ISO 27001:2022 Bijlage A Controle 8.3

Beperking van toegang tot informatie

Boek een demo

collega's,werk,modern,studio.productie,managers,team,werken,nieuw,project.young,bedrijf

Doel van ISO 27001:2022 Bijlage A 8.3

Het informatiebeveiligingsbeleid van een organisatie is sterk afhankelijk van de interne en externe toegang tot informatie.

ISO 27001:2022 Bijlage A 8.3 is een preventieve maatregel naar risico's beheren door regels en procedures vast te stellen om ongeoorloofde toegang tot/misbruik van de informatie en ICT-middelen van een organisatie te voorkomen.

Eigendom van bijlage A 8.3

ISO 27001:2022 Bijlage A 8.3 heeft betrekking op het vermogen van een organisatie om de toegang tot informatie te reguleren. Het zorgt ervoor dat informatie alleen toegankelijk is voor geautoriseerd personeel.

Het eigendom van informatie en gegevensbeveiligingspraktijken moet berusten bij de Chief Information Security Officer (of hun organisatorische equivalent). Deze persoon neemt de volledige verantwoordelijkheid voor de algehele beveiligingsaanpak van de organisatie.

Ga naar onderwerp

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.3

Om effectieve controle over informatie en ICT-middelen te behouden, moeten organisaties een onderwerpspecifieke benadering hanteren van de toegang tot informatie en maatregelen ter beperking van de toegang ondersteunen, zoals:

  1. Blokkeer anonieme toegang tot informatie, inclusief brede publieke toegang:

  2. Zorg voor goed onderhoud van systemen om de toegang en eventuele bijbehorende zakelijke toepassingen of procedures te reguleren.

  3. Stel gegevenstoegang in op individueel niveau.

  4. Geef een overzicht van de gegevenstoegangsrechten tussen groepen die bewerkingen valideren, zoals lezen, schrijven, verwijderen en uitvoeren.

  5. Behoud de capaciteit om vitale processen en applicaties af te scheiden met een verscheidenheid aan fysieke en digitale toegangsbeperkingen.

Richtlijnen voor dynamisch toegangsbeheer

ISO 27001:2022 Annex A 8.3 beveelt aan een dynamische benadering van de toegang tot informatie te hanteren.

Dynamisch toegangsbeheer heeft veel positieve effecten op organisatorische activiteiten waarbij interne gegevens met externe gebruikers worden gedeeld of gebruikt, wat resulteert in een snellere oplossing van incidenten.

Dynamische toegangsbeheertechnieken beveiligen een verscheidenheid aan informatietypen, van gewone documenten tot e-mails en database-informatie. Bovendien kunnen ze worden toegepast op individuele bestanden, waardoor organisaties nauwkeurige controle over hun gegevens hebben.

Organisaties moeten hiermee rekening houden wanneer:

  • Er is gedetailleerde controle nodig om te bepalen welke menselijke en niet-menselijke gebruikers op welk moment dan ook toegang hebben tot de informatie.

  • Er is behoefte aan het delen van gegevens met externe entiteiten (bijvoorbeeld leveranciers of overheidsinstanties).

  • Een ‘real-time’ benadering van databeheer en -distributie houdt in dat het datagebruik wordt gemonitord en beheerd terwijl het plaatsvindt.

  • Gegevens beschermen tegen ongeoorloofde wijzigingen, distributie of afdrukken.

  • Het monitoren van de toegang tot en wijzigingen in informatie, vooral als deze gevoelig is, is van essentieel belang.
Dynamisch toegangsbeheer is met name gunstig voor organisaties die observatie en behoud van gegevens nodig hebben vanaf het begin tot de vernietiging, waaronder:

  • Er kan een use-case of een reeks use-cases worden geschetst om regels voor gegevenstoegang toe te passen op basis van de onderstaande variabelen:

    • Locatie

    • Aanvraag

    • Identiteit

    • Apparaat

  • Schets een proces inclusief gegevens operatie en Grensverkeeren het opzetten van een alomvattend rapportagesysteem op basis van een betrouwbare technische infrastructuur.

Alle pogingen om een ​​effectief systeem voor toegangscontrole te creëren moeten ertoe leiden dat gegevens worden beschermd door:

  1. Het garanderen van gegevenstoegang is het resultaat van een succesvolle authenticatie.

  2. Een mate van beperkte toegang, afhankelijk van het type gegevens en de mate waarin deze deze kunnen beïnvloeden bedrijfscontinuïteit, moet worden geplaatst.

  3. Afdrukrechten.

  4. Versleuteling.

  5. Voor informatie over passend onderwijs, zie: www.passendonderwijs.nl controlelogboeken dat register wie toegang heeft tot de gegevens en het doel van het gebruik van de gegevens moeten worden bijgehouden.

  6. Een procedure voor waarschuwingen die elk oneigenlijk gebruik van gegevens signaleert, inclusief (maar niet beperkt tot) ongeoorloofde toegang, verspreiding en pogingen tot verwijdering.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.3 vervangt ISO 27001:2013 Bijlage A 9.4.1 (Informatietoegangsbeperking), die een belangrijke verschuiving vertegenwoordigt in de manier waarop ISO het beheer van informatietoegang beschouwt.

Deze dynamische aanpak, die niet werd genoemd in ISO 27001:2013 bijlage A 9.4.1, houdt rekening met de evoluerende aard van informatiebeveiliging.

ISO 27001:2022 bijlage 8.3 biedt een schat aan richtlijnen over dynamisch toegangsbeheer die niet voorkomen in de editie van ISO 27001:2013. Daarom moeten organisaties deze suggesties onderwerp voor onderwerp bekijken wanneer ze certificering aanvragen.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online is de belangrijkste ISO 27001-managementsysteemsoftware die de naleving van ISO 27001 ondersteunt en bedrijven in staat stelt hun beveiligingsbeleid en -procedures op één lijn te brengen met de norm.

Deze cloud-gebaseerd platform voorziet organisaties van een volledige reeks tools om hen te helpen bij het bouwen van een Information Security Management System (ISMS) dat voldoet aan ISO 27001:2022.

We hebben ons platform vanaf de basis opgebouwd, in samenwerking met internationale informatiebeveiligingsspecialisten. We hebben het zo ontworpen dat het intuïtief en eenvoudig is voor gebruikers die geen technische expertise hebben Informatiebeveiligingsbeheersystemen (ISMS).

Neem nu contact met ons op een demonstratie organiseren.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie