ISO 27001:2022 Annex A 6.8 schrijft voor dat organisaties een systeem moeten creëren waarmee personeel kan rapporteren informatiebeveiliging gebeurtenissen die zij onmiddellijk en via de juiste kanalen waarnemen of vermoeden.
Inbreuken op de informatiebeveiliging (ook wel informatiebeveiligingsincidenten genoemd) nemen toe, met toenemende frequentie en intensiteit. Helaas blijven veel van deze gebeurtenissen onopgemerkt.
Er zijn veel factoren die informatiebeveiligingsgebeurtenissen kunnen veroorzaken:
Hoe veilig uw netwerk ook is, er zal altijd een risico bestaan dat zich een informatiebeveiligingsgebeurtenis voordoet. Om dit risico tot een minimum te beperken, kunt u gebruik maken van verschillende hulpmiddelen en technieken, zoals rapportage, om potentiële bedreigingen te identificeren voordat ze enige schade kunnen aanrichten.
Het rapporteren van informatiebeveiligingsgebeurtenissen is een belangrijk onderdeel van elke cyberbeveiligingsstrategie. Het implementeren van de beste technologie om gegevens te beschermen is één ding, maar begrijpen wat er gebeurt is iets anders.
Het rapporteren van informatiebeveiligingsgebeurtenissen is het proces van het noteren van incidenten, inbreuken en andere cybergebeurtenissen die plaatsvinden in een organisatie, om deze te onderzoeken en strategieën te bedenken om herhaling te voorkomen. Documentatie, analyse en preventiestrategieën zijn allemaal essentiële elementen.
Het rapporteren van informatiebeveiligingsgebeurtenissen is essentieel voor elke organisatie; Zonder deze informatie zal er geen kennis bestaan over de vraag of het netwerk is geïnfiltreerd en of er andere potentiële risico's bestaan. Zonder dit inzicht kunnen er geen maatregelen worden genomen om toekomstige incidenten te voorkomen, noch kunnen eerdere aanvallen worden geïdentificeerd en verholpen.
Het is essentieel om eventuele incidenten snel en effectief aan te pakken. Reactietijd is essentieel om het bedrijf te beschermen en de gevolgen voor klanten en andere belanghebbenden te minimaliseren.
Om dit te bereiken is bijlage A 6.8 van ISO 27001:2022 opgesteld.
Boek een chat van 30 minuten met ons en wij laten u zien hoe
Het doel van ISO 27001:2022 bijlage A Controle 6.8 is bedoeld om tijdige, consistente en effectieve rapportage van door personeel gedetecteerde informatiebeveiligingsgebeurtenissen mogelijk te maken.
Ervoor zorgen dat incidenten snel worden gerapporteerd en nauwkeurig worden gedocumenteerd, is van cruciaal belang om ervoor te zorgen dat incidentresponsactiviteiten en andere verantwoordelijkheden op het gebied van beveiligingsbeheer naar behoren worden ondersteund.
Organisaties moeten beschikken over een rapportageprogramma voor informatiebeveiligingsgebeurtenissen in overeenstemming met ISO 27001:2022 Annex A Control 6.8 om incidenten die de informatiebeveiliging kunnen beïnvloeden, op te sporen en te beperken. Het programma moet het ontvangen, evalueren en reageren op gemelde incidenten mogelijk maken.
ISO 27001:2022 Bijlage A Controle 6.8 schetst het doel en de instructies voor het opzetten van een rapportagesysteem voor informatiebeveiligingsgebeurtenissen in overeenstemming met het ISO 27001-framework.
Deze controle is bedoeld om:
Het regelmatig beoordelen van incidenten en trends om problemen op te sporen voordat ze ernstig worden (bijvoorbeeld door het aantal incidenten bij te houden of hoe lang elk incident duurt) zou een belangrijk onderdeel moeten zijn van de implementatie van bijlage A 6.8.
ISO 27001:2022 Bijlage A 6.8 vereist het volgende:
Volgens bijlage A 6.8 omvatten gebeurtenissen die rapportage over informatiebeveiliging vereisen:
Bovendien is het niet de verantwoordelijkheid van het rapporterende personeel om de kwetsbaarheid of effectiviteit van de informatiebeveiligingsgebeurtenis te testen. De afhandeling hiervan moet aan gekwalificeerd personeel worden overgelaten, aangezien dit tot wettelijke aansprakelijkheid voor de werknemer kan leiden.
Ten eerste is bijlage A 6.8 in ISO 27001:2022 geen nieuwe controle; het is een samensmelting van bijlage A 16.1.2 en bijlage A 16.1.3 in ISO 27001:2013. Deze twee controles zijn herzien in ISO 27001:2022 om deze toegankelijker te maken dan ISO 27001:2013.
Werknemers en contractanten moeten bewust worden gemaakt van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen onmiddellijk te melden en van het proces om dit te doen, inclusief de contactpersoon aan wie meldingen moeten worden gericht.
Werknemers en contractanten moeten eventuele zwakke plekken in de informatiebeveiliging onmiddellijk melden aan het contactpunt, om incidenten op het gebied van de informatiebeveiliging te voorkomen. Het rapportagesysteem moet zo eenvoudig, toegankelijk en haalbaar mogelijk zijn.
U kunt zien dat de aanbevelingen zes en acht zijn samengevoegd tot één in de herziene ISO 27001:2022.
Bijlage A 6.8 bevat twee aanvullende overwegingen die niet voorkomen in bijlage A 16.1.2 en bijlage A 16.1.3. Dit zijn:
Uiteindelijk lijken beide iteraties behoorlijk op elkaar. De grootste verschillen zijn de wijziging van het controlenummer, de controlenaam en de taal die toegankelijker is voor gebruikers. Bovendien bevat ISO 27001:2022 een attributentabel en controledoeleinden, kenmerken die in de versie van 2013 over het hoofd werden gezien.
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Informatiebeveiliging is een gezamenlijke inspanning en alle leden van de organisatie moeten hierbij betrokken worden. Niettemin zijn er verschillende personen die optreden als eerste verdedigingslinie tijdens veiligheidsgebeurtenissen. Deze mensen zijn verantwoordelijk voor het vinden van de juiste contactpersoon voor het melden en beheren van de respons op de gebeurtenis om herhaling te voorkomen.
Wie zijn de eerstehulpverleners? Dit varieert afhankelijk van de organisatie, maar omvat meestal:
De Chief Information Security Officer (CISO) is verantwoordelijk voor de beveiliging van informatie binnen hun organisatie. Ze werken samen met het senior management om de risico's effectief te verminderen eventuele risico’s beheersen.
De Informatiebeveiligingsmanager houdt routinematig toezicht op de dagelijkse activiteiten, zoals het monitoren van systemen en het omgaan met incidenten, inclusief het indienen van tickets bij andere teams.
De Hoofd Personeelszaken (CHRO) heeft de algehele verantwoordelijkheid voor personeelszaken, waaronder werving, behoud van medewerkers, beheer van arbeidsvoorwaarden en opleidingsprogramma's voor medewerkers. Ze spelen een sleutelrol bij het nemen van personeelsbeslissingen en het bevorderen van het bewustzijn onder het personeel over het melden van beveiligingsgebeurtenissen.
Om te voldoen aan de herziening van ISO 27001:2022 hoeft u er alleen maar voor te zorgen dat uw informatiebeveiligingsprocessen up-to-date blijven. Er zijn geen substantiële wijzigingen aangebracht.
Als u een ISO 27001-certificeringmoet uw huidige benadering van informatiebeveiligingsbeheer voldoen aan de nieuwe normen. Controleer of het rapporteren van informatiebeveiligingsincidenten is opgenomen in de strategie van uw bedrijf.
Als u opnieuw begint, moet u de details in de herziene standaard raadplegen.
Raadpleeg onze ISO 27001:2022-gids voor meer informatie over de impact van wijzigingen in bijlage A 6.8 op uw bedrijf.
ISO 27001 is een raamwerk voor informatiebeveiligingsbeheer dat organisaties helpt bij het opzetten van een succesvol ISMS. Deze standaard schetst de vereisten voor het construeren van een ISMS binnen een organisatie.
Bij ISMS.online helpt ons cloudgebaseerde platform bij het opbouwen, onderhouden en beoordelen van een Op ISO 27001-standaarden gebaseerd informatiebeveiligingsbeheersysteem (ISMS). We bieden aanpasbare sjablonen en hulpmiddelen om te voldoen aan de ISO 27001-voorschriften.
Met dit platform kunt u een ISMS bouwen dat voldoet aan de internationale standaard en de meegeleverde checklists gebruiken om te garanderen dat uw informatiebeveiligingsbeheer op peil is. Bovendien kunt u ISMS.online gebruiken voor risico- en kwetsbaarheidsbeoordelingen om eventuele zwakke punten in uw bestaande infrastructuur op te sporen die dringend aandacht vereisen.
ISMS.online biedt de middelen om de naleving van ISO 27001 aan te tonen. Met behulp van deze tools kunt u de naleving van de internationaal erkende norm aantonen.
Neem nu contact met ons op reserveer een demonstratie.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
