ISO 27001:2022 Bijlage A 5.9 – Inventarisatie van informatie en andere bijbehorende activa

• Bekijk ISO 27002:2022 Controle 5.9 voor meer informatie.
• Bekijk ISO 27001:2013 Bijlage A 8.1.1 voor meer informatie.
• Bekijk ISO 27001:2013 Bijlage A 8.1.2 voor meer informatie.

ISO 27001 Bijlage A 5.9: Een handleiding voor het beheren van inventarissen van informatieactiva

ISO 27001:2022 Bijlage A Controle 5.9 heet Inventarisatie van informatie en andere bijbehorende activa.

Het vereist dat organisaties de activa die belangrijk zijn voor hun activiteiten en de bijbehorende risico's identificeren en documenteren, en stappen ondernemen om deze te beschermen. Dit zorgt ervoor dat activa op de juiste manier worden beheerd en gemonitord, waardoor de veiligheid ervan wordt gewaarborgd.

Bijlage A van ISO 27001:2022 schetst Controle 5.9, waarin wordt uitgelegd hoe een lijst met informatie en gerelateerde bedrijfsmiddelen, samen met hun respectievelijke eigenaren, moet worden opgesteld en bijgewerkt.

Inventarisatie van informatiemiddelen uitgelegd

De organisatie moet erkennen waartoe zij toegang heeft om haar activiteiten uit te voeren. Het moet zich bewust zijn van zijn informatiemiddelen.

Een alomvattende IA is een cruciaal onderdeel van het gegevensbeveiligingsbeleid van elke organisatie. Het is een inventarisatie van elk gegevensitem dat wordt opgeslagen, verwerkt of verzonden, evenals de locaties en beveiligingscontroles voor elk gegevensitem. Het is in wezen het financiële boekhoudkundige equivalent van gegevensbescherming, waardoor organisaties elk stukje gegevens kunnen identificeren.

Een IA kan worden gebruikt om zwakke punten in uw beveiligingsprogramma te identificeren en informatie te verstrekken om te beoordelen cyberrisico’s die tot een inbreuk kunnen leiden. Het kan ook een bewijs zijn om aan te tonen dat u stappen heeft ondernomen om gevoelige gegevens te identificeren tijdens compliance-audits, waarmee u boetes en straffen kunt ontwijken.

De inventarisatie van informatiemiddelen moet specificeren wie de eigenaar is van en verantwoordelijk is voor elk actief, evenals de waarde en het belang van elk item voor de activiteiten van de organisatie.

Het is van cruciaal belang om de inventarissen actueel te houden, zodat ze de veranderingen binnen de organisatie accuraat weerspiegelen.

Waarom heb ik een inventaris van informatiemiddelen nodig?

Het beheer van informatiemiddelen heeft een lange traditie op het gebied van bedrijfscontinuïteitsplanning (BCP), rampenherstel (DR) en voorbereiding op incidentrespons.

Het identificeren van kritieke systemen, netwerken, databases, applicaties, datastromen en andere componenten die beveiliging vereisen, is de eerste stap in elk van deze processen. Zonder kennis van wat beschermd moet worden en waar het zich bevindt, kunt u geen plannen maken voor de bescherming ervan.

Wat is het doel van ISO 27001:2022 bijlage A Controle 5.9?

De controle heeft tot doel de identiteit van de organisatie te herkennen informatie en bijbehorende middelen om informatiebeveiliging te garanderen en het juiste eigendom aanwijzen.

Bijlage A van ISO 27001:2022 schetst Controle 5.9, waarin het doel en de implementatierichtlijnen worden uiteengezet voor het creëren van een inventaris van informatie en andere middelen met betrekking tot het ISMS-framework.

Maak een inventaris van alle informatie en bijbehorende activa, classificeer ze in categorieën, identificeer eigenaren en documenteer bestaande/vereiste controles.

Dit is een cruciale stap om te garanderen dat alle gegevensbezittingen voldoende worden beschermd.

Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan

Om aan de criteria van ISO 27001:2022 te voldoen, moet u de informatie en andere bijbehorende bedrijfsmiddelen binnen uw organisatie identificeren. Daarna moet u de betekenis van deze items met betrekking tot informatiebeveiliging beoordelen. Bewaar indien nodig gegevens in speciale of bestaande inventarissen.

De omvang en complexiteit van een organisatie, bestaande controles en beleid, en de soorten informatie en middelen die zij gebruikt, zullen allemaal van invloed zijn op de ontwikkeling van een inventarisatie.

Ervoor zorgen dat de inventaris van informatie en andere bijbehorende activa accuraat, actueel, consistent en in lijn met andere inventarissen is, is van cruciaal belang, volgens Controle 5.9. Om de nauwkeurigheid te garanderen, kunt u het volgende overwegen:

• Voer systematische taxaties uit van beursgenoteerde informatie en gerelateerde activa in overeenstemming met de activacatalogus.
• Tijdens het proces van het installeren, wijzigen of verwijderen van een asset wordt automatisch een inventarisupdate afgedwongen.
• Neem indien nodig de verblijfplaats van een actief op in de inventaris.

Sommige organisaties moeten mogelijk meerdere inventarissen bijhouden voor verschillende doeleinden. Ze kunnen bijvoorbeeld over gespecialiseerde inventarissen beschikken voor softwarelicenties of fysieke apparaten zoals laptops en tablets.

Het is essentieel om periodiek alle fysieke inventaris te inspecteren, inclusief netwerkapparaten zoals routers en switches, om de nauwkeurigheid van de inventaris te behouden voor doeleinden van risicobeheer.

Voor meer informatie over het vervullen van controle 5.9 dient het ISO 27001:2022 document te worden geraadpleegd.

Verschillen tussen ISO 27001:2013 en ISO 27001:2022

In ISO 27001:2022 zijn 58 controles uit ISO 27001:2013 herzien en zijn nog eens 24 controles samengevoegd. Er zijn 11 nieuwe bedieningselementen toegevoegd, terwijl sommige zijn verwijderd.

Daarom zul je het niet vinden Bijlage A Controle 5.9 – Inventarisatie van informatie en andere bijbehorende activa – in de versie van 2013, zoals het nu een combinatie is van ISO 27001:2013 Bijlage A 8.1.1 – Inventaris van activa - en ISO 27001:2013 Bijlage A 8.1.2 – Eigendom van activa – in de 2022-versie.

Bijlage A van ISO 27001:2022 schetst Controle 8.1.2, Eigendom van activa. Dit zorgt ervoor dat alle informatiemiddelen duidelijk worden geïdentificeerd en eigendom zijn. Weten wie wat bezit, helpt bij het vaststellen welke activa moeten worden beschermd en wie verantwoording moet afleggen.

ISO 27001:2013 en ISO 27001:2022 hebben beide vergelijkbare controlesBijlage A Controle 5.9 van laatstgenoemde is echter uitgebreid om een ​​eenvoudigere interpretatie te bieden. De implementatierichtlijnen over asset-eigendom in control 8.1.2 schrijven bijvoorbeeld voor dat de asset-eigenaar:

• Zorg ervoor dat alle activa nauwkeurig worden geregistreerd in de inventaris.
• Zorg ervoor dat activa op passende wijze worden geclassificeerd en beveiligd.
• Periodiek herzien en toegangsbeperkingen definiëren en classificaties voor belangrijke activa, rekening houdend met het toepasselijke toegangscontrolebeleid.
• Zorg ervoor dat er passende actie wordt ondernomen wanneer het actief wordt verwijderd of vernietigd.

Het eigendomsgedeelte van controle 5.9 is uitgebreid met negen punten, in plaats van de oorspronkelijke vier. Er zijn correcties aangebracht in de spelling en grammatica, en de toon is veranderd in een professionele, vriendelijke stijl. Redundantie en herhaling zijn geëlimineerd en er wordt nu in een actieve stijl geschreven.

De eigenaar van activa moet de verantwoordelijkheid op zich nemen voor passend toezicht op een actief gedurende de gehele levenscyclus ervan, en ervoor zorgen dat:

• Alle gegevens en gerelateerde bronnen worden vermeld en gedocumenteerd.
• Zorg ervoor dat alle gegevens, gerelateerde activa en andere gerelateerde bronnen nauwkeurig worden geclassificeerd en beveiligd.
• De classificatie wordt regelmatig herzien om de nauwkeurigheid ervan te garanderen.
• Componenten die technologische activa ondersteunen, worden vastgelegd en met elkaar verbonden, inclusief databases, opslag, softwarecomponenten en subcomponenten.
• Vereisten voor het acceptabele gebruik van informatie en andere bijbehorende bedrijfsmiddelen zijn uiteengezet in 5.10.
• Toegangsbeperkingen komen overeen met de classificatie en zijn effectief gebleken. Ze worden periodiek herzien om voortdurende bescherming te garanderen.
• Informatie en andere bijbehorende activa worden veilig behandeld wanneer ze worden verwijderd of verwijderd, en uit de inventaris verwijderd.
• Zij zijn verantwoordelijk voor het identificeren en omgaan met de risico's die verbonden zijn aan hun activa.
• Zij bieden ondersteuning aan het personeel dat hun informatie beheert en nemen de daaraan verbonden rollen en verantwoordelijkheden op zich.

Het samenvoegen van deze twee bedieningselementen in één vergemakkelijkt het begrip voor de gebruiker.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Wat betekenen deze veranderingen voor u?

De laatste ISO 27001-wijzigingen hebben geen invloed op uw huidige certificering volgens de ISO 27001-normen. Alleen upgrades naar ISO 27001 kan effect hebben op bestaande certificeringen. Accrediterende instanties zullen samenwerken met de certificerende instanties om een ​​overgangsperiode te bedenken die organisaties de tijd geeft ISO 27001-certificaten bieden voldoende tijd om van de ene versie naar de volgende te gaan.

Deze stappen moeten worden genomen om aan de herziene versie te voldoen:

• Zorg ervoor dat uw bedrijf voldoet aan de nieuwste regelgeving door het risicoregister en de risicobeheerprocedures te onderzoeken.
• Bijlage A moet worden gewijzigd om eventuele wijzigingen in de Verklaring van Toepasselijkheid weer te geven.
• Zorg ervoor dat uw beleid en procedures up-to-date zijn om aan de nieuwe regelgeving te voldoen.

Tijdens de transitie naar de nieuwe standaard krijgen we toegang tot nieuwe best practices en kwaliteiten voor controleselectie, waardoor een effectiever en efficiënter selectieproces mogelijk wordt.

U moet vasthouden aan een risicogebaseerde methode om te garanderen dat alleen de meest relevante en efficiënte controles voor uw onderneming worden geselecteerd.

Hoe ISMS.online helpt

ISMS.online is ideaal voor het implementeren van uw ISO 27001 Information Security Management System. Het is speciaal ontworpen om bedrijven te helpen aan de eisen van de norm te voldoen.

De platform hanteert een risicogerichte werkwijze in combinatie met toonaangevende best practices en sjablonen uit de branche om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd, vast te stellen en de controles uit te voeren die nodig zijn om deze te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als de compliancekosten systematisch verlagen.

Met ISMS.online kunt u:

1. Ontwikkel een Informatiebeveiligingsbeheersysteem (ISMS).
2. Stel een op maat gemaakte set beleid en procedures samen.
3. Implementeer een ISMS om te voldoen aan de ISO 27001-normen.
4. Laat u bijstaan ​​door ervaren adviseurs.

U kunt profiteren van ISMS.online om een ​​ISMS te bouwen, een op maat gemaakte set beleid en processen te creëren, zich te houden aan de ISO 27001-criteria en hulp te krijgen van ervaren adviseurs.

Het ISMS.online-platform is gebaseerd op Plan-Do-Check-Act (PDCA), een iteratieve procedure in vier fasen voor voortdurende verbetering, die voldoet aan alle eisen van ISO 27001:2022. Het is eenvoudig. Neem nu contact met ons op regel uw demonstratie.