ISO 27001:2022, Bijlage A 6.3, Bewustmaking van informatiebeveiliging, onderwijs en training, benadrukt de noodzaak voor het personeel om passende instructie te krijgen op het gebied van informatiebeveiliging, inclusief regelmatige opfriscursussen voor het beleid die relevant zijn voor hun rol.
Informatiebeveiligingsbewustzijn, onderwijs en training (IT-beveiligingsbewustzijn) houdt in dat gebruikers worden geïnformeerd over het belang van informatiebeveiliging en hen worden geïnspireerd om hun computerbeveiligingspraktijken te verbeteren.
Gebruikers moeten worden geïnformeerd over de potentiële veiligheidsrisico's die aan hun activiteiten zijn verbonden en moeten worden geleerd hoe zij zich hiertegen kunnen wapenen.
Informatiebeveiligingsbewustzijn, opleiding en training zijn essentieel voor het succes van elke organisatie. Al het personeel moet het belang van informatiebeveiliging begrijpen en de gevolgen die dit voor iedereen heeft.
Hoe beter het personeel begrijpt hoe ze zichzelf kunnen beschermen tegen cybergevaren, hoe veiliger uw organisatie zal zijn.
Vraag een offerte aan
Het doel van ISO 27001:2022 bijlage A 6.3 is te garanderen dat personeel en relevante belanghebbenden op de hoogte zijn van en voldoende zijn opgeleid om te voldoen aan hun verplichtingen op het gebied van informatiebeveiliging.
ISO 27001:2022 bijlage A 6.3 beschrijft de reeks activiteiten die nodig zijn om ervoor te zorgen dat het personeel over de kennis en vaardigheden beschikt die nodig zijn om te functioneren binnen het informatiebeveiligingskader van de organisatie. In de eerste plaats richt deze Annex A-controle zich op het vergroten van het bewustzijn van het belang van informatiebeveiliging, het bepleiten van goede praktijken en het aanmoedigen van conformiteit met relevant beleid en regelgeving.
Informatiebeveiligingseducatie, bewustzijn en training zijn essentiële componenten van de risicobeheerstrategie van een organisatie en moeten worden opgenomen in het beveiligingsbeleid. Door werknemers te voorzien van de kennis en hulpmiddelen die ze nodig hebben, kunnen organisaties ervoor zorgen dat hun beveiligingsmaatregelen effectief zijn.
ISO 27001:2022 bijlage A 6.3 schetst de noodzaak voor bedrijven om een bewustzijnsprogramma voor informatiebeveiliging te hebben om al het personeel de juiste kennis en vaardigheden te geven om informatiebronnen te beschermen. Het geeft advies over wat er moet worden opgenomen in een productief bewustwordingsprogramma.
Het kan nodig zijn dat de organisatie minstens één keer per jaar, of zoals de risicobeoordeling voorschrijft, training op het gebied van beveiligingsbewustzijn biedt aan al het personeel dat toegang heeft tot gevoelige informatiemiddelen of informatiesystemen die gevoelige gegevens opslaan, verwerken of verzenden.
Organisaties moeten een proces implementeren dat ervoor zorgt dat werknemers voldoende zijn opgeleid om hun taken veilig uit te voeren, zonder de informatiebeveiliging in gevaar te brengen. Training kan worden gegeven in sessies of via online bronnen zoals video's of webinars. Bijlage A 6.3 schrijft dit voor.
Bewustzijns-, onderwijs- en trainingsprogramma's op het gebied van informatiebeveiliging moeten worden ontwikkeld in overeenstemming met het beleid van de organisatie, het onderwerpspecifieke beleid en de relevante beveiligingsprocedures. Hierbij moet rekening worden gehouden met de informatie die moet worden beschermd en met de beveiligingscontroles om deze te beschermen, en dit moet regelmatig plaatsvinden.
Het is nuttig om bewustzijn, opleiding en training te introduceren bij zowel nieuwe medewerkers als bij degenen die overstappen naar functies die verschillende beveiligingsniveaus nodig hebben.
Een bewustmakingscampagne moet meerdere activiteiten omvatten om het begrip te vergroten. Denk hierbij aan campagnes, boekjes, posters, nieuwsbrieven, websites, informatiesessies, briefings, e-learningmodules en e-mails.
Volgens bijlage A 6.3 moet dit programma het volgende omvatten:
ISO 27001:2022 is geen geheel nieuwe controle. Deze versie van ISO 27001, gepubliceerd in oktober 2022, werkt de vorige versie ISO 27001:2013 bij.
ISO 27001:2013 Bijlage A Controle 7.2.2 mist de attributentabel en doelverklaring die worden gegeven in ISO 27001:2022 Bijlage A Controle 6.3.
Ondanks de variatie in controleaantallen lijkt er geen ander onderscheid te bestaan tussen de twee bijlage A-controles. Hoewel de formulering van de twee controles in bijlage A varieert, blijven hun betekenis en doel hetzelfde.
Bijlage A Controle 6.3 is ontworpen om gebruiksvriendelijker te zijn, waardoor mensen de inhoud ervan beter kunnen begrijpen.
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Deze reactie hangt af van uw organisatie. De beveiligingsteams van veel organisaties beheren hun bewustzijns-, onderwijs- en trainingsprogramma's op het gebied van informatiebeveiliging. Sommige organisaties vertrouwen dit echter toe aan de HR-afdeling of een andere vestiging.
Ervoor zorgen dat iemand de leiding neemt bij het formuleren en uitvoeren van het beveiligingsbewustzijnsprogramma van uw organisatie is van cruciaal belang. De informatiebeveiligingsmanager moet toezicht houden op deze persoon/afdeling (indien verschillend van hemzelf).
Deze persoon moet over een gedegen kennis van informatiebeveiliging beschikken en met het personeel kunnen communiceren over verschillende beveiligingsprotocollen. Bovendien moeten ze inhoud voor uw trainingsprogramma's kunnen creëren en periodieke trainingen voor het personeel kunnen verzorgen.
Het is essentieel om te begrijpen dat informatiebeveiliging niet alleen de plicht van IT is. Alle werknemers moeten verantwoordelijk worden gehouden. Bedrijven moeten een team samenstellen dat zich bezighoudt met beveiliging, maar ze moeten er ook voor zorgen dat iedereen het belang van vertrouwelijkheid en betrouwbaarheid begrijpt.
ISO 27001:2022 bijlage A 6.3 is een herziening van ISO 27001:2013 bijlage A 7.2.2 en geen nieuwe bijlage A-controle. Bijgevolg hoeven de meeste organisaties niets aan te passen.
Als u de 2013-versie van ISO 27001 al heeft geïmplementeerd, moet u beoordelen of deze wijzigingen relevant zijn voor uw bedrijf. Hetzelfde geldt voor als je van plan bent ISMS certificering, moet u uw beveiligingsprocessen herzien om te garanderen dat ze aan de herziene norm voldoen.
ISMS.online biedt een totaaloplossing voor de implementatie van ISO 27001:2022. Het is een webgebaseerd platform waarmee organisaties kunnen aantonen dat ze voldoen aan de ISO 27001-normen door middel van gestroomlijnde processen, procedures en checklists.
Dit platform vergemakkelijkt niet alleen de implementatie van ISO 27001, maar biedt ook een uitstekend hulpmiddel voor het trainen van personeel op het gebied van best practices op het gebied van informatiebeveiliging en het documenteren van alle inspanningen.
De voordelen van het gebruik van ISMS.Online zijn legio:
ISMS.online stroomlijnt de implementatie van ISO 27001, met alle bronnen, informatie en tools die u nodig heeft op één plek. Slechts een paar muisklikken zijn voldoende om ervoor te zorgen dat uw ISMS aan de norm voldoet.
Neem nu contact met ons op een demonstratie organiseren.
Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.
