ISO 27001:2022 Bijlage A Controle 5.23

Leidraad voor ISO 27001:2022 bijlage A Controle 5.23 – Organisatorische verplichtingen

Naleving van Controle 5.23 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot clouddiensten en informatiebeveiliging.

Gezien de verscheidenheid aan clouddiensten die worden aangeboden, moedigen onderwerpspecifieke benaderingen organisaties aan om een ​​beleid voor clouddiensten te creëren dat is afgestemd op individuele bedrijfsfuncties, in plaats van zich te houden aan een algemeen beleid dat van toepassing is op informatiebeveiliging en clouddiensten over de hele linie.

Opgemerkt moet worden dat ISO de naleving van Bijlage A Controle 5.23 beschouwt als een gezamenlijke inspanning tussen de organisatie en hun cloudservicepartner. Bijlage A Controle 5.23 moet ook nauw worden afgestemd op de Controles 5.21 en 5.22, die respectievelijk betrekking hebben op informatiebeheer in de toeleveringsketen en het beheer van leveranciersdiensten.

Hoe een organisatie ook wil opereren, Bijlage A Controle 5.23 mag niet op zichzelf staan ​​en moet een aanvulling vormen op de bestaande inspanningen om leveranciersrelaties te beheren.

Nu informatiebeveiliging voorop staat, moet de organisatie het volgende definiëren:

1. Alle relevante beveiligingsvereisten of zorgen die verband houden met het gebruik van een cloudplatform.
2. De criteria die betrokken zijn bij het selecteren van een aanbieder van clouddiensten en hoe hun diensten moeten worden gebruikt.
3. Gedetailleerde beschrijving van rollen en relevante verantwoordelijkheden die bepalen hoe cloudservices in de hele organisatie moeten worden gebruikt.
4. Welke informatiebeveiligingsgebieden precies worden beheerd door de cloudserviceprovider en welke onder de verantwoordelijkheid van de organisatie zelf vallen.
5. De beste manieren om eerst te verzamelen en vervolgens alle informatiebeveiligingsgerelateerde servicecomponenten te gebruiken die door het cloudserviceplatform worden aangeboden.
6. Hoe u categorische garanties kunt verkrijgen over alle informatiebeveiligingsgerelateerde controles die door de cloudserviceprovider worden uitgevoerd.
7. De stappen die moeten worden genomen om wijzigingen, communicatie en controles over meerdere afzonderlijke cloudplatforms te beheren, en niet altijd van dezelfde leverancier.
8. Incident Management procedures die uitsluitend betrekking hebben op het aanbieden van clouddiensten.
9. Hoe de organisatie verwacht het voortdurende gebruik en/of de grootschalige adoptie van cloudplatforms te beheren, in lijn met hun bredere verplichtingen op het gebied van informatiebeveiliging.
10. Een strategie voor het stopzetten of wijzigen van clouddiensten, hetzij per leverancier, hetzij via het proces van migratie van de cloud naar on-premise.

Richtsnoer voor bijlage A Controle 5.23 – Cloudservicesovereenkomsten

Bijlage A Controle 5.23 erkent dat, in tegenstelling tot andere relaties met leveranciers, overeenkomsten voor clouddiensten rigide documenten zijn die in de overgrote meerderheid van de gevallen niet kunnen worden gewijzigd.

Met dat in gedachten moeten organisaties cloudserviceovereenkomsten onder de loep nemen en ervoor zorgen dat aan vier belangrijke operationele vereisten wordt voldaan:

1. Vertrouwelijkheid.
2. Beveiliging/gegevensintegriteit.
3. Beschikbaarheid van de dienst.
4. Informatieverwerking.

Net als bij andere leverancierscontracten moeten cloudserviceovereenkomsten voorafgaand aan acceptatie een grondige risicobeoordeling ondergaan, waarbij potentiële problemen bij de bron worden benadrukt.

De organisatie mag op zijn minst alleen een overeenkomst voor clouddiensten aangaan als zij ervan overtuigd is dat aan de volgende tien bepalingen is voldaan:

• Clouddiensten worden geleverd en geïmplementeerd op basis van de unieke vereisten van de organisatie met betrekking tot hun werkgebied, inclusief door de industrie geaccepteerde standaarden en praktijken voor cloudgebaseerde architectuur en gehoste infrastructuur.
• Toegang tot alle cloudplatforms voldoet aan de grensinformatiebeveiligingsvereisten van de organisatie.
• Er wordt voldoende aandacht besteed aan antimalware- en antivirusdiensten, inclusief proactieve monitoring en bescherming tegen bedreigingen.
• De cloudprovider houdt zich aan een vooraf gedefinieerde reeks bepalingen voor gegevensopslag en -verwerking, die betrekking hebben op een of meer afzonderlijke mondiale regio's en regelgevingsomgevingen.
• Er wordt proactieve ondersteuning geboden aan de organisatie, mocht het cloudplatform te maken krijgen met een catastrofale storing of een informatiebeveiligingsincident.
• Als de noodzaak zich voordoet om enig onderdeel van het cloudplatform uit te besteden of anderszins uit te besteden, blijven de informatiebeveiligingseisen van de leverancier een constante overweging.
• Mocht de organisatie hulp nodig hebben bij het verzamelen van digitale informatie voor welk relevant doel dan ook (wetshandhaving, aanpassing van de regelgeving, commerciële doeleinden), dan zal de aanbieder van clouddiensten de organisatie zoveel mogelijk ondersteunen.
• Aan het einde van de relatie moet de aanbieder van clouddiensten redelijke ondersteuning en passende beschikbaarheid bieden tijdens de transitie- of ontmantelingsperiode.
• De cloudserviceprovider moet werken met een robuust BUDR-plan dat is gericht op het maken van adequate back-ups van de gegevens van de organisatie.
• Het overbrengen van alle relevante aanvullende gegevens van de clouddienstverlener naar de organisatie, inclusief configuratie-informatie en code waar de organisatie aanspraak op maakt.

Aanvullende informatie over bijlage A Controle 5.23

In aanvulling op de bovenstaande richtlijnen suggereert bijlage A Controle 5.23 dat organisaties een nauwe werkrelatie aangaan met aanbieders van clouddiensten, in overeenstemming met de belangrijke dienst die zij leveren, niet alleen op het gebied van informatiebeveiliging, maar voor de gehele commerciële bedrijfsvoering van een organisatie.

Organisaties moeten, waar mogelijk, de volgende bepalingen van cloudserviceproviders inwinnen om de operationele veerkracht te verbeteren en te profiteren van verbeterde niveaus van informatiebeveiliging:

1. Alle wijzigingen aan de infrastructuur moeten vooraf worden gecommuniceerd, zodat de eigen set informatiebeveiligingsnormen van de organisatie wordt ondersteund.
2. De organisatie moet op de hoogte worden gehouden van eventuele wijzigingen in de procedures voor gegevensopslag waarbij gegevens naar een ander rechtsgebied of een andere mondiale regio moeten worden gemigreerd.
3. Elke intentie van de cloudserviceprovider om gebruik te maken van ‘peer cloud’-providers, of delen van hun activiteiten uit te besteden aan onderaannemers, wat gevolgen kan hebben voor de informatiebeveiliging voor de organisatie.

Ondersteuning van bijlage A-controles

• ISO 27001:2022 Bijlage A 5.21
• ISO 27001:2022 Bijlage A 5.22

Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?

Bijlage A Controle 5.23 is een nieuwe controle dat komt in geen enkele hoedanigheid voor in ISO 27001:2013.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Hoe ISMS.online helpt

ISMS.online stroomlijnt het ISO 27001-implementatieproces door een geavanceerd cloudgebaseerd raamwerk te bieden voor het documenteren van informatiebeveiligingsbeheersysteemprocedures en checklists om naleving van erkende normen te garanderen.

Wanneer u ISMS.online gebruikt, kunt u:

• Creëer een ISMS dat compatibel is met de ISO 27001-normen.
• Voer taken uit en overleg bewijsstukken waaruit blijkt dat ze aan de eisen van de norm voldoen.
• Verdeel taken en volg de voortgang richting naleving van de wet.
• Krijg toegang tot een gespecialiseerd team van adviseurs dat u bijstaat tijdens uw hele traject richting compliance.

Neem contact op en boek een demo.