ISO 27001:2022 Bijlage A Controle 5.4

Directie verantwoordelijkheden

Boek een demo

multiraciaal,jong,creatief,mensen,in,modern,kantoor.,groep,van,jong

ISO 27001:2022, Bijlage A, controle 5.4, Managementverantwoordelijkheden heeft betrekking op de noodzaak voor het management om ervoor te zorgen dat al het personeel zich houdt aan alle onderwerpspecifiek beleid op het gebied van informatiebeveiliging en procedures zoals gedefinieerd in het vastgestelde informatiebeveiligingsbeleid van de organisatie.

Wat is ISO 27001:2022 bijlage A 5.4 Managementverantwoordelijkheden?

Werknemers en opdrachtnemers moeten zich bewust zijn van hun verplichtingen en deze naleven verantwoordelijkheden op het gebied van informatiebeveiliging zoals beschreven in deze bijlage.

Bijlage A Controle 5.4 beschrijft hoe werknemers en opdrachtnemers informatiebeveiliging toepassen volgens het beleid en de procedures van de organisatie.

De verantwoordelijkheden die aan managers worden opgelegd, moeten eisen omvatten om:

  • Zij moeten de bedreigingen, kwetsbaarheden en controles op het gebied van de informatiebeveiliging begrijpen die relevant zijn voor hun functie en regelmatig training krijgen (zoals beschreven in bijlage A, 7.2.2).
  • Versterk de vereisten van de arbeidsvoorwaarden door te zorgen voor betrokkenheid bij proactieve en adequate ondersteuning voor het toepasselijke informatiebeveiligingsbeleid en -controles in bijlage A.

Het is de verantwoordelijkheid van managers om ervoor te zorgen dat veiligheidsbewustzijn en consciëntieusheid de hele organisatie doordringen en om een ​​passende ‘veiligheidscultuur’ te creëren.

Informatiebeveiligingsbeleid – wat zijn dat?

An informatiebeveiligingsbeleid is een formeel document dat managementrichting, doelen en principes biedt voor het beschermen van de informatie van een organisatie. Om de juiste toewijzing van middelen te garanderen, moet een effectief informatiebeveiligingsbeleid worden afgestemd op de specifieke behoeften van een organisatie en worden ondersteund door het senior management.

Het specificeert hoe het bedrijf zijn gegevens zal beschermen informatie-activa en hoe werknemers met gevoelige gegevens moeten omgaan.

De meeste Het informatiebeveiligingsbeleid wordt ontwikkeld door het senior management in samenwerking met IT-beveiligingspersoneel en zijn afgeleid van wet-, regelgeving en best practices.

In het beleid moeten ook een raamwerk voor het definiëren van rollen en verantwoordelijkheden en een evaluatieperiode worden opgenomen.

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Waarom is ISO 27001:2022 bijlage A 5.4 belangrijk?

Bijlage A Controle 5.4 heeft tot doel ervoor te zorgen dat het management zich bewust is van zijn verantwoordelijkheden op het gebied van informatiebeveiliging.

Er worden stappen ondernomen om ervoor te zorgen dat alle medewerkers zich bewust zijn van deze verantwoordelijkheden.

Hoe bijlage A 5.4 werkt

Informatie is een waardevol bezit dat moet worden beschermd tegen verlies, schade of misbruik. Het management moet ervoor zorgen dat adequate maatregelen worden genomen om dit actief te beschermen. Om dit te bereiken moet het management ervoor zorgen dat al het personeel zich aan de richtlijnen houdt het informatiebeveiligingsbeleid van de organisatie, actueel beleid en procedures.

Controle 5.4 in bijlage A definieert de verantwoordelijkheid van het management met betrekking tot informatiebeveiliging in een organisatie op basis van het ISO 27001-framework.

Het management moet zich achter het informatiebeveiligingsprogramma scharen, en alle medewerkers en opdrachtnemers moeten op de hoogte zijn van het informatiebeveiligingsbeleid en dit naleven. Beveiligingsbeleid, onderwerpspecifiek beleid en procedures mogen nooit worden vrijgesteld van verplichte naleving door een werknemer of contractant.

Het proces van bijlage A 5.4 en wat u kunt verwachten

Het informatiebeveiligingsbeleid, de standaarden en de procedures van een organisatie moeten door het management worden afgedwongen om aan deze bijlage A-controle te voldoen.

Het verkrijgen van steun en buy-in van het management is de eerste stap.

Om betrokkenheid te tonen moet het management al zijn beleid en procedures volgen. Bijvoorbeeld als training veiligheidsbewustzijn jaarlijks vereist is, dienen managers deze cursussen zelf te volgen.

Ongeacht hun functie moet iedereen in het bedrijf zich bewust zijn van het belang van informatiebeveiliging. Zoals vermeld in het ISMS-programma van het bedrijf, moet iedereen zijn rol bij het handhaven van de beveiliging van gevoelige gegevens begrijpen. Dit omvat de raad van bestuur, leidinggevenden en managers, en werknemers.

Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?

ISO 27001:2022 Bijlage A 5.4 Managementverantwoordelijkheden was voorheen bekend als Controle 7.2.1 Verantwoordelijkheden van het management. Het is geen nieuw toegevoegde controle, maar een robuustere interpretatie van de overeenkomstige controle ISO 27001:2013.

Er zijn enkele verschillen tussen bijlage A, controle 5.4 en controle 7.2.1. Deze verschillen zijn gedocumenteerd in de implementatierichtlijnen voor beide.

ISO 27001 Implementatierichtlijnen Vergelijking voor bijlage A 5.4

Het is de verantwoordelijkheid van het management om ervoor te zorgen dat werknemers en opdrachtnemers de volgende normen naleven:

  • Voordat werknemers zich toegang verschaffen tot vertrouwelijke informatie of informatiesystemen, worden ze adequaat opgeleid in de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging.
  • Geef richtlijnen voor het formuleren van de informatiebeveiligingsverwachtingen van hun rol binnen de organisatie.

Een organisatie moet:

  • Wees gemotiveerd om ervoor te zorgen dat het informatiebeveiligingsbeleid van de organisatie wordt nageleefd.
  • Zorg ervoor dat u bekend bent met hun rollen en verantwoordelijkheden op het gebied van informatiebeveiliging.
  • Voldoen aan het informatiebeveiligingsbeleid van de organisatie en passende werkwijzen.
  • Zorg ervoor dat werknemers over de juiste vaardigheden en kwalificaties beschikken en regelmatig training krijgen.
  • Het melden van schendingen van de informatiebeveiliging beleid of procedures kunnen anoniem worden uitgevoerd (“klokkenluiden”).

Het management moet het informatiebeveiligingsbeleid, de procedures en de bijlage A-controles ondersteunen.

Controle 5.4 van bijlage A is gebruiksvriendelijker en vereist dat het management ervoor zorgt dat werknemers en opdrachtnemers de volgende richtlijnen volgen:

A) Worden geïnformeerd over hun verantwoordelijkheden en rollen op het gebied van informatiebeveiliging voordat toegang wordt verleend tot de informatie van de organisatie.

B) Ontvang richtlijnen die het verwachte niveau van informatiebeveiliging in hun specifieke rollen specificeren.

C) Voldoen aan het informatiebeveiligingsbeleid en het onderwerpspecifieke beleid van de organisatie.

D) Word je bewust van hun rol en verantwoordelijkheden op het gebied van informatiebeveiliging.

E) Naleving van de regels op de werkplek, inclusief het gegevensbeveiligingsbeleid en de werkmethoden van de organisatie.

F) Blijf uzelf voortdurend bijscholen in uw vaardigheden en kwalificaties op het gebied van informatiebeveiliging.

G) In gevallen van schending van het informatiebeveiligingsbeleid, onderwerpspecifiek beleid of procedures (“klokkenluiders”) moeten werknemers de beschikking krijgen over een vertrouwelijk communicatiekanaal. Een anonieme meldmogelijkheid of voorzieningen die ervoor zorgen dat de identiteit van de melder alleen bekend is bij degenen die deze meldingen moeten afhandelen, zijn mogelijk.

H) Zorg voor voldoende middelen en projectplanningstijd om beveiligingsgerelateerde processen en bijlage A-controles te implementeren.

De ISO 27001:2022-norm vereist dit expliciet dat werknemers en aannemers toegang hebben tot de noodzakelijke middelen en projectplanningstijd om veiligheidsgerelateerde procedures en controles te implementeren.

ISO 27001:2013 en ISO 27001:2022 gebruiken voor sommige implementatierichtlijnen verschillende bewoordingen. Richtlijn C uit 2013 stelt bijvoorbeeld dat werknemers en opdrachtnemers 'gemotiveerd' moeten worden om ISMS-beleid over te nemen; in 2022 wordt echter het woord 'gemandeerd' gebruikt.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 Bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe wordt dit proces beheerd?

Simpel gezegd zorgt het management van een bedrijf ervoor dat een ISMS (Informatiebeveiligingsbeheersysteem) is gepositioneerd.

Er moet een informatiebeveiligingsmanager worden aangesteld die gekwalificeerd, ervaren en verantwoordelijk is voor het ontwikkelen, implementeren, beheren en voortdurend verbeteren van het ISMS.

ISMS.online: hoe we kunnen helpen

Bij het implementeren van een ISO 27001-uitgelijnd ISMSEen belangrijke uitdaging is het bijhouden van uw informatiebeveiligingscontroles. Ons systeem maakt dit proces eenvoudig.

Ons team begrijpt het belang van het beschermen van de gegevens en de reputatie van uw organisatie. Bijgevolg vereenvoudigt ons cloudgebaseerde platform de implementatie van ISO 27001, stelt u in staat een robuust raamwerk voor informatiebeveiligingscontroles op te zetten en helpt u snel en eenvoudig certificering te behalen.

gebruik ISMS.online, kunt u snel de ISO 27001-certificering behalen en deze daarna beheren. Ons platform beschikt over verschillende gebruiksvriendelijke functionaliteiten en toolkits die u tijd besparen en ervoor zorgen dat u een robuust ISMS creëert.

Neem vandaag nog contact met ons op een demo plannen.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

100% ISO 27001-succes

Uw eenvoudige, praktische, tijdbesparende route naar de eerste keer dat u voldoet aan of certificering voor ISO 27001

Boek uw demo
Methode voor gegarandeerde resultaten

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu