ISO 27001:2022 Bijlage A Controle 8.32

Change Management

Boek een demo

data,centrum,programmeur,gebruik,digitaal,laptop,computer,,onderhoud,het,specialist.

Veranderd naar informatiesystemen, zoals het vervangen van een netwerkapparaat, het maken van een nieuw database-exemplaar of het upgraden van software, zijn vaak nodig om de prestaties te verbeteren, de kosten te verlagen en de efficiëntie te vergroten.

Als wijzigingen in informatieverwerkingsfaciliteiten en -systemen niet correct worden uitgevoerd, kunnen de daarin opgeslagen of verwerkte gegevens in gevaar worden gebracht.

ISO 27001:2022 Bijlage A 8.32 onderzoekt hoe organisaties verandermanagementprocedures kunnen opzetten en uitvoeren om veranderingen in de informatieverwerkingsfaciliteiten en -systemen te monitoren, onderzoeken en beheren.

Doel van ISO 27001:2022 Bijlage A 8.32

ISO 27001:2022 Annex A Control 8.32 stelt organisaties in staat informatiemiddelen te beschermen en tegelijkertijd wijzigingen aan te brengen in informatieverwerkingssystemen en -faciliteiten. Dit doet zij door het opzetten, uitvoeren en beheren van verandermanagementregels en -procedures.

Eigendom van bijlage A 8.32

Chief Information Security Officers moeten, met de expertise van domeinexperts, verantwoordelijk zijn voor het ontwerpen en handhaven van wijzigingscontroleprocedures die van toepassing zijn op alle stadia van de levenscyclus van informatiesystemen, in overeenstemming met ISO 27001:2022 Bijlage A Controle 8.32.

Ga naar onderwerp
Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.32 Naleving

Alle wijzigingen aan informatiesystemen, evenals de implementatie van nieuwe systemen, moeten voldoen aan een vastgestelde reeks voorschriften en procedures. De details van deze wijzigingen moeten expliciet worden vermeld en gedocumenteerd. Bovendien moeten ze beoordelings- en kwaliteitsborgingsprocessen doorlopen.

Organisaties moeten managementtaken toewijzen aan het meest geschikte management en de nodige procedures vastleggen om te garanderen dat alle wijzigingen in overeenstemming zijn met de regelgeving en normen voor wijzigingsbeheer.

ISO 27001:2022 Annex A Control 8.32 somt negen componenten op die in de change management procedure aan bod moeten komen:

  1. Organisaties zouden het potentiële effect van voorgestelde wijzigingen in kaart moeten brengen en beoordelen, rekening houdend met alle afhankelijkheden.

  2. Implementeer autorisatiecontroles voor wijzigingen. Zorg ervoor dat alle wijzigingen zijn geautoriseerd door het juiste personeel. Zorg ervoor dat alleen geautoriseerd personeel toegang heeft tot het systeem en dat alle wijzigingen goed worden gedocumenteerd.

  3. Breng relevante binnen- en buitengroepen op de hoogte van de voorgestelde wijzigingen.

  4. Garandeer de naleving van ISO 27001:2022 bijlage A 8.29 door het ontwikkelen en uitvoeren van testen en acceptatietests voor wijzigingen.

  5. De implementatie van de wijzigingen en de praktische implementatie ervan worden verzorgd.

  6. Stel nood- en noodplannen en -procedures op, inclusief een uitwijkprocedure.

  7. Het bijhouden van de administratie van alle wijzigingen en daarmee samenhangende activiteiten, waaronder de hierboven genoemde 1-6.

  8. Om naleving van bijlage A 5.37 van ISO 27001:2022 te garanderen, worden de operationele documentatie en gebruikersprocedures regelmatig herzien en indien nodig aangepast.

  9. ICT-continuïteitsplannen en herstel- en responsprocedures moeten worden geëvalueerd en bijgewerkt om tegemoet te komen aan de wijzigingen.

Organisaties moeten ernaar streven om zoveel mogelijk wijzigingscontroleprocedures voor software en ICT-infrastructuur te integreren.

Aanvullend richtsnoer bij bijlage A 8.32

Veranderingen in de productieomgeving, bijvoorbeeld besturingssystemen en databases, kunnen de integriteit en beschikbaarheid van applicaties in gevaar brengen, met name de overdracht van software van ontwikkeling naar productie.

Organisaties moeten op hun hoede zijn voor de mogelijke gevolgen van het wijzigen van software in hun productieomgeving. Er kunnen zich onvoorziene gevolgen voordoen, dus voorzichtigheid is geboden.

Organisaties moeten tests uitvoeren op ICT-componenten in een veilige, aparte omgeving, weg van ontwikkeling en productie.

Organisaties kunnen meer controle krijgen over nieuwe software en de gegevens uit de echte wereld die worden gebruikt voor het testen beveiligen met patches en servicepacks, waardoor een extra beschermingslaag wordt geboden.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.32 vervangt de vier secties van ISO 27001:2013 Bijlage A 12.1.2, 14.2.2, 14.2.3 en 14.2.4.

In ISO 27001:2013 zijn de change control-procedures nader gespecificeerd dan in 2022 het geval zal zijn.

Er kunnen drie belangrijke verschillen tussen de twee versies worden onderscheiden.

ISO 27001:2013-versie was gedetailleerder in termen van wat de 'wijzigingsprocedure' zou moeten inhouden

De versies ISO 27001:2022 en ISO 27001:2013 geven beide op niet-uitputtende wijze aan wat er in een wijzigingsprocedure moet worden opgenomen.

De editie van 2013 bevatte componenten die niet in de variant van 2022 werden genoemd:

  • Identificeer en beoordeel beveiligingskritieke code om eventuele zwakke punten aan te pakken.

  • Organisaties moeten versiebeheer behouden voor alle softwarewijzigingen.

  • Organisaties moeten een lijst opstellen en vastleggen van hardware- en softwarecomponenten die moeten worden gewijzigd en bijgewerkt.

De ISO 27001:2013-versie heeft betrekking op 'Wijzigingen in besturingsplatforms'

Bijlage A 14.2.3 van ISO 27001:2013 schetst manieren waarop organisaties de negatieve impact en verstoringen op de bedrijfsvoering kunnen verminderen die kunnen voortvloeien uit veranderingen in besturingssystemen.

Ter vergelijking: ISO 27001:2022 bevat geen eisen voor aanpassingen.

ISO 27001:2013 behandelt 'Wijzigingen in softwarepakketten'

Bijlage A 14.2.4, gericht op 'Wijzigingen in softwarepakketten' in ISO 27001:2013, deze is niet opgenomen in de ISO 27001:2022-versie.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons cloudplatform biedt een sterke structuur van informatiebeveiligingsmaatregelen, waardoor u uw ISMS-proces kunt afvinken naarmate u verder komt, en garandeert dat het voldoet aan de ISO 27000k-criteria.

ISMS.online kan u helpen de certificering efficiënt en met minimale middelen te behalen. Als het op de juiste manier wordt gebruikt, kan het een grote troef zijn bij het bereiken van dit doel.

Neem nu contact met ons op een demonstratie plannen.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Behaal uw eerste ISO 27001

Download onze gratis gids voor snelle en duurzame certificering

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie