ISO 27001:2022, Bijlage A, controle 5.4, Managementverantwoordelijkheden heeft betrekking op de noodzaak voor het management om ervoor te zorgen dat al het personeel zich houdt aan alle onderwerpspecifiek beleid op het gebied van informatiebeveiliging en procedures zoals gedefinieerd in het vastgestelde informatiebeveiligingsbeleid van de organisatie.
Werknemers en opdrachtnemers moeten zich bewust zijn van hun verplichtingen en deze naleven verantwoordelijkheden op het gebied van informatiebeveiliging zoals beschreven in deze bijlage.
Bijlage A Controle 5.4 beschrijft hoe werknemers en opdrachtnemers informatiebeveiliging toepassen volgens het beleid en de procedures van de organisatie.
De verantwoordelijkheden die aan managers worden opgelegd, moeten eisen omvatten om:
Het is de verantwoordelijkheid van managers om ervoor te zorgen dat veiligheidsbewustzijn en consciëntieusheid de hele organisatie doordringen en om een passende ‘veiligheidscultuur’ te creëren.
An informatiebeveiligingsbeleid is een formeel document dat managementrichting, doelen en principes biedt voor het beschermen van de informatie van een organisatie. Om de juiste toewijzing van middelen te garanderen, moet een effectief informatiebeveiligingsbeleid worden afgestemd op de specifieke behoeften van een organisatie en worden ondersteund door het senior management.
Het specificeert hoe het bedrijf zijn gegevens zal beschermen informatie-activa en hoe werknemers met gevoelige gegevens moeten omgaan.
De meeste Het informatiebeveiligingsbeleid wordt ontwikkeld door het senior management in samenwerking met IT-beveiligingspersoneel en zijn afgeleid van wet-, regelgeving en best practices.
In het beleid moeten ook een raamwerk voor het definiëren van rollen en verantwoordelijkheden en een evaluatieperiode worden opgenomen.
Bijlage A Controle 5.4 heeft tot doel ervoor te zorgen dat het management zich bewust is van zijn verantwoordelijkheden op het gebied van informatiebeveiliging.
Er worden stappen ondernomen om ervoor te zorgen dat alle medewerkers zich bewust zijn van deze verantwoordelijkheden.
Informatie is een waardevol bezit dat moet worden beschermd tegen verlies, schade of misbruik. Het management moet ervoor zorgen dat adequate maatregelen worden genomen om dit actief te beschermen. Om dit te bereiken moet het management ervoor zorgen dat al het personeel zich aan de richtlijnen houdt het informatiebeveiligingsbeleid van de organisatie, actueel beleid en procedures.
Controle 5.4 in bijlage A definieert de verantwoordelijkheid van het management met betrekking tot informatiebeveiliging in een organisatie op basis van het ISO 27001-framework.
Het management moet zich achter het informatiebeveiligingsprogramma scharen, en alle medewerkers en opdrachtnemers moeten op de hoogte zijn van het informatiebeveiligingsbeleid en dit naleven. Beveiligingsbeleid, onderwerpspecifiek beleid en procedures mogen nooit worden vrijgesteld van verplichte naleving door een werknemer of contractant.
Het informatiebeveiligingsbeleid, de standaarden en de procedures van een organisatie moeten door het management worden afgedwongen om aan deze bijlage A-controle te voldoen.
Het verkrijgen van steun en buy-in van het management is de eerste stap.
Om betrokkenheid te tonen moet het management al zijn beleid en procedures volgen. Bijvoorbeeld als training veiligheidsbewustzijn jaarlijks vereist is, dienen managers deze cursussen zelf te volgen.
Ongeacht hun functie moet iedereen in het bedrijf zich bewust zijn van het belang van informatiebeveiliging. Zoals vermeld in het ISMS-programma van het bedrijf, moet iedereen zijn rol bij het handhaven van de beveiliging van gevoelige gegevens begrijpen. Dit omvat de raad van bestuur, leidinggevenden en managers, en werknemers.
ISO 27001:2022 Bijlage A 5.4 Managementverantwoordelijkheden was voorheen bekend als Controle 7.2.1 Verantwoordelijkheden van het management. Het is geen nieuw toegevoegde controle, maar een robuustere interpretatie van de overeenkomstige controle ISO 27001:2013.
Er zijn enkele verschillen tussen bijlage A, controle 5.4 en controle 7.2.1. Deze verschillen zijn gedocumenteerd in de implementatierichtlijnen voor beide.
Het is de verantwoordelijkheid van het management om ervoor te zorgen dat werknemers en opdrachtnemers de volgende normen naleven:
Een organisatie moet:
Het management moet het informatiebeveiligingsbeleid, de procedures en de bijlage A-controles ondersteunen.
Controle 5.4 van bijlage A is gebruiksvriendelijker en vereist dat het management ervoor zorgt dat werknemers en opdrachtnemers de volgende richtlijnen volgen:
A) Worden geïnformeerd over hun verantwoordelijkheden en rollen op het gebied van informatiebeveiliging voordat toegang wordt verleend tot de informatie van de organisatie.
B) Ontvang richtlijnen die het verwachte niveau van informatiebeveiliging in hun specifieke rollen specificeren.
C) Voldoen aan het informatiebeveiligingsbeleid en het onderwerpspecifieke beleid van de organisatie.
D) Word je bewust van hun rol en verantwoordelijkheden op het gebied van informatiebeveiliging.
E) Naleving van de regels op de werkplek, inclusief het gegevensbeveiligingsbeleid en de werkmethoden van de organisatie.
F) Blijf uzelf voortdurend bijscholen in uw vaardigheden en kwalificaties op het gebied van informatiebeveiliging.
G) In gevallen van schending van het informatiebeveiligingsbeleid, onderwerpspecifiek beleid of procedures (“klokkenluiders”) moeten werknemers de beschikking krijgen over een vertrouwelijk communicatiekanaal. Een anonieme meldmogelijkheid of voorzieningen die ervoor zorgen dat de identiteit van de melder alleen bekend is bij degenen die deze meldingen moeten afhandelen, zijn mogelijk.
H) Zorg voor voldoende middelen en projectplanningstijd om beveiligingsgerelateerde processen en bijlage A-controles te implementeren.
De ISO 27001:2022-norm vereist dit expliciet dat werknemers en aannemers toegang hebben tot de noodzakelijke middelen en projectplanningstijd om veiligheidsgerelateerde procedures en controles te implementeren.
ISO 27001:2013 en ISO 27001:2022 gebruiken voor sommige implementatierichtlijnen verschillende bewoordingen. Richtlijn C uit 2013 stelt bijvoorbeeld dat werknemers en opdrachtnemers 'gemotiveerd' moeten worden om ISMS-beleid over te nemen; in 2022 wordt echter het woord 'gemandeerd' gebruikt.
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 Bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Simpel gezegd zorgt het management van een bedrijf ervoor dat een ISMS (Informatiebeveiligingsbeheersysteem) is gepositioneerd.
Er moet een informatiebeveiligingsmanager worden aangesteld die gekwalificeerd, ervaren en verantwoordelijk is voor het ontwikkelen, implementeren, beheren en voortdurend verbeteren van het ISMS.
Bij het implementeren van een ISO 27001-uitgelijnd ISMSEen belangrijke uitdaging is het bijhouden van uw informatiebeveiligingscontroles. Ons systeem maakt dit proces eenvoudig.
Ons team begrijpt het belang van het beschermen van de gegevens en de reputatie van uw organisatie. Bijgevolg vereenvoudigt ons cloudgebaseerde platform de implementatie van ISO 27001, stelt u in staat een robuust raamwerk voor informatiebeveiligingscontroles op te zetten en helpt u snel en eenvoudig certificering te behalen.
gebruik ISMS.online, kunt u snel de ISO 27001-certificering behalen en deze daarna beheren. Ons platform beschikt over verschillende gebruiksvriendelijke functionaliteiten en toolkits die u tijd besparen en ervoor zorgen dat u een robuust ISMS creëert.
Neem vandaag nog contact met ons op een demo plannen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
