De overgang naar werken vanop afstand en de toegenomen afhankelijkheid van mobiele apparaten zijn gunstig geweest voor de productiviteit van werknemers en kostenbesparingen voor organisaties. Helaas zijn gebruikerseindpunten zoals laptops, mobiele telefoons en tablets gevoelig voor cyberdreigingen. Cybercriminelen maken vaak gebruik van deze apparaten om illegale toegang te verkrijgen tot bedrijfsnetwerken en om vertrouwelijke informatie in gevaar te brengen.
Cybercriminelen proberen mogelijk werknemers te targeten met phishing en hen over te halen een met malware geïnfecteerde bijlage te downloaden, die kan worden gebruikt om de malware over het bedrijfsnetwerk te verspreiden. Dit kan leiden tot verlies van beschikbaarheid, integriteit of vertrouwelijkheid van informatiemiddelen.
A onderzoek onder 700 IT-professionals onthulde dat 70% van de organisaties in 2020 te maken kreeg met een inbreuk op hun informatiemiddelen en IT-infrastructuur als gevolg van een aanval op gebruikersapparaten.
ISO 27001:2022 Bijlage A Controle 8.1 schetst de stappen die organisaties kunnen nemen om ervoor te zorgen dat hun informatiemiddelen die worden gehost of verwerkt op eindpuntapparaten van gebruikers, worden beschermd tegen compromittering, verlies of diefstal. Dit omvat het vaststellen, onderhouden en implementeren van relevant beleid, procedures en technologische maatregelen.
ISO 27001:2022 bijlage A 8.1 stelt bedrijven in staat de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid te bewaken en te handhaven van informatiemiddelen die zijn opgeslagen op of toegankelijk zijn vanaf apparaten van eindpuntgebruikers. Dit wordt bereikt door het vaststellen van passend beleid, procedures en controles.
De Chief Information Security Officer moet de verantwoordelijkheid nemen voor het waarborgen van de naleving van de eisen van ISO 27001:2022 Annex A Control 8.1, die het creëren en onderhouden van organisatiebreed beleid, procedures en technische maatregelen noodzakelijk maken.
Vraag een offerte aan
Organisaties moeten, volgens ISO 27001:2022 Annex Al 8.1, een beleid opstellen dat de veilige configuratie en het veilige gebruik van eindpuntapparaten van gebruikers omvat.
Het personeel moet op de hoogte worden gesteld van dit beleid, dat het volgende omvat:
Volgens de General Guidance zouden organisaties moeten nadenken over het verbieden van de opslag van gevoelige gegevens op eindpuntapparaten van gebruikers via technische controles.
Het uitschakelen van lokale opslagfuncties zoals SD-kaarten kan een van de gebruikte technische controles zijn.
Organisaties moeten configuratiemanagement implementeren zoals beschreven in ISO 27001:2022 Annex A Control 8.9 en gebruik maken van geautomatiseerde tools.
Het personeel moet op de hoogte zijn van de beveiliging maatregelen voor eindpuntapparaten van gebruikers en hun plichten om deze na te leven. Bovendien moeten zij hun rol bij de implementatie van deze maatregelen en procedures begrijpen.
Organisaties moeten hun personeel opdracht geven de volgende voorschriften en processen in acht te nemen:
Organisaties moeten een speciaal systeem bedenken voor het beheer van verlies of diefstal van eindpuntapparaten van gebruikers. Dit systeem moet worden opgebouwd met inachtneming van de wettelijke, contractuele en veiligheidsbehoeften.
Het toestaan van personeel om hun eigen apparaten te gebruiken voor werkgerelateerde activiteiten kan organisaties geld besparen, maar het stelt vertrouwelijke gegevens bloot aan potentiële risico's.
ISO 27001:2022 Annex A 8.1 stelt vijf zaken voor waarmee organisaties rekening moeten houden wanneer zij personeel toestaan hun persoonlijke apparaten te gebruiken voor werkgerelateerde activiteiten:
Organisaties moeten praktijken creëren en onderhouden voor:
Wanneer werknemers hun eindpuntapparaten buiten de organisatie meenemen, lopen de gegevens die daarop zijn opgeslagen een groter risico om in gevaar te komen. Daarom moeten organisaties verschillende veiligheidsmaatregelen implementeren voor apparaten die buiten hun gebouwen worden gebruikt.
ISO 27001:2022 Annex A 8.1 waarschuwt organisaties voor twee risico's verbonden aan draadloze verbindingen die tot gegevensverlies kunnen leiden:
ISO 27001:2022 Annex A 8.1 vervangt ISO 27001:2013 Annex A 6.2.1 en Annex A 12.2.8 in de herziene norm uit 2022.
In tegenstelling tot ISO 27001:2022, die één enkele controle heeft voor eindpuntapparaten van gebruikers (8.1), bevatte ISO 27001:2013 twee afzonderlijke controles: Beleid voor mobiele apparaten (bijlage A, controle 6.2.1) en onbeheerde gebruikersapparatuur (controle 11.2.8). ).
Terwijl ISO 27001:2022 Annex A Control 8.1 betrekking heeft op alle eindpuntapparaten van gebruikers, zoals laptops, tablets en mobiele telefoons, had de versie van 2013 alleen betrekking op mobiele apparaten.
Beide versies van de overeenkomst vereisen een bepaald niveau van persoonlijke verantwoordelijkheid van gebruikers; de 2022-versie heeft echter een extra vereiste:
Vergeleken met 2013 introduceert Annex A 8.1 in 2022 drie nieuwe eisen voor BYOD-gebruik (Bring Your Own Device) door personeel:
In vergelijking met ISO 27001:2013 moeten organisaties nu een beleid implementeren dat specifiek is voor elk onderwerp op gebruikersapparaten.
ISO 27001:2022 bijlage A 8.1 is uitgebreider en bevat drie nieuwe elementen die moeten worden opgenomen:
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
ISMS.online is dé ISO 27001:2022-managementsysteemsoftware. Het vergemakkelijkt de naleving van de norm en helpt organisaties bij het afstemmen van hun beveiligingsbeleid en -procedures.
Deze cloud-gebaseerd platform biedt een volledig assortiment tools om bedrijven te helpen een ISMS (Information Security Management System) te creëren dat voldoet aan ISO 27001.
Neem nu contact met ons op een demonstratie organiseren.
We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.