ISO 27001:2022 Bijlage A Controle 5.2

Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging

Boek een demo

van,boven,van,groep,van,diverse,collega's,in,formele,kleding

Wanneer u met ISMS.online werkt, voldoet u eenvoudig aan ISO 27001:2022 Annex 5.2.

Deze bijlage A 5.2 stelt een raamwerk vast voor het initiëren en controleren informatiebeveiliging binnen de organisatie.

De besturing beschreven in bijlage A – Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging – is een essentieel onderdeel van ISO 27001:2022.

Dit is een essentieel onderdeel van de informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering probeert te behalen. Laten we deze vereisten en wat ze betekenen in meer detail bekijken.

Wat is het doel van ISO 27001:2022 bijlage A 5.2?

In overeenstemming met bijlage A 5.2 wordt in dit onderdeel een gedefinieerde, goedgekeurde en begrepen structuur vastgelegd voor het implementeren, uitvoeren en beheren van informatiebeveiliging binnen de organisatie.

De formele organisatiestructuur kent de verantwoordelijkheid voor informatiebeveiliging toe aan alle medewerkers.

Ga naar onderwerp

ISO 27001:2022 Bijlage A 5.2 Uitleg

In overeenstemming met ISO 27001 , Bijlage A 5.2 behandelt de implementatie, werking en beheer van de rollen en verantwoordelijkheden van een organisatie op het gebied van informatiebeveiliging.

Zoals vermeld in bijlage A 5.2 moeten alle betrokkenen de verantwoordelijkheden en rollen op het gebied van informatiebeveiliging duidelijk definiëren en begrijpen. Activa worden doorgaans toegewezen aan een aangewezen eigenaar die dagelijks verantwoordelijk is voor de verzorging ervan.

A toegewijd team kan omgaan met informatiebeveiligingOf er kunnen aanvullende verantwoordelijkheden worden toegewezen aan specifieke medewerkers, afhankelijk van de omvang en middelen van de organisatie.

Definiëren van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging

Er moet een duidelijke definitie en toewijzing zijn van alle verantwoordelijkheden op het gebied van informatiebeveiliging.

Als onderdeel van de verantwoordelijkheden op het gebied van informatiebeveiliging zijn er algemene verantwoordelijkheden (bijvoorbeeld de verantwoordelijkheid om informatie beschermen) en specifieke taken (bijvoorbeeld de verantwoordelijkheid om speciale toestemmingen te verlenen).

Als verantwoordelijkheden moeten worden gedefinieerd, is het van cruciaal belang om rekening te houden met het eigendom of de groeperingen van de verantwoordelijkheden informatie-activa.

Veel soorten bedrijfsrollen kunnen relevant zijn voor de beveiliging van informatie, waaronder afdelingshoofden, eigenaren van bedrijfsprocessen, facility managers, HR-managers en interne auditors.

Een robuust informatiebeveiligingssysteem is afhankelijk van verschillende factoren: het hoofd van de organisatie, de Chief Information Security Officer (CISO), het IT-servicemanagement (ITSM), de systeemeigenaren en alle systeemgebruikers.

As onderdeel van hun controlezal de auditor op zoek gaan naar garanties dat de organisatie duidelijk heeft gedefinieerd wie verantwoordelijk is voor welke functies en dat zij dit proportioneel en adequaat hebben gedaan op basis van haar omvang en aard.

Als gevolg hiervan is het over het algemeen niet haalbaar om in kleinere organisaties fulltime functies te hebben die verband houden met deze rollen en verantwoordelijkheden. Daarom is het verduidelijken van specifieke verantwoordelijkheden op het gebied van informatiebeveiliging binnen bestaande functies van cruciaal belang. CEO's en Operations Directors zouden het equivalent kunnen zijn van CISO's, Chief Information Security Officers, met overkoepelende verantwoordelijkheid voor alle informatiebeveiligingssystemen. De CTO kan eigenaar zijn van informatiemiddelen met betrekking tot technologie.

Het creëren van een cultuur van informatiebeveiliging in uw organisatie

Een sterke beveiligingscultuur moedigt gebruikers aan om zich aan beveiligingsregels en -procedures te houden. Elk systeem brengt inherente gevaren met zich mee, en het is aan de gebruikers om deze risico's te beperken.

Naar Zorg ervoor dat elke medewerker het begrijpt waar zij verantwoordelijk voor zijn met betrekking tot de bescherming van gegevens, systemen en netwerken, moet deze bijlage A-controle worden aangepakt om succesvol te zijn.

Hoe u kunt voldoen aan de vereisten van bijlage A 5.2 en wat erbij komt kijken

Het is essentieel om de rolverdeling te formaliseren en te documenteren, bijvoorbeeld in een tabel of organigram, zodat aan de controle uit bijlage A kan worden voldaan:

  • Verantwoordelijkheden en verantwoordelijkheden op het gebied van informatiebeveiliging moeten worden toegewezen aan specifieke managementrollen of functiefuncties.

  • Om ervoor te zorgen dat er passende managementaandacht wordt besteed aan informatiebeveiliging, moet deze Annex A-beheersing duidelijkheid verschaffen over de verschillende rollen en verantwoordelijkheden binnen de organisatie.

  • Er moet indien nodig aanvullende training worden gegeven aan individuele locaties en verwerkingsfaciliteiten om te helpen bij het vervullen van deze verantwoordelijkheden.

Organisaties moeten duidelijke rollen, verantwoordelijkheden en bevoegdheden toewijzen en begrijpen. Rollen en verantwoordelijkheden moeten worden gedocumenteerd, gecommuniceerd en consistent in de hele organisatie worden toegepast om een ​​adequate scheiding van taken te garanderen.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Wat ISMS.online voor u kan doen

Om aan de eisen van ISO 27001:2022 te voldoen, hoeft u alleen de processen van uw beveiligingsbeheersysteem te upgraden om de verbeterde controles te weerspiegelen. Als uw interne team dit niet aankan, kan ISMS.online u helpen.

Onze cloudgebaseerde software maakt het eenvoudig om uw ISMS-oplossingen te beheren vanaf één locatie.

Met onze gebruiksvriendelijke applicatie kunt u alles volgen wat nodig is om ISO 2K7-naleving te garanderen.

Met behulp van onze intuïtieve workflow en tools, inclusief raamwerken, beleid, controles, bruikbare documentatie en begeleiding, ISO 27001 implementatie wordt vereenvoudigd.

Met ons platformkunt u eenvoudig de reikwijdte van het ISMS definiëren, risico's identificeren en controles implementeren.

Voor meer informatie over hoe ISMS.online u kan helpen bij het bereiken van uw ISO 2K7-doelstellingen, kunt u ons bellen op +44 (0)1273 041140.

Neem vandaag nog contact op met boek een demo.

Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.

Carl Vaughan
Infosec-leider, MetCloud

Boek uw demo

Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie