ISO 27001:2022 Bijlage A Controle 5.33

Bescherming van records

Boek een demo

groep,gelukkige,collega's,bespreken,in,conferentie,kamer

ISO 27001:2022 Bijlage A 5.33 vereist dat alle documenten moeten worden beschermd tegen verlies, beschadiging of vernietiging. Er moeten actieve maatregelen worden genomen om ervoor te zorgen dat documenten niet verloren gaan, beschadigd raken of vernietigd worden.

Sommige organisaties vinden het moeilijk om documenten te sorteren en te beheren om nalevingsredenen.

Documenten die op het gebied van ICT worden bijgehouden, omvatten gegevens en informatie die een organisatie opslaat en/of gebruikt voor de dagelijkse bedrijfsvoering, waaronder (onder andere):

  • Individuele evenementen.
  • Transacties.
  • Werkprocessen.
  • Activiteiten.
  • Functions.

ISO verklaart dat records “elke verzameling van informatie zijn, ongeacht de samenstelling of vorm ervan”, inclusief “documenten, datasets of andere soorten informatie die worden gegenereerd, verworven en beheerd in de context van het bedrijfsleven”, plus de gegevens die verband houden met de dossier.

Het doel van ISO 27001:2022 bijlage A 5.33

Organisaties hebben een verantwoordelijkheid om te beschermen de gegevens waarover zij beschikken – met betrekking tot individuen, financiële details en operationele gebieden – terwijl ze zich houden aan alle toepasselijke regelgeving.

ISO 27001:2022 Annex A 5.33 behandelt de bescherming van bedrijfsdocumenten tegen vijf belangrijke risico's:

  1. Vervalsing.
  2. Ongeautoriseerde toegang.
  3. Ongeautoriseerde vrijgave of publicatie.
  4. Verlies.
  5. Verwoesting.

Algemene richtlijn voor ISO 27001:2022 bijlage A 5.33

Bijlage A 5.33 erkent dat de eisen van een organisatie aan documenten, zowel wat betreft de hoeveelheid als het type, van dag tot dag kunnen variëren.

ISO 27001:2022 bijlage A 5.33 identificeert vier hoofdkenmerken van recordmanagement:

  • Integriteit
  • Bruikbaarheid.
  • Authenticiteit.
  • Betrouwbaarheid.

ISO 27001:2022 Annex A 5.33 vereist dat organisaties:

  1. Ontwerp en publiceer richtlijnen die betrekking hebben op vier hoofdfuncties, evenals onderwerpspecifiek beleid dat de essentie van de documenten weerspiegelt.
    • Verwijdering registreren.
    • Het voorkomen van manipulatie.
    • Opnameopslag.
    • Gegevensverwerking Chain of Custody.

  2. Houd een schema voor het bewaren van functionele documenten bij, waarin wordt gespecificeerd hoe lang verschillende soorten documenten moeten worden bewaard in verband met hun respectieve zakelijke doeleinden.
  3. Bouw opslag- en verwerkingsprocessen die rekening houden met:
    • Alle geldende wetten met betrekking tot het bijhouden van commerciële gegevens moeten worden nageleefd.
    • De gemeenschap en de bredere samenleving hebben verwachtingen over de manier waarop organisaties hun documenten moeten beheren.
  4. Vernietig documenten op een veilige, passende manier zodra de bewaartermijn is verstreken.
  5. Categoriseer documenten in overeenstemming met hun beveiligingsrisico, waarbij u de overeenkomstige bewaartermijnen en de media waarin ze zijn opgeslagen in acht neemt, inclusief (maar niet beperkt tot):
    • Personeelsdossiers.
    • Juridische gegevens.
    • Boekhouding.
    • Zakelijke transacties.

  6. Zorg ervoor dat de opslagprocedures voldoende tijd bieden voor het ophalen, indien gevraagd door een derde partij of intern.
  7. Denk bij het bewaren van elektronische documenten aan het risico dat de toegang tot of het herstel van documenten wordt belemmerd door technologische veranderingen, zoals het bijhouden van cryptografische details, en verminder het risico (zie ISO 27001:2022 bijlage A 8.24).
  8. Volg de instructies van de fabrikant bij het elektronisch bijhouden of beheren van documenten, waarbij u terdege rekening houdt met de natuurlijke achteruitgang van de media.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 5.33 vervangt ISO 27001:2013 bijlage A 18.1.3 (Bescherming van documenten) in de herziene ISO-norm 2022.

In ISO 27001:2022 erkent ISO de ernst van het definiëren van wat een bedrijfsdocument is. ISO 27001:2022 bijlage A 5.33 bevat een groot aantal voorbeelden van wat ISO als records beschouwt (zie hierboven), die niet voorkomen in ISO 27001:2013 bijlage A 18.1.3.

ISO 27001:2022 bijlage A 5.33 benadrukt twee cruciale richtlijnen die de basis vormen van het archiefbeleid van een organisatie. Deze punten zijn niet opgenomen in de ISO 27001:2013-versie. Het opnamebeleid bepaalt met name hoe lang de documenten moeten worden bewaard en welke mediaspecifieke vereisten er zijn.

Metadata heeft zijn debuut gemaakt in recordbeheer. Terwijl ISO 27001:2013 bijlage A 18.1.3 er niet in slaagt ernaar te verwijzen, beschouwt ISO 27001:2022 bijlage A 5.33 het als een “essentieel onderdeel”.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.online faciliteert u bij het bouwen van een veilige infrastructuur voor uw gegevens, het volgen van de veiligheid van uw informatie, het opmerken van bedreigingen en het nemen van voorzorgsmaatregelen, en het cultiveren van een cultuur van informatiebescherming.

ISMS.online maakt dit mogelijk jij ook:

  • Implementeer een Informatiebeveiligingsbeheersysteem (ISMS) snel.
  • Houd eenvoudig toezicht op de documentatie van uw ISMS.
  • Zorg ervoor dat aan alle toepasselijke normen wordt voldaan.
  • Houd toezicht op het volledige scala van informatiebeveiliging, variërend van risicobeheer tot beveiligingsbewustzijnstraining.
  • Breng uw boodschap efficiënt over binnen uw organisatie met onze geïntegreerde communicatiefuncties.

Neem nu contact op voor een demonstratie.

Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.

Carl Vaughan
Infosec-leider, MetCloud

Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu