ISO 27001:2022 Bijlage A Controle 5.5

Contact met overheidsinstanties

Boek een demo

wolkenkrabber,glas,gevels,op,een,heldere,zonnige,dag,met,zonnestralen

ISO 27001:2022 controle bijlage A 5.5 specificeert dat een organisatie een proces moet onderhouden om contact op te nemen met de juiste autoriteiten, conform haar wettelijke, regelgevende en contractuele verplichtingen.

U dient op passende wijze contact te onderhouden met de autoriteiten. Wanneer u deze bijlage A-controle aanpast, moet u zich bewust zijn van uw wettelijke verantwoordelijkheden wanneer u contact opneemt met autoriteiten, zoals de politie, het Information Commissioner's Office of andere regelgevende instanties, zoals in GDPR.

Bedenk wie contact zal opnemen, onder welke omstandigheden, en welk soort informatie zal worden gedeeld.

Hoe werkt ISO 27001:2022 bijlage A 5.5?

Controle 5.5 in bijlage A zorgt voor informatiebeveiliging van informatie goed stroomt tussen de organisatie en de bevoegde autoriteiten met betrekking tot juridische, regelgevende en toezichthoudende aangelegenheden. Er moet een geschikt forum worden opgericht om de dialoog en samenwerking tussen de Vennootschap en de relevante regelgevende, toezichthoudende en juridische autoriteiten te vergemakkelijken.

Het schetst de vereisten, het doel en de implementatie-instructies voor het snel identificeren en het rapporteren van informatiebeveiligingsgebeurtenissen. Ook wordt beschreven met wie contact moet worden opgenomen in geval van een incident.

In bijlage A, controlepunt 5.5, geeft u aan met wie contact moet worden opgenomen, bijvoorbeeld wetshandhavingsinstanties, regelgevende instanties en toezichthoudende autoriteiten. U moet deze belanghebbenden identificeren voordat er een incident plaatsvindt.

Naar informatiebeveiliging aanpakken kwesties moet de organisatie informele communicatie met de bevoegde autoriteiten tot stand brengen en onderhouden, waaronder:

  • De organisatie communiceert regelmatig met relevante autoriteiten over actuele dreigingen en kwetsbaarheden.
  • Kwetsbaarheden in producten, diensten of systemen moeten worden gemeld aan de relevante autoriteiten.
  • Informatie over dreigingen en kwetsbaarheden van relevante autoriteiten.
Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Aan de slag en voldoen aan de vereisten van bijlage A 5.5

Informatiebeveiligingsrisico's worden beheerd via bijlage A-controle 5.5, waarin de relatie van de organisatie met wetshandhavingsinstanties wordt vastgelegd.

Controle 5.5 van bijlage A vereist dat als een informatiebeveiliging incident wordt ontdekt, moet de organisatie specificeren wanneer en door wie autoriteiten (zoals wetshandhavingsinstanties, regelgevende instanties en toezichthoudende autoriteiten) op de hoogte moeten worden gesteld en hoe geïdentificeerde incidenten zo snel mogelijk moeten worden gemeld.

Naast het begrijpen van de huidige en toekomstige verwachtingen van de agentschappen (bijvoorbeeld toepasselijke regelgeving voor informatiebeveiliging), is het ook belangrijk om informatie met hen uit te wisselen.

Om aan deze eis te voldoen, moet de organisatie een samenhangende strategie hebben voor haar relatie met wetshandhavingsinstanties.

De organisatie kan ook profiteren van het onderhouden van contact met regelgevende instanties om te anticiperen op en zich voor te bereiden op komende veranderingen in relevante wet- en regelgeving.

Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?

Contact met autoriteiten is geen nieuw toegevoegde controle in ISO 27001:2022. Het was al opgenomen in ISO 27001:2013 onder controlenummer 6.1.3. Daarom is het controlenummer van bijlage A bijgewerkt.

Naast het wijzigen van het controlenummer werd ook de fraseologie gewijzigd. Bijlage A controle 5.5 stelt: “De organisatie moet contact leggen en onderhouden met relevante autoriteiten.” Bijlage A controle 6.1.3 stelt: “Er moeten passende contacten worden onderhouden met de relevante autoriteiten.” Het doel is om deze controle gebruiksvriendelijker te maken door de formulering ervan te herzien.

In de versie van 2022 werd een controledoel geïntroduceerd. Het was niet opgenomen in de versie van 2013.

Hoewel er subtiele verschillen zijn tussen de twee bijlage A-controles, blijft hun essentie hetzelfde.

In ISO 27001:2022 bijlage A Controle 5.5: contacten met autoriteiten moeten ook worden gebruikt om inzicht te krijgen in de huidige en toekomstige verwachtingen van deze autoriteiten (bijvoorbeeld de toepasselijke regelgeving inzake informatiebeveiliging). Dit ontbreekt bij ISO 27001:2013.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Wie is eigenaar van bijlage A 5.5?

Informatiebeveiligingsmanagers zijn doorgaans verantwoordelijk voor deze rol.

Andere personen kunnen deze functie uitoefenen zolang zij voor toezicht rapporteren aan de Information Security Manager. Dit zorgt ervoor dat er een consistente boodschap wordt gecommuniceerd en dat autoriteiten consistente informatie ontvangen.

Welke invloed heeft dit op u?

In de meeste certificeringscycli is er sprake van een overgangsperiode van twee tot drie jaar wanneer een herziene standaard wordt gepubliceerd.

U moet ervoor zorgen dat uw beveiligingsmaatregelen up-to-date zijn als u van plan bent een ISMS (en mogelijk zelfs een ISMS-certificering verkrijgen).

De volgende activiteiten zullen onder meer worden uitgevoerd:

  • Het is essentieel om de nieuwste standaard aan te schaffen.
  • Analyseer zowel de controlelacunes als de risico’s.
  • Identificeer en wijzig relevante bijlage A-controles in uw ISMS-beleid, standaarden en andere documentatie.
  • De Verklaring van toepasbaarheid moet indien nodig worden bijgewerkt.
  • Your interne audit programma moet worden herzien om de verbeterde bijlage A-controles weer te geven die u hebt geselecteerd.

Meer informatie over de gevolgen van deze veranderingen voor uw organisatie vindt u in onze gids voor ISO 27001:2022.

Hoe ISMS.online helpt

Het volgen van uw informatiebeveiligingscontroles is een van de meest uitdagende aspecten van het implementeren van een ISO 27001-conform ISMS.

Met ons cloudgebaseerde platform kunt u uw ISMS-proces controleren op naleving van de ISO 27k-vereisten door gebruik te maken van een robuust raamwerk van informatiebeveiligingscontroles. Met de juiste tijd en middelen kan ISMS.online dat helpen u snel en efficiënt de certificering te behalen.

Naast het beleid voor bijlage A 5.5 bevat ISMS.online tools voor het beheer van informatiebeveiliging.

Naast DPIA en andere gerelateerde beoordelingen van persoonsgegevens, bijvoorbeeld Legitimate Interest Assessments (LIA's), biedt ISMS.online eenvoudige, praktische kaders en sjablonen voor informatiebeveiliging in projectmanagement.

Neem vandaag nog contact op met boek een demo.

Kijk hoe wij u kunnen helpen

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Methode voor gegarandeerde resultaten
100% ISO 27001-succes

Uw eenvoudige, praktische, tijdbesparende route naar de eerste keer dat u voldoet aan of certificering voor ISO 27001

Boek uw demo

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu