ISO 27001:2022 Bijlage A Controle 7.14

Veilige verwijdering of hergebruik van apparatuur

Boek een demo

onderkant,weergave,van,moderne,wolkenkrabbers,in,bedrijf,wijk,tegen,blauw

IT-apparatuur die niet langer nodig is, moet worden vernietigd, teruggegeven aan de leaser, overgedragen aan een derde partij, gerecycled of hergebruikt voor andere bedrijfsactiviteiten.

Organisaties moeten informatie en gelicentieerde software beschermen door ervoor te zorgen dat deze worden gewist of overschreven voordat de apparatuur wordt weggegooid of hergebruikt. Dit helpt de vertrouwelijkheid van de gegevens die op het apparaat zijn opgeslagen te beschermen.

Als een organisatie een externe dienstverlener voor de verwijdering van IT-middelen inschakelt om verouderde laptops, printers en externe schijven over te dragen, kan deze aanbieder ongeautoriseerde toegang krijgen tot gegevens die op de apparatuur worden gehost.

ISO 27001:2022 bijlage A 7.14 behandelt hoe organisaties de vertrouwelijkheid kunnen bewaren van gegevens die zijn opgeslagen op apparatuur die is bestemd voor verwijdering of hergebruik, door effectieve beveiligingsmaatregelen en -procedures te implementeren.

Doel van ISO 27001:2022 Bijlage A 7.14

ISO 27001:2022 Bijlage A 7.14 stelt organisaties in staat ongeautoriseerde toegang tot gevoelige gegevens te voorkomen door te verifiëren dat alle informatie en software waarvoor een licentie op apparatuur is verleend, onherroepelijk wordt gewist of overschreven voordat de apparatuur wordt weggegooid of aan een derde partij wordt overgedragen voor hergebruik.

Eigendom van bijlage A 7.14

In overeenstemming met ISO 27001:2022 bijlage A 7.14 moet er een organisatiebrede procedure voor het verwijderen en hergebruiken van gegevens worden vastgesteld, inclusief de identificatie van alle apparatuur en de implementatie van geschikte technische verwijderingsmechanismen en hergebruikprocessen.

De Chief Information Officer moet verantwoordelijk zijn voor het opzetten, uitvoeren en onderhouden van systemen en processen voor het weggooien en hergebruiken van apparatuur.

Leidraad voor ISO 27001:2022 bijlage A 7.14 Naleving

ISO 27001:2022 Annex A 7.14 specificeert vier essentiële overwegingen voor compliance die organisaties in gedachten moeten houden:

Het is raadzaam een ​​proactieve houding aan te nemen

Voordat organisaties worden weggegooid of hergebruikt, moeten zij zich ervan vergewissen of de apparatuur deze bevat informatie-activa en gelicentieerde software en zorg ervoor dat deze permanent worden gewist.

Fysieke vernietiging of onherstelbare verwijdering van gegevens

ISO 27001:2022 bijlage A 7.14 stelt dat er twee benaderingen kunnen worden gevolgd om het veilig en permanent wissen van informatie op apparatuur te garanderen:

  1. Apparatuur die opslagmedia-apparaten bevat die informatie bevatten, moet fysiek worden vernietigd.
  2. Organisaties dienen hiervoor bijlage A 7.10 en bijlage A 8.10 te raadplegen Opslag media en het verwijderen van informatie om ervoor te zorgen dat alle gegevens die op apparatuur zijn opgeslagen, worden gewist, overschreven of vernietigd op een manier die terughalen door kwaadwillende partijen uitsluit.

Alle labels en markeringen moeten worden verwijderd

Apparatuurcomponenten en de gegevens die ze bevatten kunnen worden gelabeld of gemarkeerd om de organisatie te identificeren of om de eigenaar van de activa, het netwerk of het classificatieniveau van de informatie te onthullen. Al deze labels en markeringen moeten permanent worden vernietigd.

Verwijdering van controles

Organisaties kunnen overwegen om beveiligingsmaatregelen, zoals toegangsbeperkingen of bewakingssystemen, te verwijderen bij het verlaten van faciliteiten, onder de volgende omstandigheden:

  • In de huurovereenkomst zijn de eisen voor teruggave van de woning vastgelegd.
  • Het beperken van het risico van ongeoorloofde toegang tot gevoelige informatie door de toekomstige huurder is essentieel.
  • Kunnen de huidige controles worden gebruikt in de komende vestiging?

Aanvullend richtsnoer bij bijlage A 7.14

Naast de Algemene Richtlijnen geeft ISO 27001:2022 Bijlage A 7.14 drie specifieke aanbevelingen voor organisaties.

Beschadigde apparatuur

Wanneer apparatuur met gegevens ter reparatie wordt verzonden, kan deze kwetsbaar zijn voor ongeautoriseerde toegang van derden.

Organisaties moeten een risico-evaluatie uitvoeren, rekening houdend met de mate van gevoeligheid van de gegevens, en overwegen of het vernietigen van de apparatuur een meer haalbare keuze zou zijn dan reparatie.

Versleuteling op volledige schijf

Ervoor zorgen dat de volledige schijfversleuteling aan de hoogste normen voldoet, is essentieel voor het waarborgen van de vertrouwelijkheid van gegevens. Opgemerkt moet worden dat het volgende in acht moet worden genomen:

  • De codering is betrouwbaar en beschermt elk aspect van de schijf, inclusief de overgebleven ruimte.
  • Cryptografische sleutels moeten voldoende lang zijn om brute force-aanvallen te dwarsbomen.
  • Organisaties moeten de geheimhouding van hun cryptografische sleutels beschermen. De coderingssleutel mag bijvoorbeeld niet op dezelfde harde schijf worden opgeslagen.

Hulpmiddelen voor overschrijven

Organisaties moeten een overschrijvingsaanpak kiezen, waarbij ze rekening moeten houden met de volgende criteria:

  • Aan het informatiemiddel is een bepaald classificatieniveau toegekend.
  • Het type opslagmedium waarop de informatie wordt bewaard, is bekend.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 7.14 vervangt ISO 27001:2013 bijlage A 11.2.7 in de herziene norm. De ISO 27001:2022-versie vervangt de ISO 27001:2013-versie van de norm, waarbij de meest recente versie updates van bijlage A 7.14 bevat.

ISO 27001:2022 bijlage A 7.14 lijkt veel op het equivalent uit 2013. De versie van 2022 bevat echter uitgebreidere vereisten in de algemene richtlijnen.

In vergelijking met ISO 27001:2013 stelt de 2022-versie deze eisen:

  • Organisaties moeten alle tekens en tags verwijderen die hun organisatie, netwerk en classificatieniveau specificeren.
  • Organisaties moeten overwegen om bij vertrek alle controles die zij in een faciliteit hebben ingesteld, af te schaffen.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online biedt een alomvattende aanpak voor de implementatie van ISO 27001:2022. Het biedt een gestroomlijnd proces, waardoor gebruikers snel en effectief kunnen voldoen aan de normen van de internationale veiligheidsnorm. Dankzij de gebruiksvriendelijke interface kunnen organisaties eenvoudig een robuust systeem opzetten en onderhouden Informatiebeveiligingsbeheersysteem.

Met dit webgebaseerde systeem kunt u middels effectieve processen, procedures en checklists aantonen dat uw ISMS aan de gestelde criteria voldoet.

Neem nu contact met ons op een demonstratie organiseren.

Ons recente succes met het behalen van de ISO 27001-, 27017- en 27018-certificering was voor een groot deel te danken aan ISMS.online.

Karen Burton
Beveiligingsanalist, gedijen gezondheid

Boek uw demo

Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu