ISO 27001:2022 Bijlage A Controle 5.14

Informatieoverdracht

Boek een demo

groep,gelukkige,collega's,bespreken,in,conferentie,kamer

Het doel van ISO 27001:2022 bijlage A 5.14 is om de veiligheid van alle gebruikersapparaten te garanderen.

Dit betekent dat er maatregelen moeten worden genomen om de apparaten te beschermen tegen kwaadaardige software en andere bedreigingen, en om de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens die erop zijn opgeslagen te behouden.

ISO 27001:2022 bijlage A Controle 5.14 geeft organisaties de opdracht om de noodzakelijke regels, procedures of contracten te installeren om de veiligheid van gegevens te handhaven wanneer deze intern worden gedeeld of naar externe partijen worden verzonden.

Eigendom van ISO 27001:2022 Bijlage A Beheersing 5.14

De steun en acceptatie van het senior management is essentieel voor het opstellen en uitvoeren van regelgeving, protocollen en contracten.

Het is echter noodzakelijk om de samenwerking en specialistische kennis te hebben van verschillende spelers binnen de organisatie, zoals de juridische staf, het IT-personeel en de top.

Het juridische team moet ervoor zorgen dat de organisatie overdrachtsovereenkomsten sluit die voldoen aan ISO 27001:2022 Bijlage A Controle 5.14. Bovendien moet het IT-team actief betrokken zijn bij het specificeren en uitvoeren van controles voor het beveiligen van gegevens, zoals aangegeven in 5.14.

100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering

Begin vandaag nog met uw reis
Boek uw demo

Algemene richtlijn voor ISO 27001:2022 bijlage A 5.14

Het garanderen van de naleving van 5.14 vereist het creëren van regels, procedures en overeenkomsten, inclusief een beleid voor gegevensoverdracht dat specifiek is voor het onderwerp, en dat gegevens tijdens de overdracht een passend beschermingsniveau geeft volgens de classificatie die eraan is toegewezen.

Het beveiligingsniveau moet evenredig zijn aan het belang en de gevoeligheid van de verzonden gegevens. ISO 27001:2022 Annex A 5.14 vereist ook dat organisaties overdrachtsovereenkomsten aangaan met ontvangende derde partijen om een ​​veilige overdracht van gegevens te garanderen.

ISO 27001:2022 Bijlage A Controle 5.14 categoriseert overdrachtstypen in drie groepen:

  • Elektronische overdracht.
  • fysiek opslag media overdracht.
  • Mondelinge overdracht.

Voordat we verdergaan met het gedetailleerd beschrijven van de specifieke eisen van elk type overdracht, ISO 27001:2022 Bijlage A Controle 5.14 schetst de elementen die aanwezig moeten zijn in alle regelgeving, procedures en contracten met betrekking tot alle drie de overdrachten in het algemeen:

  • Organisaties moeten passende controles vaststellen op basis van het classificatieniveau van informatie om deze tijdens de overdracht te beschermen tegen ongeoorloofde toegang, wijziging, onderschepping, duplicatie, vernietiging en denial-of-service-aanvallen.
  • Organisaties moeten de controleketen tijdens het transport in de gaten houden en controles instellen en uitvoeren om de traceerbaarheid van gegevens te garanderen.
  • Specificeer wie betrokken is bij de gegevensoverdracht en geef hun contactgegevens op, zoals de gegevenseigenaren en het beveiligingspersoneel.
  • In geval van een datalek worden de aansprakelijkheden verdeeld.
  • Implementeer een etiketteringssysteem om artikelen bij te houden.
  • Ervoor zorgen dat de transferservice beschikbaar is.
  • Richtlijnen met betrekking tot de methoden van informatieoverdracht moet worden ontwikkeld op basis van specifieke onderwerpen.
  • Richtlijnen voor het opslaan en weggooien van alle zakelijke documenten, inclusief berichten, moeten worden gevolgd.
  • Onderzoek de impact die toepasselijke wet- en regelgeving of andere verplichtingen kunnen hebben op de overdracht.

Aanvullend richtsnoer voor elektronische overdracht

ISO 27001:2022 Bijlage A Controle 5.14 beschrijft de specifieke inhoudelijke vereisten voor regels, procedures en overeenkomsten die verband houden met de drie soorten overdrachten. In alle drie de gevallen moet aan de minimale inhoudsvereisten worden voldaan.

Regels, overeenkomsten en procedures moeten rekening houden met de volgende overwegingen bij het elektronisch overdragen van informatie:

  • Het identificeren en tegenhouden van malware-aanvallen is van het allergrootste belang. Het is essentieel dat u de nieuwste technologie gebruikt om aanvallen van schadelijke software te detecteren en te voorkomen.
  • Zorgen voor de beveiliging van vertrouwelijke informatie vindt u in de verzonden bijlagen.
  • Zorg ervoor dat communicatie naar de juiste ontvangers wordt verzonden door het risico te vermijden dat berichten naar het verkeerde e-mailadres, adres of telefoonnummer worden verzonden.
  • Vraag toestemming voordat u openbare communicatiediensten gaat gebruiken.
  • Er moeten strengere authenticatiemethoden worden gebruikt bij het verzenden van gegevens via openbare netwerken.
  • Het opleggen van beperkingen aan het gebruik van e-communicatiediensten, bijvoorbeeld door het geautomatiseerd doorsturen te verbieden.
  • Adviseer het personeel om het gebruik van korteberichten- of expresberichtendiensten te vermijden om gevoelige gegevens te delen, aangezien de inhoud door onbevoegden in openbare ruimtes kan worden bekeken.
  • Informeer personeel en andere geïnteresseerde partijen over de beveiligingsrisico's die faxmachines met zich mee kunnen brengen, zoals ongeoorloofde toegang of het verkeerd doorsturen van berichten naar bepaalde nummers.

Aanvullende richtlijnen voor overdracht van fysieke opslagmedia

Wanneer informatie fysiek wordt gedeeld, moeten de regels, procedures en overeenkomsten het volgende omvatten:

  • Partijen zijn verantwoordelijk voor het elkaar op de hoogte stellen van de verzending, verzending en ontvangst van informatie.
  • Ervoor zorgen dat het bericht correct wordt geadresseerd en op de juiste manier wordt verzonden.
  • Een goede verpakking elimineert de kans op schade aan de inhoud tijdens het transport. Zo moet de verpakking bestand zijn tegen hitte en vocht.
  • Het management heeft overeenstemming bereikt over een betrouwbare, geautoriseerde koerierslijst.
  • Een overzicht van de identificatienormen voor koeriers.
  • Voor gevoelige en kritische informatie moeten fraudebestendige zakken worden gebruikt.
  • Het verifiëren van de identiteit van koeriers is belangrijk.
  • Deze lijst met derde partijen, ingedeeld op basis van hun serviceniveau, levert transport- of koeriersdiensten en is goedgekeurd.
  • Leg het tijdstip van bezorging, geautoriseerde ontvanger, genomen veiligheidsmaatregelen en ontvangstbevestiging op de bestemming vast in een logboek.

Aanvullend richtsnoer voor verbale overdracht

Het personeel moet zich bewust zijn van de risico's die gepaard gaan met het uitwisselen van informatie binnen de organisatie of het doorgeven van gegevens aan externe partijen, in overeenstemming met ISO 27001:2022 Annex A Controle 5.14. Deze risico's omvatten:

  • Zij moeten zich onthouden van het bespreken van vertrouwelijke zaken op onveilige openbare kanalen of in openbare ruimtes.
  • Men mag geen voicemails met vertrouwelijke informatie achterlaten vanwege het gevaar dat ze opnieuw worden afgespeeld door onbevoegden en vanwege het risico dat ze worden doorgestuurd naar derden.
  • Individuen, zowel personeel als andere toepasselijke derde partijen, moeten worden gescreend voordat zij toegang krijgen tot gesprekken.
  • Kamers die worden gebruikt voor vertrouwelijke gesprekken moeten worden voorzien van de nodige geluidsisolatie.
  • Voordat u een gevoelige dialoog aangaat, moet er een disclaimer worden afgegeven.

Veranderingen en verschillen ten opzichte van ISO 27001:2013?

ISO 27001:2022 bijlage A 5.14 vervangt ISO 27001:2013 Bijlage A 13.2.1, 13.2.2 en 13.2.3.

De twee controles vertonen enige gelijkenis, maar twee grote verschillen maken de eisen van 2022 zwaarder.

Specifieke vereisten voor elektrische, fysieke en verbale overdrachten

Paragraaf 13.2.3 in de versie van 2013 behandelde de specifieke eisen voor de overdracht van gegevens via elektronische berichtenuitwisseling.

Er werd echter niet specifiek ingegaan op de overdracht van informatie via verbale of fysieke middelen.

Ter vergelijking: de versie uit 2022 is nauwkeurig in het identificeren van drie soorten informatieoverdracht, en schetst voor elk van hen afzonderlijk de noodzakelijke inhoud.

ISO 27001:2022 stelt strengere eisen aan elektronische overdracht

In paragraaf 13.2.3 van de versie 2022 worden strengere eisen gesteld aan de inhoud van elektronische berichtenovereenkomsten.

Organisaties moeten nieuwe regelgeving voor digitale overdracht uitwerken en uitvoeren in de vorm van regels, procedures en contracten voor ISO 27001:2022.

Organisaties moeten hun personeel bijvoorbeeld waarschuwen voor het gebruik van sms-diensten bij het verzenden van gevoelige informatie.

Gedetailleerde vereisten voor fysieke overdrachten

De 2022-versie legt strengere regels op voor de fysieke overdracht van opslagmedia. Het is bijvoorbeeld grondiger in de authenticatie van koeriers en bescherming tegen verschillende vormen van schade.

Structurele veranderingen

In de versie van 2013 werd expliciet verwezen naar de noodzakelijke vereisten van overeenkomsten inzake informatieoverdracht. De 'Regels' en 'Procedures' werden echter niet in detail beschreven.

Voor ISO 27001:2022 worden voor elk van de drie benaderingen specifieke criteria uiteengezet.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Implementatie van ISO 27001:2022 kan eenvoudiger worden gemaakt met onze stapsgewijze checklist. Het begeleidt u door het hele proces, van het definiëren van de reikwijdte van uw ISMS tot het vaststellen van de reikwijdte van uw ISMS het identificeren van risico’s en het implementeren van controles.

Boek vandaag nog uw demonstratie. Afspraken zijn zeven dagen per week mogelijk, dus maak een afspraak via een tijd die voor jou werkt.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu