ISO 27001:2022 Bijlage A Controle 8.9

Configuration Management

Boek een demo

sluiten,omhoog,afbeelding,afrikaans,man,handen,typen,op,laptop,toetsenbord.

Doel van ISO 27001:2022 Bijlage A 8.9

Configuraties, hetzij als individueel configuratiebestand, hetzij als een verzameling aan elkaar gekoppelde configuraties, bepalen hoe hardware, software en netwerken worden beheerd.

Het configuratiebestand van een firewall bevat bijvoorbeeld de basiskenmerken die het apparaat gebruikt om het verkeer dat het netwerk van een organisatie binnenkomt en verlaat te beheren, zoals blokkeerlijsten, port forwarding, virtuele LAN's en VPN-informatie.

Configuratiemanagement is een essentieel onderdeel van iedere organisatie vermogensbeheer strategie. Configuraties zijn van cruciaal belang om ervoor te zorgen dat een netwerk naar behoren functioneert en om apparaten te beschermen tegen niet-goedgekeurde wijzigingen of ongepaste wijzigingen door onderhoudspersoneel en/of leveranciers.

Eigendom van bijlage A 8.9

Configuratiebeheer is een administratieve taak die zich richt op het onderhouden en observeren van asset-gerelateerde gegevens en informatie die aanwezig zijn op verschillende apparaten en applicaties. Daarom moet het eigendom in handen zijn van de Hoofd IT of het equivalent.

Leidraad voor ISO 27001:2022 bijlage A 8.9 Naleving

Organisaties moeten configuratiebeheerbeleid opstellen en uitvoeren voor zowel nieuwe als bestaande systemen en hardware. Interne controles moeten belangrijke elementen omvatten, zoals beveiligingsconfiguraties, hardware met configuratiebestanden en alle toepasselijke software of systemen.

ISO 27001:2022 Bijlage A 8.9 vereist dat organisaties alle relevante rollen en plichten in overweging nemen bij het opzetten van een configuratiebeleid, inclusief het toewijzen van eigendom van configuraties per apparaat of per applicatie.

Richtlijnen voor standaardsjablonen

Organisaties moeten ernaar streven om waar mogelijk gestandaardiseerde sjablonen te gebruiken om alle hardware, software en systemen te beveiligen. Deze sjablonen moeten:

  • Probeer vrij beschikbare leverancierspecifieke en open source-instructies te gebruiken om hardware- en softwaremiddelen optimaal te configureren.
  • Zorg ervoor dat het apparaat, de applicatie of het systeem voldoet aan de minimale beveiligingseisen.
  • Samenwerken met de grotere bedrijven informatiebeveiliging activiteiten, inclusief alle toepasselijke ISO-voorschriften.
  • Houd rekening met de speciale zakelijke behoeften van de organisatie – vooral met betrekking tot beveiligingsinstellingen – en met de mogelijkheid om op elk gewenst moment een sjabloon toe te passen of te beheren.
  • Controleer regelmatig de systeem- en hardware-updates en eventuele huidige beveiligingsbedreigingen om optimale prestaties te garanderen.

Richtsnoeren voor beveiligingscontroles

Beveiliging is van het grootste belang bij het toepassen van configuratiesjablonen of het wijzigen van bestaande in overeenstemming met de hierboven genoemde richtlijnen.

Bij het overwegen van sjablonen die in het hele bedrijf moeten worden geïmplementeerd, moeten organisaties ernaar streven potentiële informatiebeveiligingsrisico's te verminderen door:

  • Beperk de hoeveelheid personeel met administratieve bevoegdheden tot een zo klein mogelijk aantal.
  • Deactiveer alle identiteiten die niet worden gebruikt of niet nodig zijn.
  • Houd de toegang tot onderhoudsprogramma's, hulpprogramma's en interne instellingen zorgvuldig bij.
  • Zorg ervoor dat de klokken op elkaar zijn afgestemd om de configuratie nauwkeurig vast te leggen en eventuele toekomstige sondes te ondersteunen.
  • Wijzig onmiddellijk alle standaardwachtwoorden of veiligheidsinstellingen die bij elk apparaat, dienst of programma worden geleverd.
  • Implementeer een vooraf ingestelde uitlogperiode voor alle apparaten, systemen of applicaties die gedurende een vooraf bepaald tijdsbestek inactief zijn geweest.
  • Zorg voor naleving van ISO 27001:2022 bijlage A 5.32 om te garanderen dat aan alle licentievereisten is voldaan.

Richtlijnen voor het beheren en bewaken van configuraties

De organisatie is verplicht configuraties te bewaren en vast te leggen, samen met een historie van eventuele wijzigingen of nieuwe opstellingen, in lijn met het ISO 27001:2022 Annex A 8.32 Change Management proces.

Logboeken moeten informatie bevatten met details over:

  • Wie houdt het bezit.
  • Registreer het tijdstip van de laatste configuratiewijziging.
  • Deze versie van de configuratiesjabloon die van kracht is.
  • Verklaar alle gegevens die relevant zijn voor de associatie van het asset met configuraties op andere gadgets/systemen.

Organisaties moeten een breed scala aan methoden gebruiken om de werking van configuratiebestanden in hun netwerk in de gaten te houden, zoals:

  • Automatisering.
  • Er zijn gespecialiseerde configuratieonderhoudsprogramma's beschikbaar voor gebruik. Deze programma's maken een efficiënt en effectief beheer van instellingen mogelijk.
  • Tools voor ondersteuning op afstand die automatisch configuratiegegevens voor elk apparaat invullen.
  • Hulpprogramma's voor bedrijfsapparaat- en softwarebeheer zijn gemaakt om grote hoeveelheden configuratiegegevens tegelijkertijd te observeren.
  • De BUDR-software biedt geautomatiseerde back-ups van configuraties naar een veilige plaats en kan op afstand of ter plaatse sjablonen herstellen naar defecte of gecompromitteerde apparaten.

Organisaties moeten gespecialiseerde software gebruiken om eventuele wijzigingen in de configuratie van een apparaat te monitoren en snel actie te ondernemen om de transformatie goed te keuren of terug te zetten naar de oorspronkelijke status.

Bijbehorende bijlage A-controles

  • ISO 27001:2022 Bijlage A 5.32
  • ISO 27001:2022 Bijlage A 8.32

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 8.9 is niet aanwezig in ISO 27001:2013, aangezien het een nieuwe toevoeging is in de herziening van 2022.

Tabel met alle ISO 27001:2022 bijlage A-controles

In onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online biedt een integrale aanpak ISO 27001 implementatie. Het biedt een fullservicepakket, waardoor het hele proces snel en efficiënt wordt afgehandeld. Het biedt alle benodigde tools, middelen en begeleiding om organisaties in staat te stellen de standaard met vertrouwen te implementeren.

Met dit webgebaseerde systeem kunt u aantonen dat uw Informatiebeveiligingsbeheersysteem (ISMS) voldoet aan de geaccepteerde normen, met doordachte processen, procedures en checklists.

Neem nu contact met ons op een demonstratie organiseren.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu