ISO 27001:2022 Bijlage A Controle 5.37

Gedocumenteerde operationele procedures

Boek een demo

data,centrum,programmeur,gebruik,digitaal,laptop,computer,,onderhoud,het,specialist.

Wat is het doel van ISO 27001:2022 bijlage A 5.37?

ISO 27001:2022 Bijlage A 5.37 beschrijft informatiebeveiliging als een operationele activiteit, waarvan de onderdelen door individuen worden uitgevoerd en/of beheerd.

Bijlage A 5.37 schetst de operationele procedures voor het onderhouden van de informatiebeveiligingsfaciliteit van een organisatie volgens de gedocumenteerde behoeften ervan om ervoor te zorgen dat deze efficiënt en veilig blijft.

Wie is eigenaar van bijlage A 5.37?

Bijlage A 5.37 behandelt verschillende omstandigheden waarbij meerdere afdelingen en functies betrokken kunnen zijn. Dat gezegd hebbende, is het veilig om aan te nemen dat de meeste procedures gevolgen zullen hebben voor ICT-personeel, apparatuur en systemen.

Een senior managementteamlid dat verantwoordelijk is voor alle ICT-gerelateerde activiteiten, zoals de Hoofd IT, moet verantwoordelijk zijn voor de eigendom van bijlage A 5.37.

Ga naar onderwerp

Algemene richtlijnen voor bijlage A 5.37

Informatiebeveiligingsgerelateerde procedures moeten worden ontwikkeld op basis van vijf belangrijke operationele overwegingen:

  1. Instanties van een activiteit die door een of meer individuen op dezelfde manier wordt uitgevoerd.

  2. Wanneer een activiteit niet vaak wordt uitgevoerd.

  3. Wanneer er procedures zijn die vergeten dreigen te worden.

  4. Nieuwe activiteiten waar medewerkers niet bekend mee zijn en daardoor een hoger risico met zich meebrengen.

  5. Wanneer de verantwoordelijkheid voor het uitvoeren van een activiteit wordt overgedragen aan een andere medewerker of groep medewerkers.

Wanneer deze gevallen zich voordoen, moeten de operationele procedures duidelijk aangeven wat er in deze situaties moet gebeuren:

  • Individuen die verantwoordelijk zijn – zowel gevestigde exploitanten als nieuwe exploitanten.

  • Richtlijnen voor het handhaven van de beveiliging tijdens de installatie en configuratie van gerelateerde bedrijfssystemen.

  • Hoe informatie wordt verwerkt tijdens de activiteit.

  • BUDR-plannen en implicaties in geval van gegevensverlies of een ramp (zie Bijlage A 8.13).

  • Er moet een link zijn tussen afhankelijkheden en elk ander systeem, inclusief planning.

  • Er moet een duidelijke procedure zijn voor het omgaan met “afhandelingsfouten” of diverse gebeurtenissen die kunnen optreden (zie Bijlage A 8.18).

  • Er moet een volledige lijst zijn van het personeel waarmee contact moet worden opgenomen in geval van verstoring, samen met duidelijke escalatieprocedures.

  • Operationele richtlijnen voor alle relevante opslag media verbonden aan de activiteit (zie Bijlage A 7.10 en Bijlage A 7.14).

  • In geval van een systeemfout: hoe u opnieuw opstart en herstelt.

  • Loggen van audittrajecten, inclusief systeem- en gebeurtenislogboeken (zie Bijlage A 8.15 en Bijlage A 8.17).

  • Observatiesystemen voor activiteiten ter plaatse die plaatsvinden (zie Bijlage A 7.4).

  • Een robuust monitoringsysteem dat rekening houdt met de operationele capaciteit, het prestatiepotentieel en de veiligheid van de activiteit.

  • Om optimale prestatieniveaus te behouden, is het essentieel om te weten wat er moet gebeuren om de activiteit in stand te houden.

Bovenstaande benaderingen moeten worden onderworpen aan periodieke en/of ad-hocbeoordelingen wanneer dat nodig is. Alle wijzigingen in de procedures moeten onmiddellijk door het management worden goedgekeurd om alle binnen de organisatie uitgevoerde informatiebeveiligingsactiviteiten te waarborgen.

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

ISO 27001:2022 bijlage A 5.37 vervangt ISO 27001:2013 Bijlage A 12.1.1 ('Gedocumenteerde operationele procedures').

ISO 27001:2022 bijlage A 5.37 breidt ISO 27001:2013 bijlage A 12.1.1 uit door een veel bredere reeks omstandigheden te bieden die de naleving van een gedocumenteerde procedure zouden rechtvaardigen.

ISO 27001:2013 Bijlage A 12.1.1 schetst informatieverwerkingsactiviteiten zoals het opstarten en afsluiten van computers, back-up, onderhoud van apparatuur en mediaverwerking. In tegenstelling tot, ISO 27001:2022 Bijlage A 5.37 breidt de reikwijdte van de controle uit naar algemene activiteiten die niet beperkt zijn tot specifieke technische functies.

Afgezien van enkele kleine toevoegingen, zoals het categoriseren van de personen die verantwoordelijk zijn voor een activiteit, bevat ISO 27001:2022 Annex A 5.37 dezelfde algemene richtlijnen als ISO 27001:2013 Annex A 12.1.1

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Implementatie van ISO 27001:2022 wordt vereenvoudigd met onze stapsgewijze checklist die u door alle fasen leidt, van het definiëren van de reikwijdte van uw ISMS tot het identificeren van risico's en het implementeren van controles.

Voordelen van ISMS.online zijn onder meer:

  • Naleving kan worden aangetoond door het voltooien van taken en het overleggen van bewijsmateriaal.

  • Het monitoren van de nalevingsvoortgang en het delegeren van verantwoordelijkheden is eenvoudig.

  • Er wordt tijd en moeite bespaard tijdens het hele proces risico-evaluatie proces met de uitgebreide toolset voor risicobeoordeling.

  • Tijdens uw compliancetraject staat een toegewijd team van consultants klaar om u te helpen.

Neem vandaag nog contact op met boek een korte demo van 30 minuten.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Twijfel je tussen bouwen of kopen?

Ontdek de beste manier om ISMS-succes te behalen

Ontvang uw gratis gids

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie