ISO 27001:2022 Bijlage A Controle 5.15

Access Controle

Boek een demo

bijgesneden,afbeelding,van,professionele,zakenvrouw,werkend,op,haar,kantoor,via

Bijlage A 5.15 van ISO 27001:2022; Jouw stap-voor-stap handleiding om dit te begrijpen en er aan te voldoen.

Bijlage A 5.15 heeft betrekking op toegangscontroleprocedures. Het doel van bijlage A.9 is het waarborgen van de toegang tot informatie en ervoor te zorgen dat medewerkers alleen toegang hebben tot de informatie die zij nodig hebben voor de uitoefening van hun functie.

Het is een van de essentiële elementen van een informatiebeveiligingsbeheersysteem (ISMS), vooral als u van plan bent de ISO 27001-certificering te behalen.

Het goed krijgen van dit onderdeel is een cruciaal onderdeel van ISO 27001 certificering en een waarbij veel bedrijven hulp nodig hebben. Laten we, om deze vereisten beter te begrijpen, eens nader bekijken wat ze inhouden.

Toegangscontrolebeleid

Om de toegang tot activa binnen de reikwijdte van een organisatie te beheren, moet een toegangscontrolebeleid worden ontwikkeld, gedocumenteerd en periodiek herzien.

Toegangscontrole regelt hoe menselijke en niet-menselijke entiteiten op een netwerk toegang krijgen tot gegevens, IT-bronnen en applicaties.

Informatiebeveiligingsrisico's die verband houden met de informatie en de bereidheid van de organisatie om deze te beheren moeten worden weerspiegeld in de regels, rechten en beperkingen en de diepte van de gebruikte controles. Het is eenvoudigweg een kwestie van beslissen wie toegang heeft tot wat, hoeveel, en wie niet.

Het is mogelijk om digitale en fysieke toegangscontroles in te stellen, zoals het beperken van gebruikersaccountrechten of het beperken van de toegang tot specifieke fysieke locaties (in lijn met bijlage A.7 Fysieke en omgevingsbeveiliging). Het beleid moet rekening houden met de volgende overwegingen:

  • Het is essentieel om de beveiligingsvereisten van bedrijfsapplicaties in lijn te brengen met het informatieclassificatieschema dat wordt gebruikt volgens bijlage A 5.9, 5.10, 5.11, 5.12, 5.13 en 7.10 met betrekking tot Asset Management.

  • Identificeer wie toegang tot, kennis van en gebruik van informatie nodig heeft – vergezeld van duidelijk gedefinieerde procedures en verantwoordelijkheden.

  • Zorg ervoor dat toegangsrechten en privileges toegangsrechten (meer macht – zie hieronder) worden effectief beheerd, inclusief de toevoeging van veranderingen in het leven (bijv. controles voor supergebruikers/beheerders) en periodieke beoordelingen (bijv. periodieke interne audits per vereiste bijlage A 5.15, 5.16, 5.17, 5.18 & 8.2).

  • Een formele procedure en gedefinieerde verantwoordelijkheden moeten de regels voor toegangscontrole ondersteunen.

Het is van cruciaal belang om de toegangscontrole te herzien als de rollen veranderen, vooral tijdens het verlaten, om te voldoen aan bijlage A.7 Human Resource Security.

Ga naar onderwerp

Netwerken en netwerkdiensten zijn beschikbaar voor gebruikers

Een algemene benadering van bescherming is die van de minste toegang in plaats van onbeperkte toegang en superuser-rechten zonder zorgvuldige overweging.

Bijgevolg mogen gebruikers alleen toegang krijgen tot netwerken en netwerkdiensten die nodig zijn om hun verantwoordelijkheden te vervullen. Het beleid moet gericht zijn op; De netwerken en netwerkdiensten die toegang bieden; Autorisatieprocedures om aan te geven wie (rolgebaseerd) toegang krijgt tot wat en wanneer; en Beheercontroles en -procedures om toegang te voorkomen en te monitoren in geval van een incident.

Bij on-boarding en off-boarding moet ook rekening worden gehouden met deze kwestie, die nauw verband houdt met het toegangscontrolebeleid.

Doel van ISO 27001:2022 Bijlage A 5.15

Als preventieve controle verbetert bijlage A 5.15 het onderliggende vermogen van een organisatie om de toegang tot gegevens en middelen te controleren.

Een betonnen set commerciële en informatiebeveiliging Aan de behoeften moet worden voldaan voordat toegang tot hulpbronnen kan worden verleend en gewijzigd onder Bijlage A Controle 5.15.

ISO 27001 Annex A 5.15 biedt richtlijnen voor het faciliteren van veilige toegang tot gegevens en het minimaliseren van het risico van ongeautoriseerde toegang tot fysieke en virtuele netwerken.

Eigendom van bijlage A 5.15

Zoals blijkt uit bijlage A 5.15 is het managementpersoneel in verschillende delen van een De organisatie moet een grondig inzicht behouden tot welke bronnen toegang moet worden verkregen (bijvoorbeeld naast het feit dat HR werknemers informeert over hun functierollen, die hun RBAC-parameters dicteren, zijn toegangsrechten uiteindelijk een onderhoudsfunctie die wordt beheerd door netwerkbeheerders.

Het eigendom van een organisatie moet berusten bij een lid van het senior management dat de overkoepelende technische autoriteit heeft over de domeinen, subdomeinen, applicaties, bronnen en activa van het bedrijf. Dit zou het hoofd IT kunnen zijn.

Algemene richtlijn voor ISO 27001:2022 bijlage 5.15

Voor naleving van ISO 27001:2022 Annex A Controle 5.15 is een onderwerpspecifieke aanpak van toegangscontrole vereist (beter bekend als een probleemspecifieke aanpak).

In plaats van zich te houden aan een algemeen toegangscontrolebeleid dat van toepassing is op de toegang tot bronnen en gegevens in de hele organisatie, moedigen onderwerpspecifieke benaderingen organisaties aan om toegangscontrolebeleid te creëren dat gericht is op individuele bedrijfsfuncties.

Voor alle onderwerpspecifieke gebieden vereist Bijlage A Controle 5.15 dat beleid met betrekking tot toegangscontrole rekening houdt met de 11 onderstaande punten. Sommige van deze richtlijnen overlappen met ander beleid.

Als richtlijn dienen organisaties de begeleidende controles te raadplegen voor meer informatie per geval:

  • Identificeer welke entiteiten toegang nodig hebben tot bepaalde activa en informatie.

  • Het bijhouden van de functierollen en vereisten voor gegevenstoegang in overeenstemming met de organisatiestructuur van uw organisatie is de gemakkelijkste manier om naleving te garanderen.

  • Beveiliging en integriteit van alle relevante applicaties (gekoppeld aan Controle 8.2).

  • Er zou een formele risicobeoordeling kunnen worden uitgevoerd om de beveiligingskenmerken van individuele applicaties te beoordelen.

  • De controle van fysieke toegang tot een site (links met controles 7.2, 7.3 en 7.4).

  • Als onderdeel van uw nalevingsprogramma moet uw organisatie beschikken over een robuuste reeks toegangscontroles voor gebouwen en ruimtes, inclusief beheerde toegangssystemen, beveiligingsperimeters en bezoekersprocedures, indien van toepassing.

  • Als het gaat om de distributie, beveiliging en categorisering van informatie, moet het ‘need to know’-principe in de hele organisatie worden toegepast (gekoppeld aan 5.10, 5.12 en 5.13).

  • Bedrijven moeten zich houden aan een strikt best-practicebeleid dat geen algemene toegang biedt tot gegevens binnen de hiërarchie van een organisatie.

  • Zorg ervoor dat bevoorrechte toegangsrechten beperkt zijn (gerelateerd aan 8.2).

  • De toegangsrechten van gebruikers die toegang krijgen tot gegevens die verder gaan dan die van een standaardgebruiker, moeten worden gecontroleerd en gecontroleerd.

  • Zorg ervoor dat de geldende wetgeving, sectorspecifieke regelgevingsrichtlijnen of contractuele verplichtingen met betrekking tot gegevenstoegang worden nageleefd (zie 5.31, 5.32, 5.33, 5.34 en 8.3).

  • Het toegangscontrolebeleid van een organisatie wordt aangepast aan externe verplichtingen met betrekking tot gegevenstoegang, activa en bronnen.

  • Houd potentiële belangenconflicten in de gaten.

  • Het beleid moet controles omvatten om te voorkomen dat een individu een bredere toegangscontrolefunctie in gevaar brengt op basis van zijn toegangsniveaus (dwz een werknemer die wijzigingen aan een netwerk kan aanvragen, autoriseren en implementeren).

  • Een toegangscontrolebeleid moet de drie belangrijkste functies – verzoeken, autorisaties en beheer – onafhankelijk aanpakken.

  • Een beleid voor toegangscontrole moet erkennen dat het, ondanks zijn op zichzelf staande karakter, uit verschillende afzonderlijke stappen bestaat, die elk hun eigen vereisten bevatten.

  • Om naleving van de vereisten van 5.16 en 5.18 te garanderen, moeten verzoeken om toegang op een gestructureerde, formele manier worden uitgevoerd.

  • Organisaties moeten formele autorisatieprocessen implementeren die formele, gedocumenteerde goedkeuring van het juiste personeel vereisen.

  • Toegangsrechten voortdurend beheren (gekoppeld aan 5.18).

  • Om de data-integriteit en veiligheidsperimeters te behouden, zijn periodieke audits, HR-toezicht (verlaters, enz.) en functiespecifieke veranderingen (bijvoorbeeld afdelingsverhuizingen en veranderingen in rollen) vereist.

  • Het bijhouden van adequate logbestanden en het controleren van de toegang daartoe. Naleving – Organisaties moeten gegevens verzamelen en opslaan over toegangsgebeurtenissen (bijv. bestandsactiviteit), bescherming bieden tegen ongeoorloofde toegang tot logboeken van beveiligingsgebeurtenissen, en een uitgebreid incidentbeheer strategie.

Aanvullend richtsnoer bij bijlage 5.15

Volgens de aanvullende richtlijnen noemt ISO 27001:2022 Annex A Controle 5.15 (zonder zich te beperken tot) vier verschillende soorten toegangscontrole, die grofweg als volgt kunnen worden geclassificeerd:

  • Verplichte toegangscontrole (MAC) – De toegang wordt centraal beheerd door één enkele beveiligingsautoriteit.

  • Een alternatief voor MAC is discretionaire toegangscontrole (DAC), waarbij de eigenaar van het object anderen rechten binnen het object kan verlenen.

  • Een toegangscontrolesysteem gebaseerd op vooraf gedefinieerde taakfuncties en privileges wordt Role-based Access Control (RBAC) genoemd.

  • Met behulp van Attribute-Based Access Control (ABAC) worden gebruikerstoegangsrechten verleend op basis van beleid dat kenmerken combineert.

Richtlijnen voor het implementeren van regels voor toegangscontrole

We hebben de regels voor toegangscontrole besproken als zijnde toegekend aan verschillende entiteiten (menselijke en niet-menselijke) die binnen een netwerk opereren, aan wie rollen zijn toegewezen die hun algemene functie definiëren.

Bij het definiëren en uitvoeren van het toegangscontrolebeleid van uw organisatie wordt u in bijlage A 5.15 gevraagd de volgende vier factoren in overweging te nemen:

  1. Er moet consistentie worden gehandhaafd tussen de gegevens waarop het toegangsrecht betrekking heeft en het soort toegangsrecht.

  2. Het is essentieel om consistentie te garanderen tussen de toegangsrechten van uw organisatie en de fysieke beveiligingsvereisten (perimeters, enz.).

  3. Bij toegangsrechten in een gedistribueerde computeromgeving (zoals een cloudgebaseerde omgeving) wordt rekening gehouden met de implicaties van gegevens die zich in een breed spectrum van netwerken bevinden.

  4. Denk eens na over de implicaties van dynamische toegangscontroles (een gedetailleerde methode voor toegang tot een gedetailleerde reeks variabelen, geïmplementeerd door een systeembeheerder).

Verantwoordelijkheden definiëren en het proces documenteren

Volgens ISO 27001:2022 Annex A Control 5.15 moeten organisaties een gestructureerde lijst met verantwoordelijkheden en documentatie ontwikkelen en bijhouden. Er zijn talloze overeenkomsten tussen de volledige lijst van beheersmaatregelen van ISO 27001:2022, waarbij bijlage A 5.15 de meest relevante eisen bevat:

Documentatie

  • ISO 27001:2022 Bijlage A 5.16
  • ISO 27001:2022 Bijlage A 5.17
  • ISO 27001:2022 Bijlage A 5.18
  • ISO 27001:2022 Bijlage A 8.2
  • ISO 27001:2022 Bijlage A 8.3
  • ISO 27001:2022 Bijlage A 8.4
  • ISO 27001:2022 Bijlage A 8.5
  • ISO 27001:2022 Bijlage A 8.18

Verantwoordelijkheden

  • ISO 27001:2022 Bijlage A 5.2
  • ISO 27001:2022 Bijlage A 5.17

granularity

Controle 5.15 van bijlage A biedt organisaties aanzienlijke vrijheid bij het specificeren van de granulariteit van hun toegangscontrolebeleid.

Over het algemeen adviseert ISO bedrijven om hun oordeel te gebruiken over hoe gedetailleerd een bepaalde reeks regels per werknemer moet zijn en hoeveel variabelen op een bepaald stuk informatie moeten worden toegepast.

Concreet erkent bijlage A 5.15 dat hoe gedetailleerder het toegangscontrolebeleid van een bedrijf is, hoe hoger de kosten en hoe uitdagender het concept van toegangscontrole wordt voor meerdere locaties, netwerktypen en applicatievariabelen.

Toegangscontrole kan, tenzij zorgvuldig beheerd, zeer snel uit de hand lopen. Het is verstandig om de regels voor toegangscontrole te vereenvoudigen, zodat ze eenvoudiger te beheren en kosteneffectiever zijn.

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

Bijlage A 5.15 in 27001:2022 is een samenvoeging van twee vergelijkbare controles in 27001:2013 – Bijlage A 9.1.1 (Toegangscontrolebeleid) en bijlage A 9.1.2 (Toegang tot netwerken en netwerkdiensten).

De onderliggende thema's van A.9.1.1 en A.9.1.2 zijn vergelijkbaar met die in bijlage A 5.15, afgezien van enkele subtiele operationele verschillen.

Net als in 2022 hebben beide controles betrekking op het beheer van de toegang tot informatie, activa en middelen en werken ze volgens het principe van ‘need to know’, waarbij bedrijfsgegevens worden behandeld als handelswaar die zorgvuldig beheer en bescherming vereisen.

Er zijn 11 richtlijnen in 27001:2013 Bijlage A 9.1.1, die allemaal dezelfde algemene principes volgen als 27001:2022 Bijlage A Controle 5.15, met een iets grotere nadruk op perimeterbeveiliging en fysieke beveiliging.

Er zijn over het algemeen dezelfde implementatierichtlijnen voor toegangscontrole, maar de 2022-controle biedt veel beknoptere en praktischere richtlijnen voor de vier implementatierichtlijnen.

Soorten toegangscontroles gebruikt in ISO 27001:2013 bijlage A 9.1.1 zijn veranderd

Zoals vermeld in ISO 27001 Annex A 5.15 zijn er de afgelopen negen jaar verschillende vormen van toegangscontrole ontstaan ​​(MAC, DAC, ABAC), terwijl in 27001:2013 Annex A Control 9.1.1 de belangrijkste methode van commerciële toegangscontrole destijds tijd was RBAC.

Niveau van granulariteit

De controles van 2013 moeten zinvolle richtlijnen bevatten voor hoe een organisatie gedetailleerde toegangscontroles moet aanpakken in het licht van technologische veranderingen die organisaties meer controle over hun gegevens bieden.

Daarentegen biedt Annex A 5.15 van 27001:2022 organisaties aanzienlijke flexibiliteit.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe kan ISMS.online helpen?

Bijlage A 5.15 van ISO 27001:2022 is waarschijnlijk de meest besproken clausule in bijlage A, en sommigen beweren dat dit de belangrijkste is.

Uw Information Security Management System (ISMS) heeft tot doel ervoor te zorgen dat de juiste mensen op het juiste moment toegang hebben tot de juiste informatie. Een van de sleutels tot succes is dat u dit goed doet, maar als u het verkeerd doet, kan dit negatieve gevolgen hebben voor uw bedrijf.

Denk eens aan het scenario waarin u per ongeluk vertrouwelijke werknemersinformatie aan de verkeerde mensen openbaart, zoals wat iedereen in de organisatie krijgt betaald.

Als u niet oppast, kunnen de gevolgen van het verkeerd uitvoeren van dit onderdeel ernstig zijn. Daarom is het absoluut noodzakelijk om de tijd te nemen om alle aspecten zorgvuldig te overwegen voordat u verdergaat.

In dit verband, ons platform kan een echte aanwinst zijn. Dit komt omdat het de volledige structuur van ISO 27001 volgt en u in staat stelt de inhoud die wij u aanbieden over te nemen, aan te passen en te verrijken, waardoor u een aanzienlijke voorsprong krijgt.

Verkrijg een vandaag nog gratis demo van ISMS.online.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie