ISO 27001:2022 Bijlage A Controle 7.7

Duidelijk bureau en helder scherm

Boek een demo

dichtbij,op,op,handen,van,een,zwarte,afrikaanse,amerikaanse,man

ISO 27001:2022 Bijlage A 7.7 bespreekt hoe organisaties de vertrouwelijkheid van gevoelige informatie op digitale schermen en papier kunnen beschermen en behouden door het implementeren van clear desk- en clear screen-regels.

Een werknemer die zijn werkstation onbeheerd achterlaat, riskeert ongeoorloofde toegang, verlies van vertrouwelijkheid en schade aan de gevoelige informatie in digitale en fysieke materialen.

Kwaadwillenden kunnen bijvoorbeeld misbruik maken van de mogelijkheid om gevoelige gezondheidsgegevens te stelen en te misbruiken als een werknemer tijdens de lunchpauze zijn computer onbeheerd achterlaat terwijl hij een tool voor klantrelatiebeheer gebruikt.

Wat is het doel van ISO 27001:2022 bijlage A 7.7?

ISO 27001:2022 Annex A 7.7 biedt organisaties een methode voor het elimineren en/of beperken van de risico's van ongeoorloofde toegang, gebruik, schade of verlies van gevoelige informatie op de schermen en documenten van werknemerswerkstations wanneer deze niet aanwezig zijn.

Eigendom van ISO 27001:2022 bijlage A 7.7

Met erkenning van bijlage 7.7 moeten organisaties een organisatiebreed beleid inzake duidelijke bureaus en schermen vaststellen en implementeren. Informatiebeveiligingsfunctionarissen moeten verantwoordelijk zijn voor het opstellen, onderhouden en handhaven van een clear desk- en clear screen-beleid in de hele organisatie.

Ga naar onderwerp
Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Algemene richtlijn voor ISO 27001:2022 bijlage A 7.7

Bijlage A 7.7 beveelt aan om een ​​onderwerpspecifiek beleid te creëren en te handhaven dat regels schetst voor duidelijke bureaus en duidelijke schermen.

Bovendien specificeert bijlage A 7.7 zeven specifieke vereisten waarmee organisaties rekening moeten houden bij het vaststellen en handhaven van clear desk- en clear screen-beleid:

  • Digitale en fysieke assets die gevoelige of kritische informatie bevatten, moeten veilig worden vergrendeld wanneer ze niet worden gebruikt of wanneer het werkstation waarop ze worden gehost leeg is. Papieren documenten, laptops en printers moeten bijvoorbeeld worden opgeborgen in veilig meubilair, zoals laden of kasten met sloten.

  • Apparaten die door werknemers worden gebruikt, zoals laptops, scanners, printers en notebooks, moeten worden beschermd met sleutelsloten wanneer ze niet worden gebruikt of onbeheerd worden achtergelaten.

  • Werknemers moeten hun apparaten uitgelogd laten als ze hun werkplek verlaten en deze onbeheerd achterlaten. Het opnieuw activeren van het apparaat zou alleen mogelijk moeten zijn met gebruikersauthenticatie. Alle apparaten van eindpuntmedewerkers, zoals computers, moeten automatische time-out- en uitlogfuncties hebben.

  • De printer moet zo zijn ontworpen dat afdrukken onmiddellijk kunnen worden opgehaald door de persoon die ze heeft afgedrukt (de maker). Bovendien zou alleen de maker de afdrukken mogen verzamelen via een robuust authenticatiemechanisme.

  • Materiaal dat gevoelige informatie bevat, inclusief verwijderbare media, moet te allen tijde veilig worden bewaard. Als u ze niet langer nodig heeft, moeten ze op een veilige manier worden weggegooid.

  • Voor organisaties is het essentieel om regels te stellen voor het tonen van pop-ups op schermen en deze regels te communiceren naar alle relevante medewerkers. Pop-ups (zoals e-mailmeldingen) die gevoelige informatie bevatten, kunnen bijvoorbeeld de vertrouwelijkheid van gevoelige informatie in gevaar brengen als deze wordt weergegeven tijdens een presentatie of in een openbare ruimte.

  • Whiteboards moeten worden gewist wanneer gevoelige of kritische informatie niet langer nodig is.

Aanvullend richtsnoer bij bijlage A 7.7

ISO 27001 Bijlage A 7.7 waarschuwt organisaties voor risico's die voortvloeien uit verlaten faciliteiten. Fysiek en digitaal materiaal dat voorheen in een faciliteit was opgeslagen, moet veilig worden verwijderd wanneer een organisatie vertrekt om verlies van gevoelige informatie te voorkomen.

Daarom bepaalt bijlage A 7.7 dat organisaties procedures moeten opstellen voor het vrijgeven van faciliteiten om ervoor te zorgen dat gevoelige informatie veilig wordt verwijderd. Er kan een laatste controle worden uitgevoerd om ervoor te zorgen dat geen gevoelige informatie onbeschermd blijft.

Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?

ISO 27001:2022 bijlage A 7.7 vervangt ISO 27001:2013 Bijlage A 11.2.9 ('Duidelijk bureau- en schermbeleid).

Er zijn twee opmerkelijke verschillen tussen de versies ISO 27001:2022 en ISO 27001:2013:

  • De ISO 27001:2022-versie bevat geen criteria waarmee rekening moet worden gehouden bij het vaststellen en implementeren van een clear desk- en clear screen-beleid.

Terwijl de versie uit 2013 specificeert dat organisaties organisatiebreed moeten nadenken informatie classificatie niveaus, wettelijke en contractuele vereisten en de soorten risico’s waarmee zij worden geconfronteerd bij het opzetten van een clear desk en clear screen-beleid.

De ISO 27001:2022-versie vermeldt deze elementen echter niet. De ISO 27001:2022-norm introduceert nieuwe en uitgebreidere eisen voor heldere bureaus en heldere schermen.

De ISO 27001:2022-versie specificeert de volgende vereisten waarmee organisaties rekening moeten houden bij het vaststellen van een clear desk- en clear screen-beleid:

  • Organisaties moeten de vertrouwelijkheid van gevoelige informatie handhaven door specifieke richtlijnen op pop-upschermen te creëren.

  • Verwijder de gevoelige informatie die op een whiteboard is geschreven als u deze niet langer nodig heeft.

  • Computers en andere eindpuntapparaten die door werknemers worden gebruikt, moeten worden beschermd met sleutelsloten wanneer ze niet worden gebruikt of zonder toezicht.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

De implementatie en naleving van ISO 27001:2022 is eenvoudig met onze stapsgewijze checklist die u door het hele proces leidt.

Your complete compliance-oplossing voor ISO/IEC 27001:2022:

  • Tot 81% voortgang vanaf het moment dat u inlogt.

  • Eenvoudige en totale compliance-oplossing voor ISO 27001:2022.

Naar een demo plannen, neem vandaag nog contact op.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Behaal uw eerste ISO 27001

Download onze gratis gids voor snelle en duurzame certificering

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie