakt of gebaseerd op sjablonen voor best practices uit de branche.

Neem vandaag nog contact met ons op een demo plannen.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Methode voor gegarandeerde resultaten
100% ISO 27001-succes

Uw eenvoudige, praktische, tijdbesparende route naar de eerste keer dat u voldoet aan of certificering voor ISO 27001

Boek uw demo

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie