ISO 27001:2022 Bijlage A 6.7 – Werken op afstand

• Bekijk ISO 27002:2022 Controle 6.7 voor meer informatie.
• Bekijk ISO 27001:2013 Bijlage A 6.2.2 voor meer informatie.

Wat is ISO 27001:2022 bijlage A 6.7?

ISO 27001:2022 Bijlage A 6.7, Werken op afstand biedt richtlijnen voor de manier waarop organisaties beleid moeten opstellen om veilige toegang tot informatiesystemen en netwerken te garanderen wanneer ze op afstand werken. Verder beveelt zij de implementatie van een managementsysteem voor informatiebeveiliging dat omvat procedures voor het beschermen van toegang op afstand.

Informatiebeveiligingsimplicaties van werken op afstand

Werken op afstand is een meer wijdverspreide trend geworden, omdat de technologie zich heeft ontwikkeld om werknemers in staat te stellen op afstand te werken zonder de productiviteit en efficiëntie aan te tasten. Dit brengt echter wel risico's met zich mee voor de gegevensbeveiliging.

Als bedrijfseigenaar is het noodzakelijk om intellectueel eigendom te beschermen tegen cybercriminelen en de veiligheid van gegevens tegen hackers te garanderen. Door actie te ondernemen kan men zich wapenen tegen cybercriminaliteit en de veiligheid van informatie garanderen.

Werken op afstand kan een reeks veiligheidsrisico's met zich meebrengen die moeten worden aangepakt, zoals:

Access Controle

Werken op afstand kan nuttig zijn, omdat het betere toegang biedt tot vertrouwelijke gegevens en systemen. Niettemin brengt het verschillende veiligheidsoverwegingen met zich mee.

Werken op afstand kan, als er niet goed toezicht op wordt gehouden, kwetsbaar zijn voor beveiligingsproblemen zoals hacking, malware, ongeautoriseerde toegang en meer. Dit is vooral het geval als medewerkers niet in een beveiligde omgeving aanwezig zijn.

Verlies van fysieke veiligheid

Werken op afstand kan ook gevolgen hebben voor die van een bedrijf fysieke beveiliging. Omdat er geen personeel meer aanwezig is in het kantoor of een gebouw, is het mogelijk dat zij verdachte activiteiten niet kunnen detecteren.

Vertrouwelijkheid

Werken op afstand kan een risico voor de vertrouwelijkheid vormen. Werknemers kunnen bijvoorbeeld zonder toestemming van het bedrijf toegang krijgen tot vertrouwelijke informatie.

Werknemers kunnen gemakkelijk toegang krijgen tot vertrouwelijke bedrijfsgegevens via het openbare internet. Bovendien zijn er zelfs sites waar medewerkers vertrouwelijke gegevens kunnen uploaden voor openbare weergave.

Privacy

Werken op afstand kan gevolgen hebben voor de privacy van een organisatie. Als personeel bijvoorbeeld vanuit huis werkt, is de kans groter dat ze hun persoonlijke bezittingen niet opbergen.

Deze eigenschap kan vertrouwelijke gegevens bevatten die de privacy van een bedrijf in gevaar kunnen brengen.

Data Protection

Werken op afstand kan een gevaar vormen voor de gegevens van een bedrijf. Medewerkers kunnen bijvoorbeeld op afstand toegang krijgen tot bedrijfsinformatie en deze gegevens kunnen op meerdere locaties worden opgeslagen.

In het geval dat werknemers de werkplek verlaten en hun apparaat meenemen, kan het ophalen van gegevens die zijn opgeslagen op computers, servers en mobiele toestellen kan een grotere uitdaging blijken.

De werknemer kan een fout maken of te kwader trouw handelen met het apparaat, waardoor de veiligheid van de gegevens in gevaar komt.

Wat is het doel van ISO 27001:2022 bijlage A 6.7?

Het doel van ISO 27001:2022 bijlage A 6.7 is te garanderen dat personeel op afstand over de noodzakelijke toegangscontroles beschikt om de vertrouwelijkheid, integriteit en beschikbaarheid van vertrouwelijke of bedrijfseigen informatie, procedures en systemen te beschermen tegen ongeoorloofde toegang of openbaarmaking door onbevoegde personen.

Organisaties moeten de veiligheid van informatie garanderen wanneer personeel op afstand werkt. Ze moeten dus een beleid op maat uitvaardigen met betrekking tot werken op afstand, waarin de toepasselijke voorwaarden en limieten voor gegevensbeveiliging worden vastgelegd. Dit beleid moet onder al het personeel worden verspreid, inclusief instructies over hoe u technologieën voor externe toegang veilig en veilig kunt gebruiken.

Dit beleid zal waarschijnlijk het volgende aanpakken:

• De voorwaarden waaronder werken op afstand is toegestaan.
• Processen om ervoor te zorgen dat externe werknemers toegang hebben tot vertrouwelijke informatie.
• Om ervoor te zorgen dat informatie wordt beschermd wanneer deze tussen verschillende fysieke locaties wordt verzonden, moeten bepaalde procedures worden gevolgd.

Het is essentieel om een ​​duidelijk beeld te creëren systeem voor het melden van incidenten, inclusief de juiste contactgegevens. Dit kan beveiligingsinbreuken of andere incidenten helpen voorkomen.

Het beleid moet ook betrekking hebben op encryptie, firewalls, antivirussoftware-updates en instructies voor medewerkers over hoe ze veilig gebruik kunnen maken van externe verbindingen.

Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan

Om te voldoen aan bijlage A 6.7 moeten organisaties die werken op afstand aanbieden een beleid met betrekking tot werken op afstand uitvaardigen waarin de bijbehorende voorschriften en beperkingen worden gespecificeerd.

Het beleid moet periodiek worden geëvalueerd, vooral als de technologie of de wetgeving verandert.

Al het personeel, aannemers en entiteiten die betrokken zijn bij activiteiten op het gebied van werken op afstand moeten op de hoogte zijn van dit beleid.

Het beleid moet worden gedocumenteerd, toegankelijk gemaakt voor belanghebbenden, zoals toezichthouders en auditors, en actueel worden gehouden.

Organisaties moeten ervoor zorgen dat ze over de nodige veiligheidsmaatregelen beschikken om gevoelige of vertrouwelijke informatie te beveiligen die elektronisch wordt verzonden of opgeslagen tijdens operaties op afstand.

Conform bijlage A 6.7 dient met het volgende rekening te worden gehouden:

• Denk aan de fysieke beveiliging van de werkplek op afstand, zowel bestaande als voorgestelde, en omvat de veiligheid van de locatie, de omgeving en de rechtssystemen van de regio’s waar het personeel is gevestigd.
• Regels voor een veilige fysieke omgeving, zoals afsluitbare archiefkasten, veilig transport tussen locaties, regels voor toegang op afstand, een opgeruimd bureau, afdrukken en weggooien van gegevens en aanverwante activa, evenals rapportage over beveiligingsgebeurtenissen, moet worden uitgevoerd.
• De verwachte fysieke omgevingen voor werken op afstand.
• Er moet worden gezorgd voor veilige communicatie, waarbij rekening wordt gehouden met de behoeften op het gebied van externe toegang van de organisatie, de gevoeligheid van de overgedragen gegevens en de kwetsbaarheid van de systemen en applicaties.
• Toegang op afstand, zoals virtuele desktoptoegang, maakt het verwerken en opslaan van informatie op persoonlijke apparaten mogelijk.
• Het gevaar van ongeautoriseerde toegang tot gegevens of bedrijfsmiddelen van personen buiten de externe werkruimte – zoals familieleden en vrienden – is reëel.
• Het risico van ongeoorloofde toegang tot gegevens of activa door mensen in openbare ruimtes is een punt van zorg.
• Het gebruik van zowel thuis- als openbare netwerken, evenals regels of verboden met betrekking tot het opzetten van draadloze netwerkdiensten, is noodzakelijk.
• Het gebruik van beveiligingsmaatregelen, zoals firewalls en antimalwarebescherming, is essentieel.
• Zorg ervoor dat systemen op afstand kunnen worden ingezet en geïnitieerd met veilige protocollen.
• Er moeten veilige authenticatiemechanismen worden ingeschakeld om toegangsrechten te verlenen, waarbij rekening moet worden gehouden met de gevoeligheid van single-factor authenticatiemechanismen wanneer externe toegang tot het netwerk van de organisatie wordt geautoriseerd.

De richtlijnen en maatregelen waarmee rekening moet worden gehouden, moeten het volgende omvatten:

• De organisatie moet geschikte apparatuur en opbergmeubilair leveren voor activiteiten op afstand, waarbij het gebruik van apparatuur in particulier bezit die niet onder haar controle staat, wordt verboden.
• Deze taak omvat het volgende: het definiëren van het toegestane werk, het classificeren van de informatie die kan worden bewaard, en het autoriseren van externe werknemers om toegang te krijgen tot interne systemen en diensten.
• Er moet training worden aangeboden aan degenen die op afstand werken en degenen die ondersteuning bieden. Dit moet betrekking hebben op de manier waarop u veilig zaken kunt doen buiten het kantoor.
• Het is essentieel dat er voor geschikte communicatieapparatuur wordt gezorgd, zoals het vereisen van schermvergrendelingen van apparaten en inactiviteitstimers voor toegang op afstand.
• Het inschakelen van apparaatlocatietracking is mogelijk.
• De installatie van mogelijkheden voor wissen op afstand is een must.
• Fysieke bewaking.
• Richtlijnen en regels met betrekking tot de toegang van familie en bezoekers tot apparatuur en gegevens moeten worden gevolgd.
• Het bedrijf biedt hardware- en softwareondersteuning en onderhoud.
• Het aanbieden van verzekeringen.
• Het protocol voor gegevensback-up en continuïteit van activiteiten.
• Audit- en beveiligingsmonitoring.
• Bij beëindiging van de activiteiten op het gebied van werken op afstand moeten de bevoegdheden en toegangsrechten worden ingetrokken en moet alle apparatuur worden geretourneerd.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 6.7 is een aanpassing van bijlage A 6.2.2 van ISO 27001:2013 en geen nieuw element.

ISO 27001:2022 bijlage A 6.7 en 6.2.2 delen veel overeenkomsten, hoewel de nomenclatuur en bewoording verschillen. In ISO 27001:2013 wordt 6.2.2 telewerken genoemd, terwijl 6.7 bekend staat als werken op afstand. Deze verandering komt tot uiting in de nieuwe versie van de standaard, die telewerken vervangt door werken op afstand.

In bijlage A 6.7 van ISO 27001:2022 schetst de norm wat kwalificeert als werken op afstand, inclusief telewerken – de oorspronkelijke controlenaam in de ISO 27001:2013-versie.

Versie 2022 van de implementatierichtlijnen komen grotendeels overeen, al verschillen de taal en termen. Om ervoor te zorgen dat gebruikers de standaard begrijpen, wordt gebruiksvriendelijke taal gebruikt.

In bijlage A, 6.7, zijn enkele toevoegingen gedaan en in 6.2.2 zijn er enkele verwijderd.

Toegevoegd aan ISO 27001:2022 bijlage A 6.7 Werken op afstand

• Zorg voor fysieke beveiliging met afsluitbare archiefkasten, zorg voor veilige transport- en toegangsinstructies, stel een clear desk-beleid op, schets afdruk-/verwijderingsprotocollen voor informatie/activa en implementeer een incidentresponssysteem.
• De verwachting is dat mensen op afstand zullen gaan werken. Er worden fysieke omstandigheden verwacht.
• Het risico van ongeoorloofde toegang tot informatie of bronnen van vreemden in openbare ruimtes.
• Veilige methoden voor het op afstand implementeren en instellen van systemen.
• Er zijn veilige mechanismen aanwezig om te authenticeren en toe te staan toegangsrechten, waarbij rekening wordt gehouden met de gevoeligheid van mechanismen voor authenticatie met één factor wanneer externe toegang tot het netwerk van de organisatie is ingeschakeld.

Verwijderd uit ISO 27001:2013 bijlage A 6.2.2 Telewerken

• De implementatie van thuisnetwerken en de regelgeving of beperkingen voor het configureren van draadloze netwerkdiensten zijn noodzakelijk.
• Er moeten beleidsmaatregelen en procedures worden ingevoerd om geschillen over rechten op intellectueel eigendom, ontwikkeld op apparatuur in particulier bezit, te beperken.
• Het verkrijgen van toegang tot machines in particulier bezit (om de veiligheid ervan te garanderen of voor onderzoeksdoeleinden) kan bij wet verboden zijn.
• Organisaties kunnen verantwoordelijk zijn voor softwarelicenties op werkstations die privébezit zijn van hun personeel of externe gebruikers.

ISO 27001:2022 geeft doelverklaringen en attribuuttabellen voor elke controle, waardoor gebruikers de controles effectiever kunnen begrijpen en in de praktijk kunnen brengen.

De ISO 27001:2013-versie mist deze twee componenten.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Wie is verantwoordelijk voor dit proces?

De primaire taak van het bedenken van een informatiebeveiligingsbeleid voor medewerkers op afstand ligt bij de informatiebeveiligingsfunctionaris van de organisatie. Niettemin moeten ook andere belanghebbenden bij het proces worden betrokken.

IT- en HR-managers zijn er samen verantwoordelijk voor dat het beleid wordt geïmplementeerd en gehandhaafd, en dat medewerkers het begrijpen en naleven.

Als u een leveranciersbeheerprogramma heeft, is het waarschijnlijk dat de persoon die verantwoordelijk is voor het beheer van aannemers en leveranciers verantwoordelijk is voor het opstellen van een beveiligingsbeleid voor externe medewerkers op die afdeling.

Wat betekenen deze veranderingen voor u?

ISO 27001:2022 blijft grotendeels ongewijzigd; U hoeft er dus alleen maar voor te zorgen dat uw informatiebeveiligingsprocessen voldoen aan de nieuwe release.

Het wijzigen van enkele controles en het verduidelijken van bepaalde vereisten waren de belangrijkste verandering. Bijlage A 6.7 had het grootste effect: als u werkzaamheden uitbesteedt of mensen op afstand in dienst neemt, moet u ervoor zorgen dat zij over passende beveiligingsmaatregelen beschikken.

Als uw organisatie al een ISO 27001-certificering, zal het proces dat u hanteert om de informatiebeveiliging te beheren voldoen aan de nieuwe regelgeving.

Als u uw abonnement wilt verlengen ISO 27001 certificering, hoeft u geen actie te ondernemen. Zorg er alleen voor dat uw procedures nog steeds voldoen aan de nieuwe standaard.

Als u vanaf het begin begint, is het noodzakelijk om na te denken over hoe u de gegevens en informatie van uw bedrijf kunt beveiligen tegen cyberaanvallen en andere risico's.

Het is essentieel om cyberrisico’s serieus te nemen en deze te beheren als onderdeel van het algemene bedrijfsplan, in plaats van ze alleen als een probleem voor IT- of beveiligingsafdelingen te beschouwen.

Hoe ISMS.online helpt

De ISMS.online-platform helpt bij elk facet van de implementatie van ISO 27001:2022, van het uitvoeren van risicobeoordelingsactiviteiten tot het ontwerpen van beleid, procedures en richtlijnen om aan de specificaties van de norm te voldoen.

ISMS.online biedt een platform voor het documenteren en delen van bevindingen met collega’s. Bovendien kunt u hiermee checklists genereren en opslaan van alle taken die nodig zijn voor de implementatie van ISO 27001, zodat u de beveiligingsmaatregelen van uw organisatie gemakkelijk kunt controleren.

Wij bieden organisaties een set geautomatiseerde tools waarmee het aantonen van naleving van ISO 27001 eenvoudig wordt.

Neem nu contact met ons op boek een demonstratie.