Cybercriminelen bedenken voortdurend nieuwe methoden en verbeteren hun tactieken om bedrijfsnetwerken te doorbreken en toegang te krijgen tot vertrouwelijke gegevens.
Cybercriminelen zouden een fout in het authenticatieproces in de broncode kunnen misbruiken om netwerken binnen te dringen. Bovendien kunnen ze eindgebruikers aan de clientzijde proberen te overtuigen om dingen te doen waarmee ze toegang kunnen krijgen tot gegevens, netwerken kunnen infiltreren of ransomware-aanvallen kunnen uitvoeren.
Als een applicatie, software of IT-systeem met kwetsbaarheden wordt ingezet, bestaat het risico dat gevoelige informatie in gevaar komt.
Organisaties moeten een passend beveiligingstestproces opzetten en uitvoeren om eventuele kwetsbaarheden in IT-systemen te identificeren en aan te pakken voordat deze in de echte wereld worden ingezet.
ISO 27001:2022 bijlage A Met Control 8.29 kunnen organisaties ervoor zorgen dat aan alle beveiligingsvereisten wordt voldaan wanneer nieuwe applicaties, databases, software of code worden geïmplementeerd. Dit wordt gedaan door het opzetten en volgen van een grondig beveiligingstestproces.
Organisaties kunnen potentiële zwakke punten in hun code, netwerken, servers, applicaties en andere IT-systemen identificeren en verwijderen voordat ze in de echte wereld worden geïmplementeerd.
De Information Security Officer moet ervoor zorgen dat aan ISO 27001:2022 Bijlage A Controle 8.29 wordt voldaan, waarbij het opzetten, onderhouden en implementeren van een beveiligingstestprocedure vereist is die alle nieuwe informatiesystemen bestrijkt, ongeacht of deze intern of door derden zijn gecreëerd.
Organisaties moeten beveiligingstests opnemen in het testproces voor alle systemen, waarbij wordt gegarandeerd dat alle nieuwe informatiesystemen, evenals hun nieuwe/bijgewerkte versies, voldoen aan de informatiebeveiligingseisen wanneer ze zich in de productieomgeving bevinden.
ISO 27001:2022 Annex A Control 8.29 schetst drie elementen als essentiële componenten van beveiligingstests:
Bij het ontwerpen van beveiligingstestplannen moeten organisaties rekening houden met de urgentie en het karakter van het betrokken informatiesysteem.
Dit beveiligingstestplan moet de volgende elementen bevatten:
Het interne ontwikkelingsteam moet de initiële beveiligingstests uitvoeren om te garanderen dat het IT-systeem aan de beveiligingsspecificaties voldoet.
Er moet een eerste testronde worden uitgevoerd, gevolgd door onafhankelijke acceptatietests in overeenstemming met ISO 27001:2022 bijlage A 5.8.
Bij interne ontwikkeling moet met het volgende rekening worden gehouden:
Organisaties moeten zich aan strenge regels houden acquisitieprocedure wanneer zij ontwikkeling delegeren of koop IT-elementen van externe bronnen.
Organisaties moeten een contract afsluiten met hun leveranciers dat voldoet aan de informatiebeveiligingscriteria zoals uiteengezet in ISO 27001:2022 bijlage A 5.20.
Organisaties moeten garanderen dat de goederen en diensten die zij verwerven in overeenstemming zijn met de beveiligingsnormen voor informatiebeveiliging.
Organisaties kunnen verschillende testomgevingen genereren om een reeks tests uit te voeren, waaronder functionele, niet-functionele en prestatietests. Ze kunnen virtuele testomgevingen creëren, deze configureren om IT-systemen in verschillende operationele omgevingen te testen en deze dienovereenkomstig verfijnen.
Bijlage A 8.29 benadrukt de noodzaak van effectieve beveiligingstests, waardoor organisaties de testomgevingen, tools en technologieën moeten testen en er toezicht op moeten houden.
Organisaties moeten rekening houden met het niveau van gevoeligheid en belang bij het beslissen hoeveel lagen metatesten ze moeten gebruiken.
ISO 27001:2022 bijlage A 8.29 vervangt ISO 27001:2013 Bijlage A 14.2.8 en 14.2.9 in de nieuwste revisie.
ISO 27001:2022 consolideert veilig testen in één controle, in tegenstelling tot ISO 27001:2013, waarin werd verwezen naar veilig testen in twee verschillende controles; Systeembeveiligingstests (bijlage A 14.2.8) en systeemacceptatietests (bijlage A 14.2.9).
In tegenstelling tot ISO 27001:2013 bevat de herziening van ISO 27001:2022 uitgebreidere eisen en advies over:
In tegenstelling tot ISO 27001:2022 was ISO 27001:2013 gedetailleerder met betrekking tot systeemacceptatietesten. Het omvatte beveiligingstests voor inkomende componenten en het gebruik van geautomatiseerde tools.
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
ISMS.online vereenvoudigt het ISO 27001:2022-implementatieproces via een geavanceerd cloudgebaseerd raamwerk, dat documentatie levert van informatiebeveiligingsbeheersysteemprocessen en checklists om compatibiliteit met geaccepteerde standaarden te garanderen.
Neem contact met ons op een demonstratie organiseren.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo