ISO 27001:2022 Bijlage A 5.14 – Informatieoverdracht

Eigendom van ISO 27001:2022 Bijlage A Beheersing 5.14

De steun en acceptatie van het senior management is essentieel voor het opstellen en uitvoeren van regelgeving, protocollen en contracten.

Het is echter noodzakelijk om de samenwerking en specialistische kennis te hebben van verschillende spelers binnen de organisatie, zoals de juridische staf, het IT-personeel en de top.

Het juridische team moet ervoor zorgen dat de organisatie overdrachtsovereenkomsten sluit die voldoen aan ISO 27001:2022 Bijlage A Controle 5.14. Bovendien moet het IT-team actief betrokken zijn bij het specificeren en uitvoeren van controles voor het beveiligen van gegevens, zoals aangegeven in 5.14.

Algemene richtlijn voor ISO 27001:2022 bijlage A 5.14

Het garanderen van de naleving van 5.14 vereist het creëren van regels, procedures en overeenkomsten, inclusief een beleid voor gegevensoverdracht dat specifiek is voor het onderwerp, en dat gegevens tijdens de overdracht een passend beschermingsniveau geeft volgens de classificatie die eraan is toegewezen.

Het beveiligingsniveau moet evenredig zijn aan het belang en de gevoeligheid van de verzonden gegevens. ISO 27001:2022 Annex A 5.14 vereist ook dat organisaties overdrachtsovereenkomsten aangaan met ontvangende derde partijen om een ​​veilige overdracht van gegevens te garanderen.

ISO 27001:2022 Bijlage A Controle 5.14 categoriseert overdrachtstypen in drie groepen:

• Elektronische overdracht.
• fysiek opslag media overdracht.
• Mondelinge overdracht.

Voordat we verdergaan met het gedetailleerd beschrijven van de specifieke eisen van elk type overdracht, ISO 27001:2022 Bijlage A Controle 5.14 schetst de elementen die aanwezig moeten zijn in alle regelgeving, procedures en contracten met betrekking tot alle drie de overdrachten in het algemeen:

• Organisaties moeten passende controles vaststellen op basis van het classificatieniveau van informatie om deze tijdens de overdracht te beschermen tegen ongeoorloofde toegang, wijziging, onderschepping, duplicatie, vernietiging en denial-of-service-aanvallen.
• Organisaties moeten de controleketen tijdens het transport in de gaten houden en controles instellen en uitvoeren om de traceerbaarheid van gegevens te garanderen.
• Specificeer wie betrokken is bij de gegevensoverdracht en geef hun contactgegevens op, zoals de gegevenseigenaren en het beveiligingspersoneel.
• In geval van een datalek worden de aansprakelijkheden verdeeld.
• Implementeer een etiketteringssysteem om artikelen bij te houden.
• Ervoor zorgen dat de transferservice beschikbaar is.
• Richtlijnen met betrekking tot de methoden van informatieoverdracht moet worden ontwikkeld op basis van specifieke onderwerpen.
• Richtlijnen voor het opslaan en weggooien van alle zakelijke documenten, inclusief berichten, moeten worden gevolgd.
• Onderzoek de impact die toepasselijke wet- en regelgeving of andere verplichtingen kunnen hebben op de overdracht.

Aanvullend richtsnoer voor elektronische overdracht

ISO 27001:2022 Bijlage A Controle 5.14 beschrijft de specifieke inhoudelijke vereisten voor regels, procedures en overeenkomsten die verband houden met de drie soorten overdrachten. In alle drie de gevallen moet aan de minimale inhoudsvereisten worden voldaan.

Regels, overeenkomsten en procedures moeten rekening houden met de volgende overwegingen bij het elektronisch overdragen van informatie:

• Het identificeren en tegenhouden van malware-aanvallen is van het allergrootste belang. Het is essentieel dat u de nieuwste technologie gebruikt om aanvallen van schadelijke software te detecteren en te voorkomen.
• Zorgen voor de beveiliging van vertrouwelijke informatie vindt u in de verzonden bijlagen.
• Zorg ervoor dat communicatie naar de juiste ontvangers wordt verzonden door het risico te vermijden dat berichten naar het verkeerde e-mailadres, adres of telefoonnummer worden verzonden.
• Vraag toestemming voordat u openbare communicatiediensten gaat gebruiken.
• Er moeten strengere authenticatiemethoden worden gebruikt bij het verzenden van gegevens via openbare netwerken.
• Het opleggen van beperkingen aan het gebruik van e-communicatiediensten, bijvoorbeeld door het geautomatiseerd doorsturen te verbieden.
• Adviseer het personeel om het gebruik van korteberichten- of expresberichtendiensten te vermijden om gevoelige gegevens te delen, aangezien de inhoud door onbevoegden in openbare ruimtes kan worden bekeken.
• Informeer personeel en andere geïnteresseerde partijen over de beveiligingsrisico's die faxmachines met zich mee kunnen brengen, zoals ongeoorloofde toegang of het verkeerd doorsturen van berichten naar bepaalde nummers.

Aanvullende richtlijnen voor overdracht van fysieke opslagmedia

Wanneer informatie fysiek wordt gedeeld, moeten de regels, procedures en overeenkomsten het volgende omvatten:

• Partijen zijn verantwoordelijk voor het elkaar op de hoogte stellen van de verzending, verzending en ontvangst van informatie.
• Ervoor zorgen dat het bericht correct wordt geadresseerd en op de juiste manier wordt verzonden.
• Een goede verpakking elimineert de kans op schade aan de inhoud tijdens het transport. Zo moet de verpakking bestand zijn tegen hitte en vocht.
• Het management heeft overeenstemming bereikt over een betrouwbare, geautoriseerde koerierslijst.
• Een overzicht van de identificatienormen voor koeriers.
• Voor gevoelige en kritische informatie moeten fraudebestendige zakken worden gebruikt.
• Het verifiëren van de identiteit van koeriers is belangrijk.
• Deze lijst met derde partijen, ingedeeld op basis van hun serviceniveau, levert transport- of koeriersdiensten en is goedgekeurd.
• Leg het tijdstip van bezorging, geautoriseerde ontvanger, genomen veiligheidsmaatregelen en ontvangstbevestiging op de bestemming vast in een logboek.

Aanvullend richtsnoer voor verbale overdracht

Het personeel moet zich bewust zijn van de risico's die gepaard gaan met het uitwisselen van informatie binnen de organisatie of het doorgeven van gegevens aan externe partijen, in overeenstemming met ISO 27001:2022 Annex A Controle 5.14. Deze risico's omvatten:

• Zij moeten zich onthouden van het bespreken van vertrouwelijke zaken op onveilige openbare kanalen of in openbare ruimtes.
• Men mag geen voicemails met vertrouwelijke informatie achterlaten vanwege het gevaar dat ze opnieuw worden afgespeeld door onbevoegden en vanwege het risico dat ze worden doorgestuurd naar derden.
• Individuen, zowel personeel als andere toepasselijke derde partijen, moeten worden gescreend voordat zij toegang krijgen tot gesprekken.
• Kamers die worden gebruikt voor vertrouwelijke gesprekken moeten worden voorzien van de nodige geluidsisolatie.
• Voordat u een gevoelige dialoog aangaat, moet er een disclaimer worden afgegeven.

Veranderingen en verschillen ten opzichte van ISO 27001:2013?

ISO 27001:2022 bijlage A 5.14 vervangt ISO 27001:2013 Bijlage A 13.2.1, 13.2.2 en 13.2.3.

De twee controles vertonen enige gelijkenis, maar twee grote verschillen maken de eisen van 2022 zwaarder.

Specifieke vereisten voor elektrische, fysieke en verbale overdrachten

Paragraaf 13.2.3 in de versie van 2013 behandelde de specifieke eisen voor de overdracht van gegevens via elektronische berichtenuitwisseling.

Er werd echter niet specifiek ingegaan op de overdracht van informatie via verbale of fysieke middelen.

Ter vergelijking: de versie uit 2022 is nauwkeurig in het identificeren van drie soorten informatieoverdracht, en schetst voor elk van hen afzonderlijk de noodzakelijke inhoud.

ISO 27001:2022 stelt strengere eisen aan elektronische overdracht

In paragraaf 13.2.3 van de versie 2022 worden strengere eisen gesteld aan de inhoud van elektronische berichtenovereenkomsten.

Organisaties moeten nieuwe regelgeving voor digitale overdracht uitwerken en uitvoeren in de vorm van regels, procedures en contracten voor ISO 27001:2022.

Organisaties moeten hun personeel bijvoorbeeld waarschuwen voor het gebruik van sms-diensten bij het verzenden van gevoelige informatie.

Gedetailleerde vereisten voor fysieke overdrachten

De 2022-versie legt strengere regels op voor de fysieke overdracht van opslagmedia. Het is bijvoorbeeld grondiger in de authenticatie van koeriers en bescherming tegen verschillende vormen van schade.

Structurele veranderingen

In de versie van 2013 werd expliciet verwezen naar de noodzakelijke vereisten van overeenkomsten inzake informatieoverdracht. De 'Regels' en 'Procedures' werden echter niet in detail beschreven.

Voor ISO 27001:2022 worden voor elk van de drie benaderingen specifieke criteria uiteengezet.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Hoe ISMS.online helpt

Implementatie van ISO 27001:2022 kan eenvoudiger worden gemaakt met onze stapsgewijze checklist. Het begeleidt u door het hele proces, van het definiëren van de reikwijdte van uw ISMS tot het vaststellen van de reikwijdte van uw ISMS het identificeren van risico’s en het implementeren van controles.

Boek vandaag nog uw demonstratie. Afspraken zijn zeven dagen per week mogelijk, dus maak een afspraak via een tijd die voor jou werkt.