IT-apparatuur die niet langer nodig is, moet worden vernietigd, teruggegeven aan de leaser, overgedragen aan een derde partij, gerecycled of hergebruikt voor andere bedrijfsactiviteiten.
Organisaties moeten informatie en gelicentieerde software beschermen door ervoor te zorgen dat deze worden gewist of overschreven voordat de apparatuur wordt weggegooid of hergebruikt. Dit helpt de vertrouwelijkheid van de gegevens die op het apparaat zijn opgeslagen te beschermen.
Als een organisatie een externe dienstverlener voor de verwijdering van IT-middelen inschakelt om verouderde laptops, printers en externe schijven over te dragen, kan deze aanbieder ongeautoriseerde toegang krijgen tot gegevens die op de apparatuur worden gehost.
ISO 27001:2022 bijlage A 7.14 behandelt hoe organisaties de vertrouwelijkheid kunnen bewaren van gegevens die zijn opgeslagen op apparatuur die is bestemd voor verwijdering of hergebruik, door effectieve beveiligingsmaatregelen en -procedures te implementeren.
ISO 27001:2022 Bijlage A 7.14 stelt organisaties in staat ongeautoriseerde toegang tot gevoelige gegevens te voorkomen door te verifiëren dat alle informatie en software waarvoor een licentie op apparatuur is verleend, onherroepelijk wordt gewist of overschreven voordat de apparatuur wordt weggegooid of aan een derde partij wordt overgedragen voor hergebruik.
In overeenstemming met ISO 27001:2022 bijlage A 7.14 moet er een organisatiebrede procedure voor het verwijderen en hergebruiken van gegevens worden vastgesteld, inclusief de identificatie van alle apparatuur en de implementatie van geschikte technische verwijderingsmechanismen en hergebruikprocessen.
De Chief Information Officer moet verantwoordelijk zijn voor het opzetten, uitvoeren en onderhouden van systemen en processen voor het weggooien en hergebruiken van apparatuur.
Vraag een offerte aan
ISO 27001:2022 Annex A 7.14 specificeert vier essentiële overwegingen voor compliance die organisaties in gedachten moeten houden:
Voordat organisaties worden weggegooid of hergebruikt, moeten zij zich ervan vergewissen of de apparatuur deze bevat informatie-activa en gelicentieerde software en zorg ervoor dat deze permanent worden gewist.
ISO 27001:2022 bijlage A 7.14 stelt dat er twee benaderingen kunnen worden gevolgd om het veilig en permanent wissen van informatie op apparatuur te garanderen:
Apparatuurcomponenten en de gegevens die ze bevatten kunnen worden gelabeld of gemarkeerd om de organisatie te identificeren of om de eigenaar van de activa, het netwerk of het classificatieniveau van de informatie te onthullen. Al deze labels en markeringen moeten permanent worden vernietigd.
Organisaties kunnen overwegen om beveiligingsmaatregelen, zoals toegangsbeperkingen of bewakingssystemen, te verwijderen bij het verlaten van faciliteiten, onder de volgende omstandigheden:
Naast de Algemene Richtlijnen geeft ISO 27001:2022 Bijlage A 7.14 drie specifieke aanbevelingen voor organisaties.
Wanneer apparatuur met gegevens ter reparatie wordt verzonden, kan deze kwetsbaar zijn voor ongeautoriseerde toegang van derden.
Organisaties moeten een risico-evaluatie uitvoeren, rekening houdend met de mate van gevoeligheid van de gegevens, en overwegen of het vernietigen van de apparatuur een meer haalbare keuze zou zijn dan reparatie.
Ervoor zorgen dat de volledige schijfversleuteling aan de hoogste normen voldoet, is essentieel voor het waarborgen van de vertrouwelijkheid van gegevens. Opgemerkt moet worden dat het volgende in acht moet worden genomen:
Organisaties moeten een overschrijvingsaanpak kiezen, waarbij ze rekening moeten houden met de volgende criteria:
ISO 27001:2022 Bijlage A 7.14 vervangt ISO 27001:2013 bijlage A 11.2.7 in de herziene norm. De ISO 27001:2022-versie vervangt de ISO 27001:2013-versie van de norm, waarbij de meest recente versie updates van bijlage A 7.14 bevat.
ISO 27001:2022 bijlage A 7.14 lijkt veel op het equivalent uit 2013. De versie van 2022 bevat echter uitgebreidere vereisten in de algemene richtlijnen.
In vergelijking met ISO 27001:2013 stelt de 2022-versie deze eisen:
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
ISMS.Online biedt een alomvattende aanpak voor de implementatie van ISO 27001:2022. Het biedt een gestroomlijnd proces, waardoor gebruikers snel en effectief kunnen voldoen aan de normen van de internationale veiligheidsnorm. Dankzij de gebruiksvriendelijke interface kunnen organisaties eenvoudig een robuust systeem opzetten en onderhouden Informatiebeveiligingsbeheersysteem.
Met dit webgebaseerde systeem kunt u middels effectieve processen, procedures en checklists aantonen dat uw ISMS aan de gestelde criteria voldoet.
Neem nu contact met ons op een demonstratie organiseren.
Ons recente succes met het behalen van de ISO 27001-, 27017- en 27018-certificering was voor een groot deel te danken aan ISMS.online.