ISO 27001:2022 Bijlage A Controle 8.8

Beheer van technische kwetsbaarheden

Boek een demo

groep,gelukkige,collega's,bespreken,in,conferentie,kamer

Doel van ISO 27001:2022 Bijlage A 8.8

Geen enkel computernetwerk, systeem, stukje software of apparaat is volledig veilig. Het runnen van een modern LAN of WAN brengt kwetsbaarheden met zich mee als onderdeel van het proces. Het is dus essentieel voor organisaties om hun aanwezigheid te accepteren en ernaar te streven de potentiële risico's te verminderen.

ISO 27001:2022 Annex A 8.8 biedt een schat aan advies om organisaties te helpen hun netwerken te beschermen tegen interne en externe exploitatie van kwetsbaarheden. Er wordt gebruik gemaakt van procedures en richtlijnen van diverse anderen ISO 27001:2022 Bijlage A Controles, vooral die voor Change Management (zie bijlage A 8.32) en Access Controle .

Eigendom van bijlage A 8.8

ISO 27001:2022 Bijlage A 8.8 behandelt het technisch en administratief beheer van software, systemen en ICT-middelen. Het schrijft een alomvattende aanpak voor voor softwarebeheer, vermogensbeheeren netwerkbeveiligingsaudits.

De persoon die de eindverantwoordelijkheid draagt ​​voor het onderhoud van de ICT-infrastructuur van de organisatie, zoals het hoofd IT of gelijkwaardig, moet de eigenaar zijn van ISO 27001:2022 bijlage A 8.8.

Ga naar onderwerp

Leidraad voor het identificeren van kwetsbaarheden

Voordat kwetsbaarheidscontroles worden uitgevoerd, is het van essentieel belang om een ​​uitgebreide en actuele lijst te verkrijgen van fysieke en digitale activa (zie bijlage A 5.9 en 5.14) die eigendom zijn van en beheerd worden door de organisatie.

Gegevens over softwaremiddelen moeten het volgende omvatten:

  • Versienummers die momenteel in gebruik zijn.

  • Waar de software over het hele landgoed wordt ingezet.

  • Naam van de leverancier.

  • Naam van de toepassing.

Organisaties moeten ernaar streven technische kwetsbaarheden te identificeren door:

  • Het is essentieel om duidelijk te definiëren wie in de organisatie verantwoordelijk is kwetsbaarheidsbeheer vanuit een technische vanuit een gezichtspunt, dat de verschillende functies vervult, waaronder (maar niet beperkt tot):

  • Wie is binnen de organisatie verantwoordelijk voor de software.

  • Houd een register bij van toepassingen en hulpmiddelen om technische zwakke punten te identificeren.

  • Vraag leveranciers en verkopers om eventuele risico's met nieuwe systemen en hardware bekend te maken bij het leveren ervan (volgens bijlage A 5.20 van ISO 27001:2022), en specificeer dit duidelijk in alle toepasselijke contracten en serviceovereenkomsten.

  • Maak gebruik van tools voor het scannen op kwetsbaarheden en patchfaciliteiten.

  • Voer periodieke, gedocumenteerde penetratietests uit, hetzij door intern personeel, hetzij door een geverifieerde derde partij.

  • Wees u bewust van het potentieel voor onderliggende programmatische kwetsbaarheden bij het gebruik van codebibliotheken of broncode van derden (zie ISO 27001:2022 bijlage A 8.28).

Begeleiding bij publieke activiteiten

Organisaties moeten beleid en procedures creëren die kwetsbaarheden in al hun producten en diensten detecteren en beoordelingen krijgen van deze kwetsbaarheden met betrekking tot hun aanbod.

ISO adviseert organisaties actie te ondernemen om eventuele kwetsbaarheden te identificeren en derde partijen te motiveren om deel te nemen aan activiteiten op het gebied van kwetsbaarheidsbeheer door het aanbieden van premieprogramma's (waarbij potentiële exploits worden gezocht en gerapporteerd aan de organisatie in ruil voor een beloning).

Organisaties moeten zichzelf toegankelijk maken voor het publiek via forums, openbare e-mailadressen en onderzoek, zodat ze de collectieve kennis van het publiek kunnen benutten om hun producten en diensten te beschermen.

Organisaties moeten alle genomen herstelmaatregelen beoordelen en overwegen relevante informatie vrij te geven aan getroffen personen of organisaties. Bovendien moeten ze samenwerken met gespecialiseerde beveiligingsorganisaties om kennis over kwetsbaarheden en aanvalsvectoren te verspreiden.

Organisaties zouden moeten nadenken over het aanbieden van een optioneel geautomatiseerd updatesysteem dat klanten kunnen kiezen om al dan niet te gebruiken, afhankelijk van hun zakelijke vereisten.

Richtlijnen voor het evalueren van kwetsbaarheden

Nauwkeurige rapportage is essentieel om te zorgen voor snelle en effectieve corrigerende maatregelen wanneer beveiligingsrisico's worden gedetecteerd.

Organisaties moeten kwetsbaarheden beoordelen door:

  • Bestudeer de rapporten grondig en bepaal welke actie nodig is, zoals het wijzigen, bijwerken of elimineren van getroffen systemen en/of apparatuur.

  • Bereik een oplossing die rekening houdt met andere ISO-controles (vooral die gerelateerd aan ISO 27001:2022) en die het risiconiveau erkent.

Richtlijnen voor het tegengaan van softwarekwetsbaarheden

Softwarekwetsbaarheden kunnen effectief worden aangepakt met behulp van een proactieve benadering van software-updates en patchbeheer. Door te zorgen voor regelmatige updates en patches kunt u uw systeem beschermen tegen mogelijke bedreigingen.

Organisaties moeten ervoor zorgen dat ze bestaande softwareversies behouden voordat ze wijzigingen aanbrengen, grondige tests uitvoeren op alle wijzigingen en deze toepassen op een aangewezen exemplaar van de software.

Zodra kwetsbaarheden zijn geïdentificeerd, moeten organisaties actie ondernemen om deze aan te pakken:

  • Streef ernaar om alle beveiligingsproblemen snel en effectief op te lossen.

  • Volg waar mogelijk de organisatorische protocollen inzake verandermanagement (zie ISO 27001:2022 bijlage A 8.32) en incidentafhandeling (zie ISO 27001:2022 bijlage A 5.26).

  • Pas alleen patches en updates toe van betrouwbare, gecertificeerde bronnen, vooral voor software en apparatuur van derden:

    • Organisaties moeten de beschikbare gegevens evalueren om te beslissen of het essentieel is om automatische updates (of componenten daarvan) toe te passen op gekochte software en hardware.

  • Test eventuele updates voordat u ze installeert om onverwachte problemen in een live-omgeving te voorkomen.

  • Geef topprioriteit aan het aanpakken van risicovolle en vitale bedrijfssystemen.

  • Zorg ervoor dat corrigerende maatregelen succesvol en oprecht zijn.

In het geval dat er geen update beschikbaar is, of als er belemmeringen zijn voor het installeren van een update (bijvoorbeeld vanwege de kosten), moeten organisaties andere methoden overwegen, zoals:

  • Het vragen van advies aan de leverancier over een tijdelijke oplossing terwijl de herstelinspanningen worden geïntensiveerd.

  • Schakel alle netwerkservices uit die door het beveiligingslek worden getroffen.

  • Het implementeren van beveiligingscontroles bij belangrijke gateways, zoals verkeersregels en filters, om het netwerk te beschermen.

  • Voer het toezicht op in verhouding tot het daaraan verbonden risico.

  • Zorg ervoor dat alle betrokken partijen op de hoogte zijn van de fout, inclusief verkopers en kopers.

  • Stel de update uit en evalueer de risico's, waarbij u vooral op eventuele operationele kosten let.

Bijbehorende bijlage A-controles

  • ISO 27001:2022 Bijlage A 5.14

  • ISO 27001:2022 Bijlage A 5.20

  • ISO 27001:2022 Bijlage A 5.9

  • ISO 27001:2022 Bijlage A 8.20

  • ISO 27001:2022 Bijlage A 8.22

  • ISO 27001:2022 Bijlage A 8.28

Aanvullend richtsnoer bij bijlage A 8.8

Organisaties moeten een controlespoor van alle relevante activiteiten op het gebied van kwetsbaarheidsbeheer om te helpen bij corrigerende maatregelen en het opstellen van protocollen in geval van een inbreuk op de beveiliging.

Het periodiek beoordelen en herzien van het gehele proces voor kwetsbaarheidsbeheer is een uitstekende manier om de prestaties te verbeteren en eventuele kwetsbaarheden proactief te identificeren.

Als de organisatie een cloudserviceprovider in dienst heeft, moet zij ervoor zorgen dat de aanpak van de provider op het gebied van kwetsbaarheidsbeheer compatibel is met die van henzelf en moet worden opgenomen in de bindende serviceovereenkomst tussen beide partijen, inclusief eventuele rapportageprocedures (zie ISO 27001:2022 bijlage A 5.32). .

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 8.8 vervangt twee bijlage A-controles van ISO 27001:2013, dit zijn:

  • 12.6.1 – Beheer van technische kwetsbaarheden

  • 18.2.3 – Technische nalevingsbeoordeling

ISO 27001:2022 bijlage A 8.8 introduceert een nieuwe, onderscheidende benadering van kwetsbaarheidsbeheer dan die in ISO 27001:2013. Het is een opmerkelijke afwijking van de eerdere standaard.

ISO 27001:2013 Annex A 12.6.1 was vooral gericht op het treffen van corrigerende maatregelen zodra een kwetsbaarheid is ontdekt, terwijl Annex A 18.2.3 alleen van toepassing is op technische middelen (grotendeels penetratietesten).

ISO 27001:2022 bijlage A 8.8 introduceert nieuwe secties die gaan over de publieke verantwoordelijkheden van een organisatie, methoden voor het herkennen van kwetsbaarheden en de rol die cloudproviders spelen bij het tot een minimum beperken van kwetsbaarheden.

ISO 27001:2022 legt sterk de nadruk op de rol van kwetsbaarheidsbeheer op andere gebieden (zoals verandermanagement) en moedigt het hanteren van een holistische benadering aan, waarbij verschillende andere controles en informatiebeveiligingsprocessen worden geïntegreerd.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Onze platform is gebruiksvriendelijk en eenvoudig. Het is bedoeld voor iedereen in de organisatie, niet alleen voor technisch onderlegde mensen. Wij raden aan om personeel uit alle lagen van het bedrijf hierbij te betrekken het opbouwen van uw ISMS omdat dit helpt een systeem te creëren dat lang meegaat.

Neem nu contact op met een demonstratie organiseren.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie