ISO 27001:2022 Bijlage A Controle 7.1

Fysieke beveiligingsperimeters

Boek een demo

zaken, communicatie, verbinding, werken, concept

Wat is ISO 27001:2022 bijlage A 7.1?

ISO 27001:2022 Bijlage A 7.1 vereist dat organisaties beveiligingsperimeters instellen en deze gebruiken om informatie en bijbehorende activa te beveiligen.

Informatie- en informatiebeveiligingsmiddelen uitgelegd

Informatie kan worden omschreven als alle gegevens, kennis of inzichten die waarde hebben voor een organisatie of bedrijf. Dit omvat alle verkregen gegevens over individuen, klanten, partners, werknemers en andere belanghebbenden.

Informatiebeveiligingsmiddelen kunnen grofweg worden ingedeeld in:

Data

Gegevens en informatie worden vaak met elkaar verward, maar er is een duidelijk verschil. Data zijn rauw, onverwerkt en in de huidige vorm doorgaans nutteloos. Aan de andere kant zijn informatie gegevens die in een bruikbaar formaat zijn gerangschikt, zoals een e-mailadres of telefoonnummer.

Infrastructuur

Infrastructuur omvat alle componenten van een netwerk – servers, printers, routers en meer – om een ​​samenhangend systeem te creëren.

Software-infrastructuur, zoals besturingssystemen en applicaties moeten worden beschermd tegen cyberdreigingen, net zoals hardware dat doet. Om uitbuiting door kwaadwillende hackers die toegang zoeken tot gevoelige gegevens te voorkomen, moeten beide regelmatig worden bijgewerkt met patches en oplossingen voor eventuele kwetsbaarheden die door hackers aan het licht zijn gebracht.

Fysieke beveiligingsperimeters uitgelegd

Fysieke beveiliging verwijst naar de fysieke maatregelen die de middelen en gebouwen van een organisatie beschermen. Het is een fundamenteel en onmisbaar onderdeel van informatiebeveiliging. Het houdt meer in dan alleen de deur op slot doen; het houdt ook in dat je je bewust bent van wie toegang heeft tot wat, wanneer, waar en hoe.

Fysieke beveiligingsperimeters identificeren de fysieke grenzen van een gebouw of gebied en controleren de toegang daartoe. Hekken, muren, poorten en andere barrières kunnen worden gebruikt om ongeautoriseerde toegang door mensen of voertuigen te voorkomen. Bovendien kan elektronische bewakingsapparatuur zoals CCTV-camera's worden gebruikt om activiteiten buiten de faciliteit te monitoren.

Fysieke beveiligingsperimeters bieden de eerste beschermingslaag tegen buitenstaanders die proberen toegang te krijgen tot uw computersysteem via een bekabelde of draadloze verbinding in een bedrijf. Ze worden vaak gecombineerd met aanvullende informatiebeveiligingscontroles, zoals identiteitsbeheer, toegangscontrole en inbraakdetectiesystemen.

Ga naar onderwerp

Richtsnoer voor ISO 27001:2022 bijlage A 7.1

ISO 27001:2022 Annex A 7.1 garandeert dat een organisatie kan aantonen dat zij over geschikte fysieke beveiligingsgrenzen beschikt om ongeautoriseerde fysieke toegang tot informatie en andere gerelateerde bedrijfsmiddelen te voorkomen.

Dit houdt in dat er stappen worden ondernomen om te voorkomen dat:

  • Ongeoorloofde toegang tot gebouwen, kamers of gebieden die informatie bevatten, is verboden.

  • Het zonder toestemming verwijderen van eigendommen uit het pand is onaanvaardbaar.

  • Het ongeoorloofd gebruik van bedrijfsmiddelen, zoals computers en aanverwante apparaten, is niet toegestaan.

  • Ongeoorloofd knoeien met elektronische communicatieapparatuur, zoals telefoons, faxen en computerterminals, is niet toegestaan.

Het is mogelijk om fysieke beveiligingsperimeters op twee verschillende manieren te implementeren:

Fysieke toegangscontrole – waarborgt de toegang tot faciliteiten en gebouwen en de beweging daarin. Denk hierbij aan het vergrendelen van deuren, alarmen, hekken en slagbomen.

Hardware beveiliging – biedt controle over fysieke apparatuur, zoals computers, printers en scanners, die gegevens verwerken die gevoelige informatie bevatten.

Deze controle helpt informatie en andere gerelateerde activa veilig te stellen, zoals vertrouwelijke documenten, documenten en apparatuur, door ongeoorloofd gebruik van de ruimte, apparatuur en benodigdheden van de faciliteit te voorkomen.

Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan

Waar mogelijk moeten richtlijnen worden aangenomen waarmee rekening moet worden gehouden bij de fysieke veiligheidsperimeters:

  • Het vaststellen van beveiligingsbarrières en het vaststellen van de exacte locatie en sterkte van elk ervan, in overeenstemming met de informatiebeveiligingsregels met betrekking tot de bronnen binnen de grens.

  • Het garanderen van de fysieke veiligheid van een gebouw of locatie waar informatieverwerkingssystemen zijn gehuisvest, is van cruciaal belang, zonder gaten of zwakke punten in de perimeter waar een inbraak zou kunnen worden vergemakkelijkt.

  • De buitenoppervlakken van de locatie, inclusief daken, muren, plafonds en vloeren, moeten van een stevige constructie zijn en alle buitendeuren moeten zijn uitgerust met controlemechanismen zoals tralies, alarmen en sloten om ongeoorloofde toegang te voorkomen.

  • Zorg ervoor dat ramen en deuren gesloten zijn als er niemand aanwezig is en houd rekening met externe beveiliging van ramen, vooral op de begane grond; Er moet ook rekening worden gehouden met ventilatie.

Voor meer inzicht in wat er verwacht wordt voor het voldoen aan de ISO 27001:2022 norm kunt u de bijbehorende documentatie raadplegen.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 7.1 vervangt ISO 27001:2013 Bijlage A 11.1.1; de context en de betekenis blijven grotendeels hetzelfde, zij het anders geformuleerd.

De versie van 2022 zag een vermindering van de implementatievereisten vergeleken met de voorafgaande controle.

In bijlage A 7.1 ontbreken de eisen die zijn beschreven in bijlage A 11.1.1, die als volgt zijn:

  • Er moet een bemande receptie zijn of een andere manier van beheer fysieke binnenkomst naar de locatie of het gebouw.

  • Alleen bevoegd personeel mag toegang krijgen tot terreinen en gebouwen.

  • Bouw, indien van toepassing, fysieke barrières om ongeoorloofde fysieke toegang te belemmeren en milieuvervuiling te voorkomen.

  • Het is noodzakelijk om inbraakdetectiesystemen te installeren die voldoen aan nationale, regionale of internationale normen en deze regelmatig te testen om alle buitendeuren en toegankelijke ramen te beveiligen.

  • Alle onbewoonde ruimtes moeten te allen tijde voorzien zijn van een alarmsysteem.

  • We moeten zorgen voor dekking van andere gebieden, zoals computer- en communicatieruimtes.

  • De organisatie moet haar informatieverwerkingsfaciliteiten fysiek gescheiden houden van de faciliteiten die door externe bronnen worden beheerd.

Geen enkele weglating vermindert de effectiviteit van de nieuwe ISO 27001:2022-norm; in plaats daarvan werden ze geëlimineerd om de bediening gemakkelijker te gebruiken en te begrijpen.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Wie is verantwoordelijk voor dit proces?

De Chief Information Officer (CIO) is de leider die verantwoordelijk is voor het beveiligen van bedrijfsgegevens en -systemen. Ze werken samen met andere leidinggevenden om veiligheid in overweging te nemen bij het nemen van zakelijke beslissingen, zoals de Chief Financial Officer en de Chief Executive Officer. Het implementeren van beleid en procedures om de informatie van het bedrijf te beschermen is een belangrijk onderdeel van de rol van de CIO.

De Chief Financial Officer speelt een rol bij het bepalen van de fysieke veiligheidsperimeters. In samenwerking met andere leidinggevenden op het hoogste niveau, waaronder de CIO, beslissen zij hoeveel ze investeren in fysieke beveiligingsmaatregelen, zoals bewakingscamera's, toegangscontroles en alarmen.

Wat betekenen deze veranderingen voor u?

ISO 27001:2022 is geen ingrijpende herziening, dus er zijn geen significante wijzigingen nodig om te voldoen.

Het is de moeite waard om uw huidige implementatie te onderzoeken om te garanderen dat deze in overeenstemming is met de nieuwe vereisten. Met name als er wijzigingen zijn aangebracht sinds de versie van 2013. Het is de moeite waard om deze wijzigingen opnieuw te beoordelen om te bepalen of ze geldig blijven of moeten worden gewijzigd.

Hoe ISMS.Online helpt

ISMS.online kan helpen bij het bewijzen van ISO 27001-naleving door een online systeem aan te bieden dat de opslag van documenten op één toegankelijke locatie mogelijk maakt. Het vergemakkelijkt ook de ontwikkeling van checklists voor elk document, waardoor de beoordeling en wijziging van documenten wordt vergemakkelijkt.

Wilt u ervaren hoe het werkt?

Neem vandaag nog contact met ons op reserveer een demonstratie.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie