ISO 27001:2022 Bijlage A Controle 5.9 heet Inventarisatie van informatie en andere bijbehorende activa.
Het vereist dat organisaties de activa die belangrijk zijn voor hun activiteiten en de bijbehorende risico's identificeren en documenteren, en stappen ondernemen om deze te beschermen. Dit zorgt ervoor dat activa op de juiste manier worden beheerd en gemonitord, waardoor de veiligheid ervan wordt gewaarborgd.
Bijlage A van ISO 27001:2022 schetst Controle 5.9, waarin wordt uitgelegd hoe een lijst met informatie en gerelateerde bedrijfsmiddelen, samen met hun respectievelijke eigenaren, moet worden opgesteld en bijgewerkt.
De organisatie moet erkennen waartoe zij toegang heeft om haar activiteiten uit te voeren. Het moet zich bewust zijn van zijn informatiemiddelen.
Een alomvattende IA is een cruciaal onderdeel van het gegevensbeveiligingsbeleid van elke organisatie. Het is een inventarisatie van elk gegevensitem dat wordt opgeslagen, verwerkt of verzonden, evenals de locaties en beveiligingscontroles voor elk gegevensitem. Het is in wezen het financiële boekhoudkundige equivalent van gegevensbescherming, waardoor organisaties elk stukje gegevens kunnen identificeren.
Een IA kan worden gebruikt om zwakke punten in uw beveiligingsprogramma te identificeren en informatie te verstrekken om te beoordelen cyberrisico’s die tot een inbreuk kunnen leiden. Het kan ook een bewijs zijn om aan te tonen dat u stappen heeft ondernomen om gevoelige gegevens te identificeren tijdens compliance-audits, waarmee u boetes en straffen kunt ontwijken.
De inventarisatie van informatiemiddelen moet specificeren wie de eigenaar is van en verantwoordelijk is voor elk actief, evenals de waarde en het belang van elk item voor de activiteiten van de organisatie.
Het is van cruciaal belang om de inventarissen actueel te houden, zodat ze de veranderingen binnen de organisatie accuraat weerspiegelen.
Het beheer van informatiemiddelen heeft een lange traditie op het gebied van bedrijfscontinuïteitsplanning (BCP), rampenherstel (DR) en voorbereiding op incidentrespons.
Het identificeren van kritieke systemen, netwerken, databases, applicaties, datastromen en andere componenten die beveiliging vereisen, is de eerste stap in elk van deze processen. Zonder kennis van wat beschermd moet worden en waar het zich bevindt, kunt u geen plannen maken voor de bescherming ervan.
Vraag een offerte aan
De controle heeft tot doel de identiteit van de organisatie te herkennen informatie en bijbehorende middelen om informatiebeveiliging te garanderen en het juiste eigendom aanwijzen.
Bijlage A van ISO 27001:2022 schetst Controle 5.9, waarin het doel en de implementatierichtlijnen worden uiteengezet voor het creëren van een inventaris van informatie en andere middelen met betrekking tot het ISMS-framework.
Maak een inventaris van alle informatie en bijbehorende activa, classificeer ze in categorieën, identificeer eigenaren en documenteer bestaande/vereiste controles.
Dit is een cruciale stap om te garanderen dat alle gegevensbezittingen voldoende worden beschermd.
Om aan de criteria van ISO 27001:2022 te voldoen, moet u de informatie en andere bijbehorende bedrijfsmiddelen binnen uw organisatie identificeren. Daarna moet u de betekenis van deze items met betrekking tot informatiebeveiliging beoordelen. Bewaar indien nodig gegevens in speciale of bestaande inventarissen.
De omvang en complexiteit van een organisatie, bestaande controles en beleid, en de soorten informatie en middelen die zij gebruikt, zullen allemaal van invloed zijn op de ontwikkeling van een inventarisatie.
Ervoor zorgen dat de inventaris van informatie en andere bijbehorende activa accuraat, actueel, consistent en in lijn met andere inventarissen is, is van cruciaal belang, volgens Controle 5.9. Om de nauwkeurigheid te garanderen, kunt u het volgende overwegen:
Sommige organisaties moeten mogelijk meerdere inventarissen bijhouden voor verschillende doeleinden. Ze kunnen bijvoorbeeld over gespecialiseerde inventarissen beschikken voor softwarelicenties of fysieke apparaten zoals laptops en tablets.
Het is essentieel om periodiek alle fysieke inventaris te inspecteren, inclusief netwerkapparaten zoals routers en switches, om de nauwkeurigheid van de inventaris te behouden voor doeleinden van risicobeheer.
Voor meer informatie over het vervullen van controle 5.9 dient het ISO 27001:2022 document te worden geraadpleegd.
In ISO 27001:2022 zijn 58 controles uit ISO 27001:2013 herzien en zijn nog eens 24 controles samengevoegd. Er zijn 11 nieuwe bedieningselementen toegevoegd, terwijl sommige zijn verwijderd.
Daarom zul je het niet vinden Bijlage A Controle 5.9 – Inventarisatie van informatie en andere bijbehorende activa – in de versie van 2013, zoals het nu een combinatie is van ISO 27001:2013 Bijlage A 8.1.1 – Inventaris van activa - en ISO 27001:2013 Bijlage A 8.1.2 – Eigendom van activa – in de 2022-versie.
Bijlage A van ISO 27001:2022 schetst Controle 8.1.2, Eigendom van activa. Dit zorgt ervoor dat alle informatiemiddelen duidelijk worden geïdentificeerd en eigendom zijn. Weten wie wat bezit, helpt bij het vaststellen welke activa moeten worden beschermd en wie verantwoording moet afleggen.
ISO 27001:2013 en ISO 27001:2022 hebben beide vergelijkbare controlesBijlage A Controle 5.9 van laatstgenoemde is echter uitgebreid om een eenvoudigere interpretatie te bieden. De implementatierichtlijnen over asset-eigendom in control 8.1.2 schrijven bijvoorbeeld voor dat de asset-eigenaar:
Het eigendomsgedeelte van controle 5.9 is uitgebreid met negen punten, in plaats van de oorspronkelijke vier. Er zijn correcties aangebracht in de spelling en grammatica, en de toon is veranderd in een professionele, vriendelijke stijl. Redundantie en herhaling zijn geëlimineerd en er wordt nu in een actieve stijl geschreven.
De eigenaar van activa moet de verantwoordelijkheid op zich nemen voor passend toezicht op een actief gedurende de gehele levenscyclus ervan, en ervoor zorgen dat:
Het samenvoegen van deze twee bedieningselementen in één vergemakkelijkt het begrip voor de gebruiker.
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
De laatste ISO 27001-wijzigingen hebben geen invloed op uw huidige certificering volgens de ISO 27001-normen. Alleen upgrades naar ISO 27001 kan effect hebben op bestaande certificeringen. Accrediterende instanties zullen samenwerken met de certificerende instanties om een overgangsperiode te bedenken die organisaties de tijd geeft ISO 27001-certificaten bieden voldoende tijd om van de ene versie naar de volgende te gaan.
Deze stappen moeten worden genomen om aan de herziene versie te voldoen:
Tijdens de transitie naar de nieuwe standaard krijgen we toegang tot nieuwe best practices en kwaliteiten voor controleselectie, waardoor een effectiever en efficiënter selectieproces mogelijk wordt.
U moet vasthouden aan een risicogebaseerde methode om te garanderen dat alleen de meest relevante en efficiënte controles voor uw onderneming worden geselecteerd.
ISMS.online is ideaal voor het implementeren van uw ISO 27001 Information Security Management System. Het is speciaal ontworpen om bedrijven te helpen aan de eisen van de norm te voldoen.
De platform hanteert een risicogerichte werkwijze in combinatie met toonaangevende best practices en sjablonen uit de branche om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd, vast te stellen en de controles uit te voeren die nodig zijn om deze te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als de compliancekosten systematisch verlagen.
U kunt profiteren van ISMS.online om een ISMS te bouwen, een op maat gemaakte set beleid en processen te creëren, zich te houden aan de ISO 27001-criteria en hulp te krijgen van ervaren adviseurs.
Het ISMS.online-platform is gebaseerd op Plan-Do-Check-Act (PDCA), een iteratieve procedure in vier fasen voor voortdurende verbetering, die voldoet aan alle eisen van ISO 27001:2022. Het is eenvoudig. Neem nu contact met ons op regel uw demonstratie.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
