ISO 27001:2022 Bijlage A Controle 8.1

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.1 Naleving

Organisaties moeten, volgens ISO 27001:2022 Annex Al 8.1, een beleid opstellen dat de veilige configuratie en het veilige gebruik van eindpuntapparaten van gebruikers omvat.

Het personeel moet op de hoogte worden gesteld van dit beleid, dat het volgende omvat:

• Welk soort gegevens, vooral in termen van beveiligingsniveau, kunnen worden verwerkt, opgeslagen of gebruikt op gebruikerseindpunten?
• Apparaten moeten worden geregistreerd.
• Fysieke bescherming van apparaten is verplicht.
• Het is verboden softwareprogramma's op apparaten te installeren.
• Regels voor het installeren van software op apparaten en het updaten van software moeten worden gevolgd.
• De regels voor de verbinding van eindpuntapparaten van gebruikers met het openbare netwerk of met netwerken die zich elders bevinden.
• Toegangscontroles.
• De opslagmedia waarop informatie wordt gehost, moeten worden gecodeerd.
• Apparaten moeten worden beveiligd tegen malware-inbraken.
• Apparaten kunnen worden uitgeschakeld of uitgesloten van gebruik, en de gegevens die erop zijn opgeslagen, kunnen op afstand worden verwijderd.
• Er moeten back-upplannen en -protocollen aanwezig zijn.
• Regels met betrekking tot het gebruik van webapplicaties en diensten.
• Analyseren van het gedrag van eindgebruikers om inzicht te krijgen in de manier waarop zij met het systeem omgaan.
• Verwisselbare opslagmedia, zoals USB-drives, kunnen met groot succes worden gebruikt. Bovendien kunnen fysieke poorten, bijvoorbeeld USB-poorten, worden uitgeschakeld.
• Er kunnen scheidingsmogelijkheden worden gebruikt om de informatiemiddelen van de organisatie gescheiden te houden van andere middelen die op het gebruikersapparaat zijn opgeslagen.

Volgens de General Guidance zouden organisaties moeten nadenken over het verbieden van de opslag van gevoelige gegevens op eindpuntapparaten van gebruikers via technische controles.

Het uitschakelen van lokale opslagfuncties zoals SD-kaarten kan een van de gebruikte technische controles zijn.

Organisaties moeten configuratiemanagement implementeren zoals beschreven in ISO 27001:2022 Annex A Control 8.9 en gebruik maken van geautomatiseerde tools.

Aanvullend richtsnoer over de verantwoordelijkheid van gebruikers

Het personeel moet op de hoogte zijn van de beveiliging maatregelen voor eindpuntapparaten van gebruikers en hun plichten om deze na te leven. Bovendien moeten zij hun rol bij de implementatie van deze maatregelen en procedures begrijpen.

Organisaties moeten hun personeel opdracht geven de volgende voorschriften en processen in acht te nemen:

• Zodra een dienst niet langer nodig is of een sessie is beëindigd, moeten gebruikers zich afmelden en de dienst beëindigen.
• Personeel mag hun apparaten niet zonder toezicht achterlaten. Als het niet in gebruik is, moet het personeel dat wel doen zorgen voor de veiligheid van hun apparaten door gebruik te maken van fysieke maatregelen zoals sleutelsloten en technische maatregelen zoals sterke wachtwoorden.
• Het personeel moet extra voorzichtig zijn bij het gebruik van eindpuntapparaten die vertrouwelijke gegevens bevatten op openbare plaatsen die niet beveiligd zijn.
• Eindpuntapparaten van gebruikers moeten worden beveiligd tegen diefstal, vooral op gevaarlijke plaatsen zoals hotelkamers, vergaderzalen of openbaar vervoer.

Organisaties moeten een speciaal systeem bedenken voor het beheer van verlies of diefstal van eindpuntapparaten van gebruikers. Dit systeem moet worden opgebouwd met inachtneming van de wettelijke, contractuele en veiligheidsbehoeften.

Aanvullende richtlijnen voor het gebruik van persoonlijke apparaten (BYOD)

Het toestaan ​​van personeel om hun eigen apparaten te gebruiken voor werkgerelateerde activiteiten kan organisaties geld besparen, maar het stelt vertrouwelijke gegevens bloot aan potentiële risico's.

ISO 27001:2022 Annex A 8.1 stelt vijf zaken voor waarmee organisaties rekening moeten houden wanneer zij personeel toestaan ​​hun persoonlijke apparaten te gebruiken voor werkgerelateerde activiteiten:

1. Er moeten technische maatregelen zoals softwaretools worden ingevoerd om het persoonlijke en zakelijke gebruik van apparaten te scheiden, waardoor de informatie van de organisatie wordt beschermd.
2. Personeel kan toegang krijgen tot een eigen device, op voorwaarde dat zij akkoord gaan met het volgende:
• Medewerkers erkennen hun plicht om apparaten fysiek te beveiligen en essentiële software-updates uit te voeren.
• Het personeel gaat ermee akkoord geen enkel eigendomsrecht op de gegevens van het bedrijf uit te oefenen.
• Het personeel is het erover eens dat de gegevens op het apparaat op afstand kunnen worden gewist als het verloren of gestolen is, in overeenstemming met de wettelijke richtlijnen voor persoonlijke informatie.
3. Richtlijnen opstellen met betrekking tot rechten op intellectueel eigendom gegenereerd met behulp van gadgets voor gebruikerseindpunten.
4. Wat betreft de wettelijke beperkingen op dergelijke toegang, hoe toegang zal worden verkregen tot de privé-apparaten van het personeel.
5. Als u personeel toestaat hun individuele gadgets te gebruiken, kan dit juridische aansprakelijkheid met zich meebrengen die wordt veroorzaakt door de toepassing van software van derden op deze gadgets. Bedrijven moeten nadenken over de softwarelicentieovereenkomsten die zij met hun leveranciers hebben.

Aanvullende richtlijnen voor draadloze verbindingen

Organisaties moeten praktijken creëren en onderhouden voor:

• Het configureren van de draadloze verbindingen op de apparaten moet met zorg gebeuren. Zorg ervoor dat elke verbinding veilig en betrouwbaar is.
• Er moet gebruik worden gemaakt van draadloze of bekabelde verbindingen, met bandbreedte om te voldoen aan onderwerpspecifiek beleid.

Aanvullend richtsnoer bij bijlage A 8.1

Wanneer werknemers hun eindpuntapparaten buiten de organisatie meenemen, lopen de gegevens die daarop zijn opgeslagen een groter risico om in gevaar te komen. Daarom moeten organisaties verschillende veiligheidsmaatregelen implementeren voor apparaten die buiten hun gebouwen worden gebruikt.

ISO 27001:2022 Annex A 8.1 waarschuwt organisaties voor twee risico's verbonden aan draadloze verbindingen die tot gegevensverlies kunnen leiden:

1. Draadloze verbindingen met beperkte capaciteit kunnen leiden tot het mislukken van de gegevensback-up.
2. Gebruikerseindpunten kunnen soms de verbinding met het draadloze netwerk verliezen en geplande back-ups kunnen haperen. Om de veiligheid en betrouwbaarheid van gegevens te garanderen, moeten er regelmatig back-ups worden gemaakt en moet de verbinding met het draadloze netwerk regelmatig worden gecontroleerd.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Annex A 8.1 vervangt ISO 27001:2013 Annex A 6.2.1 en Annex A 12.2.8 in de herziene norm uit 2022.

Structurele verschillen

In tegenstelling tot ISO 27001:2022, die één enkele controle heeft voor eindpuntapparaten van gebruikers (8.1), bevatte ISO 27001:2013 twee afzonderlijke controles: Beleid voor mobiele apparaten (bijlage A, controle 6.2.1) en onbeheerde gebruikersapparatuur (controle 11.2.8). ).

Terwijl ISO 27001:2022 Annex A Control 8.1 betrekking heeft op alle eindpuntapparaten van gebruikers, zoals laptops, tablets en mobiele telefoons, had de versie van 2013 alleen betrekking op mobiele apparaten.

ISO 27001:2022 schrijft aanvullende vereisten voor gebruikersverantwoordelijkheid voor

Beide versies van de overeenkomst vereisen een bepaald niveau van persoonlijke verantwoordelijkheid van gebruikers; de 2022-versie heeft echter een extra vereiste:

• Personeel moet extra voorzichtig zijn bij het gebruik van eindpuntapparaten die gevoelige gegevens bevatten in openbare ruimtes die mogelijk onveilig zijn.

ISO 27001:2022 is uitgebreider in termen van BYOD

Vergeleken met 2013 introduceert Annex A 8.1 in 2022 drie nieuwe eisen voor BYOD-gebruik (Bring Your Own Device) door personeel:

1. Het is noodzakelijk om beleid vast te stellen met betrekking tot de intellectuele eigendomsrechten van creaties die zijn gemaakt met behulp van eindpuntapparaten van gebruikers. Dergelijk beleid moet accuraat en duidelijk zijn en ervoor zorgen dat alle relevante partijen hun rechten en verantwoordelijkheden erkennen.
2. Hoe zal dit, gezien de wettelijke beperkingen op de toegang tot de privé-apparaten van het personeel, worden beheerd?
3. Als u personeel toestaat hun eigen apparaten te gebruiken, kan dit leiden tot wettelijke aansprakelijkheid vanwege het gebruik van software van derden op deze apparaten. Organisaties moeten nadenken over de softwarelicentieovereenkomsten die zij met hun leveranciers hebben.

ISO 27001:2022 vereist een gedetailleerder onderwerpspecifiek beleid

In vergelijking met ISO 27001:2013 moeten organisaties nu een beleid implementeren dat specifiek is voor elk onderwerp op gebruikersapparaten.

ISO 27001:2022 bijlage A 8.1 is uitgebreider en bevat drie nieuwe elementen die moeten worden opgenomen:

1. Er werd een analyse van het gedrag van eindgebruikers uitgevoerd.
2. USB-drives zijn een geweldige manier om gegevens over te dragen, en fysieke USB-poorten kunnen worden uitgeschakeld om dergelijke overdrachten te voorkomen.
3. Segregatie van de informatiemiddelen van de organisatie kan worden bereikt door gebruik te maken van technologische mogelijkheden. Hierdoor kunnen de activa worden gescheiden van andere activa die op het gebruikersapparaat zijn opgeslagen.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Hoe ISMS.online helpt

ISMS.online is dé ISO 27001:2022-managementsysteemsoftware. Het vergemakkelijkt de naleving van de norm en helpt organisaties bij het afstemmen van hun beveiligingsbeleid en -procedures.

Deze cloud-gebaseerd platform biedt een volledig assortiment tools om bedrijven te helpen een ISMS (Information Security Management System) te creëren dat voldoet aan ISO 27001.

Neem nu contact met ons op een demonstratie organiseren.