ISO 27001:2022 Bijlage A Controle 8.27

Veilige systeemarchitectuur en engineeringprincipes

Boek een demo

sluiten,omhoog,afbeelding,van,vrouw,handen,typen,op,laptop,computer

ISO 27001:2022 Bijlage A 8.27 specificeert dat organisaties veilige systeemarchitectuur en engineeringprincipes moeten implementeren om ervoor te zorgen dat het ontwerp, de implementatie en het beheer van het informatiesysteem geschikt zijn voor de beveiligingsvereisten van de organisatie. Dit omvat het opzetten van veilige systeemarchitecturen, technische principes en veilige ontwerppraktijken.

De ingewikkelde structuren van hedendaagse informatiesystemen, gecombineerd met de voortdurend veranderende cyberveiligheidsrisicoomgeving, maken informatiesystemen gevoeliger voor bestaande en potentiële veiligheidsdreigingen.

Bijlage A 8.27 schetst hoe organisaties kunnen beschermen hun informatiesystemen te beschermen tegen veiligheidsbedreigingen door de implementatie van veilige systeemtechniekprincipes tijdens alle fasen van de levenscyclus van informatiesystemen.

Doel van ISO 27001:2022 Bijlage A 8.27

Bijlage A 8.27 faciliteert organisaties om informatiesystemen te beveiligen tijdens de fasen van ontwerp, implementatie en exploitatie, via het vaststellen en implementeren van veilige systeemtechnische principes waaraan systeemingenieurs zich moeten houden.

Eigendom van bijlage A 8.27

De Chief Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten, onderhouden en in praktijk brengen van de regels die de veilige engineering van informatiesystemen beheersen.

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.27 Naleving

ISO 27001:2022 Annex A 8.27 onderstreept de noodzaak voor organisaties om beveiliging te verankeren in het geheel van hun informatiesystemen, inclusief bedrijfsprocessen, applicaties en data-architectuur.

Voor alle taken die verband houden met informatiesystemen moeten veilige engineeringpraktijken worden geïmplementeerd, die regelmatig moeten worden herzien en bijgewerkt om rekening te houden met opkomende bedreigingen en aanvalspatronen.

Bijlage A 8.27 is ook van toepassing op systemen die door externe aanbieders zijn gemaakt, naast de systemen die intern zijn ontwikkeld en beheerd.

Organisaties moeten garanderen dat de praktijken en normen van dienstverleners in overeenstemming zijn met hun veilige technische protocollen.

ISO 27001:2022 bijlage A 8.27 vereist veilige systeemtechniekprincipes om de volgende acht onderwerpen aan te pakken:

  1. Methoden voor gebruikersauthenticatie.
  2. Veilige begeleiding bij sessiecontrole.
  3. Procedures voor het opschonen en valideren van gegevens.
  4. Beveiligingsmaatregelen voor het beschermen van informatiemiddelen en -systemen tegen bekende bedreigingen worden uitgebreid geanalyseerd.
  5. Beveiligingsmaatregelen geanalyseerd op hun vermogen om beveiligingsbedreigingen te identificeren, te elimineren en erop te reageren.
  6. Het analyseren van de beveiligingsmaatregelen die worden toegepast op specifieke bedrijfsactiviteiten, zoals informatie-encryptie.
  7. Waar en hoe beveiligingsmaatregelen zullen worden geïmplementeerd. Als onderdeel van dit proces kan een specifieke Annex A-veiligheidscontrole worden geïntegreerd in de technische infrastructuur.
  8. De manier waarop verschillende beveiligingsmaatregelen samenwerken en als een gecombineerd systeem functioneren.

Richtlijnen voor het Zero Trust-principe

Organisaties moeten deze zero-trust-principes in gedachten houden:

  • Gebaseerd op de veronderstelling dat de systemen van de organisatie al zijn gecompromitteerd en dat de gedefinieerde perimeterbeveiliging van het netwerk geen adequate bescherming kan bieden.
  • Er moet een beleid van ‘verificatie vóór vertrouwen’ worden gevoerd als het gaat om het verlenen van toegang tot informatiesystemen. Dit zorgt ervoor dat toegang pas na controle wordt verleend, zodat de juiste mensen toegang krijgen.
  • Ervoor zorgen dat verzoeken aan informatiesystemen worden beveiligd met end-to-end-encryptie.
  • Er worden verificatiemechanismen geïmplementeerd waarbij wordt uitgegaan van toegangsverzoeken van externe, open netwerken tot informatiesystemen.
  • Implementeer minimale privileges en dynamische toegangscontrole in overeenstemming met ISO 27001:2022 bijlage A 5.15, 5.18 en 8.2. Dit moet de authenticatie en autorisatie van gevoelige informatie en informatiesystemen omvatten, waarbij rekening wordt gehouden met contextuele aspecten zoals gebruikersidentiteiten (ISO 27001:2022 bijlage A 5.16) en informatie classificatie (ISO 27001:2022 bijlage A 5.12).
  • Authenticeer de identiteit van de aanvrager en verifieer autorisatieverzoeken om toegang te krijgen tot informatiesystemen volgens de authenticatie-informatie in ISO 27001:2022 bijlage A 5.17, 5.16 en 8.5.

Waar moeten veilige systeemtechniektechnieken aan voldoen?

Uw organisatie moet rekening houden met het volgende:

  • Het integreren van veilige architectuurprincipes zoals ‘security by design’, ‘defence in depth’, ‘fail secure’, ‘wantrouwen inbreng van externe applicaties’, ‘aanname van inbreuk’, ‘least privilege’, ‘bruikbaarheid en beheerbaarheid’ en ‘minste functionaliteit’ " is Paramount.
  • Het uitvoeren van een beveiligingsgerichte ontwerpbeoordeling om eventuele informatiebeveiligingsproblemen op te sporen en ervoor te zorgen dat beveiligingsmaatregelen worden getroffen en aan de beveiligingsbehoeften voldoen.
  • Het documenteren en erkennen van beveiligingsmaatregelen die niet aan de eisen voldoen, is essentieel.
  • Systeemverharding is essentieel voor de beveiliging van elk systeem.

Met welke criteria moet rekening worden gehouden bij het ontwerpen van veilige engineeringprincipes?

Organisaties moeten rekening houden met de volgende punten bij het opzetten van veilige systeemtechniekprincipes:

  • De vereiste om de controles van bijlage A te coördineren met een specifieke beveiligingsarchitectuur is onontbeerlijk.
  • De bestaande technische beveiligingsinfrastructuur van een organisatie, inclusief openbare sleutelinfrastructuur, identiteitsbeheer en preventie van gegevenslekken.
  • Kan de organisatie de gekozen technologie construeren en onderhouden.
  • Er moet rekening worden gehouden met de kosten en de tijd die nodig zijn om aan de beveiligingsvereisten te voldoen, rekening houdend met de complexiteit ervan.
  • Het volgen van de huidige best practices is essentieel.

Leidraad voor de toepassing van principes voor veilige systeemtechniek

ISO 27001:2022 Annex A 8.27 stelt dat organisaties veilige engineeringprincipes kunnen gebruiken bij het opzetten van het volgende:

  • Fouttolerantie en andere veerkrachtstrategieën zijn essentieel. Ze helpen ervoor te zorgen dat systemen operationeel blijven ondanks het optreden van onverwachte gebeurtenissen.
  • Segregatie door middel van virtualisatie is een techniek die kan worden toegepast.
  • Fraudebestendigheid zorgt ervoor dat systemen veilig en ongevoelig blijven voor kwaadwillige inmenging.

Veilige virtualisatietechnologie kan het risico op onderschepping tussen applicaties die op hetzelfde apparaat draaien, verminderen.

Er wordt benadrukt dat sabotagebestendige systemen zowel logische als fysieke manipulatie van informatiesystemen kunnen detecteren, waardoor ongeoorloofde toegang tot gegevens wordt voorkomen.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 8.27 vervangt ISO 27001:2013 bijlage A 14.2.5 in de herziene norm uit 2022.

De versie 2022 bevat uitgebreidere eisen dan de versie 2013, zoals:

  • In vergelijking met 2013 biedt de versie van 2022 richtlijnen over wat veilige engineeringprincipes zouden moeten omvatten.
  • In tegenstelling tot de versie uit 2013 houdt de versie uit 2022 rekening met de criteria waarmee organisaties rekening moeten houden bij het construeren van veilige systeemtechniekprincipes.
  • De versie uit 2022 geeft richtlijnen over het zero trust-principe, dat niet was opgenomen in de versie uit 2013.
  • De editie van 2022 van het document bevat aanbevelingen voor veilige engineeringtechnieken, zoals ‘security by design’, die niet aanwezig waren in de versie van 2013.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Onze stapsgewijze checklist maakt de implementatie van ISO 27001 een fluitje van een cent. Ons complete compliance-oplossing voor ISO/IEC 27001:2022 begeleidt u van begin tot eind door het proces.

Bij het inloggen kunt u tot 81% voortgang verwachten.

Deze oplossing is volledig uitgebreid en eenvoudig.

Neem nu contact op met boek een demonstratie.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu