ISO 27001:2022 Bijlage A Controle 8.24

Gebruik van cryptografie

Boek een demo

close-up,groep,jong,collega's,samen,bespreken,creatief,project,tijdens,werk

Bij het verzenden van informatie tussen netwerken en apparaten kunnen cyberaanvallers proberen gevoelige gegevens te stelen, de inhoud te wijzigen, afzenders/ontvangers te imiteren om ongeautoriseerde toegang te verkrijgen, of de uitwisseling te onderscheppen.

Cybercriminelen kunnen gebruik maken van man-in-the-middle (MITM) aanvallen, het onderscheppen van datatransmissies en het zich voordoen als de server om de afzender ertoe te brengen inloggegevens te onthullen. Met deze inloggegevens kunnen ze toegang krijgen tot systemen en gevoelige gegevens in gevaar brengen.

Cryptografie, zoals encryptie, kan de vertrouwelijkheid, integriteit en beschikbaarheid van informatie tijdens het transport effectief waarborgen.

Cryptografische technieken kunnen informatiemiddelen veilig houden wanneer ze niet worden gebruikt. Ze zorgen ervoor dat de gegevens worden beschermd tegen ongeoorloofde toegang of wijziging.

ISO 27001:2022 Annex A 8.24 schetst hoe organisaties regels en processen met betrekking tot het gebruik van cryptografie kunnen creëren en toepassen.

Doel van ISO 27001:2022 Bijlage A 8.24

ISO 27001:2022 Bijlage A 8.24 stelt organisaties in staat de vertrouwelijkheid, integriteit, authenticiteit en beschikbaarheid van informatiemiddelen te waarborgen door correcte toepassing van cryptografie en door aan de volgende criteria te voldoen:

  • Zakelijke vereisten zijn een must.
  • Verzekeren informatiebeveiliging door de implementatie van strenge eisen.
  • Statutaire, contractuele en organisatorische mandaten vereisen het gebruik van cryptografie.

Eigendom op bijlage A 8.24

Het voldoen aan bijlage A 8.24 vereist de implementatie van een beleid inzake cryptografie, het opzetten van een efficiënt sleutelbeheerproces en het bepalen van het type cryptografische techniek dat van toepassing is op de gegevensclassificatie van een bepaald informatiemiddel.

De Chief Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten van goede regelgeving en protocollen met betrekking tot cryptografische sleutels.

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.24 Naleving

ISO 27001:2022 bijlage A Controle 8.24 bepaalt zeven eisen die organisaties in acht moeten nemen bij het gebruik van cryptografische methoden:

  1. Organisaties moeten beleid hebben met betrekking tot het gebruik van cryptografie, om de voordelen ervan te maximaliseren en de risico’s te verminderen. Dit beleid moet ook algemene beginselen voor de bescherming van informatie schetsen.
  2. Organisaties moeten bij het selecteren van het type, de kracht en de kwaliteit van het versleutelingsalgoritme rekening houden met de kwetsbaarheid van hun informatiebronnen en met het informatieclassificatieniveau dat hen is toegewezen.
  3. Organisaties zouden cryptografische benaderingen moeten gebruiken bij het overbrengen van informatie naar draagbare apparaten, media-apparatuur of wanneer deze daarop wordt opgeslagen.
  4. Organisaties moeten alle zaken aanpakken die verband houden met sleutelbeheer, zoals het vormen en afschermen van cryptografische sleutels en het hebben van een schema voor gegevensherstel in het geval dat de sleutels ontbreken of kwetsbaar zijn.
  5. Organisaties moeten de rollen en verantwoordelijkheden definiëren voor het volgende:
    • De regels voor het gebruik van cryptografische technieken moeten worden vastgesteld en gehandhaafd.
    • Omgaan met sleutels, inclusief het genereren ervan.

  6. De organisatie adopteert en keurt standaarden goed die de cryptografische algoritmen, de coderingssterkte en de gebruikspraktijken van cryptografie omvatten.
  7. Organisaties moeten rekening houden met de potentiële impact van encryptie op de effectiviteit van de controles op de inhoudsinspectie, zoals de detectie van malware.

ISO 27001:2022 Annex A 8.24 benadrukt dat organisaties rekening moeten houden met wettelijke vereisten en beperkingen die van invloed kunnen zijn op het gebruik van cryptografie, inclusief de internationale overdracht van gecodeerde informatie.

Organisaties moeten rekening houden met aansprakelijkheid en continuïteit van diensten wanneer zij serviceovereenkomsten aangaan met externe aanbieders van cryptografische diensten.

Begeleiding bij sleutelbeheer

Organisaties moeten veilige processen opzetten en volgen voor het genereren, opslaan, ophalen en verwijderen van cryptografische sleutels.

Organisaties zouden een solide sleutelbeheersysteem moeten installeren dat regels, procedures en criteria bevat voor:

  • Het genereren van cryptografische sleutels voor een verscheidenheid aan systemen en toepassingen is noodzakelijk.
  • Het uitgeven en verkrijgen van public-key certificaten.
  • Verdeel sleutels onder de beoogde ontvangers, inclusief de procedure voor sleutelactivering.
  • Sleutels moeten veilig worden opgeborgen. Degenen die geautoriseerd zijn om toegang te krijgen, kunnen dit doen met de benodigde inloggegevens.
  • Wisselen van sleutels.
  • Het omgaan met gecompromitteerde sleutels moet serieus worden genomen.
  • Als sleutels in gevaar komen of als geautoriseerd personeel een organisatie verlaat, moeten deze worden ingetrokken.
  • Herstel van verloren sleutels.
  • Sleutelback-up en archivering moeten regelmatig worden uitgevoerd.
  • Sleutels vernietigen.
  • Houd een register bij van alle activiteiten die aan elke sleutel zijn gekoppeld.
  • Vaststellen van de activatie- en deactiveringsdata voor sleutels.
  • Toegang tot sleutels als reactie op juridische verzoeken.

Tenslotte is het essentieel dat organisaties zich bewust zijn van de drie belangrijkste risico’s die deze aanvullende leidraad schetst:

  1. Veilige en privésleutels moeten worden beveiligd tegen ongeoorloofd gebruik.
  2. Er moet een einde komen aan het beschermen van apparatuur die wordt gebruikt voor het maken of opslaan van encryptiesleutels fysieke beveiliging maatregelen.
  3. Organisaties moeten de geldigheid van hun publieke sleutels garanderen.

Wat zijn de voordelen van cryptografie?

ISO 27001:2022 Annex A 8.24 stelt dat cryptografie kan worden gebruikt om organisaties te helpen vier informatiebeveiligingsdoelstellingen te bereiken. Deze doelstellingen omvatten onder meer het verifiëren van de authenticiteit van publieke sleutels via publieke sleutelbeheerprocessen:

  1. Cryptografie zorgt ervoor dat de vertrouwelijkheid van gegevens, zowel onderweg als opgeslagen, behouden blijft.
  2. Digitale handtekeningen en authenticatiecodes garanderen dat de gecommuniceerde informatie authentiek en betrouwbaar is.
  3. Cryptografische methoden geven de zekerheid dat alle gebeurtenissen of ondernomen acties, inclusief de ontvangst van informatie, niet zullen worden ontkend.
  4. Authenticatie via cryptografische methoden stelt organisaties in staat de identiteit te valideren van gebruikers die toegang zoeken tot systemen en applicaties.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.24 vervangt ISO 27001:2013 bijlage A 10.1.1 en 10.1.2 in de herziene norm van 2022.

De inhoud van de twee is vrijwel hetzelfde, hoewel er enkele structurele wijzigingen zijn.

Terwijl de versie van 2013 twee afzonderlijke controles had, 10.1.1 en 10.1.2, voor het gebruik van cryptografie, consolideerde de versie van 2022 deze in één bijlage A-controle, 8.24.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online is de belangrijkste ISO 27001-managementsysteemsoftware, die bedrijven helpt bij het naleven van ISO 27001:2022 en ervoor zorgt dat hun beveiligingsbeleid en -procedures aan de norm voldoen.

Deze cloud-gebaseerd platform biedt een uitgebreide set tools om organisaties te helpen bij het implementeren van een Information Security Management System (ISMS) in overeenstemming met ISO 27001.

Reik uit en boek vandaag nog een demonstratie.

Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.

Carl Vaughan
Infosec-leider, MetCloud

Boek uw demo

Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu