Binnen ISO 27001:2022 Bijlage A: Een nadere blik op de belangrijkste controles

Inleiding tot ISO 27001:2022 bijlage A

ISO 27001:2022 is een internationale informatiebeveiligingsstandaard die wordt geïmplementeerd via een Information Security Management System (ISMS). Bijlage A van de standaard bevat 93 beveiligingsmaatregelen die kunnen worden toegepast op basis van de behoeften en doelstellingen van uw organisatie.  

Door deze controles te implementeren, kan uw organisatie potentiële risico's aanpakken en naleving van de ISO 27001-norm bereiken. Het is een beproefde aanpak om uw klanten en potentiële klanten te laten zien dat het beschermen van hun gegevens een prioriteit is voor uw bedrijf.  

In dit artikel onderzoeken we bijlage A, schetsen we kritische controles en leggen we uit waarom het begrijpen en implementeren van relevante bijlage A-controles essentieel is voor het succes van uw organisatie op het gebied van ISO 27001. 

ISO 27001:2022 Bijlage A Categorieën

 De 93 ISO 27001:2022 bijlage A controles zijn onderverdeeld in vier categorieën: 

•        Organisatorische controles
•        Mensen controleren
•        Fysieke controles 
•        Technologische controles.

Organisatorische controles

ISO 27001 bevat 37 organisatorische controles. Deze controles hebben betrekking op het beleid, de procedures, de structuren en meer van uw organisatie, waardoor u effectieve informatiebeveiliging op organisatieniveau kunt implementeren.  

Organisatorische controles omvatten uw informatiebeveiligingsbeleid, verantwoordelijkheden voor informatiebeveiliging, toegangscontrole, activabeheer en meer. 

Mensencontroles

ISO 27001 bevat acht persoonscontroles, gericht op kritische maatregelen die organisaties moeten nemen om ervoor te zorgen dat werknemers voldoende informatiebeveiligingstraining krijgen en hun verantwoordelijkheden kennen. 

Mensencontroles omvatten informatiebeveiligingseducatie, bewustwording en training, maatregelen voor werken op afstand, rapportage van informatiebeveiligingsgebeurtenissen en meer. 

Fysieke controles 

De 14 fysieke controles in ISO 27001 richten zich op de veiligheid van de fysieke omgeving van uw organisatie. 

Fysieke controles omvatten beveiligingsmaatregelen voor het werken in beveiligde ruimtes, beheer van opslagmedia, een duidelijk bureau- en schermbeleid, en meer. 

Technologische controles

Er zijn 34 technologische controles beschreven in ISO 27001:2022 die betrekking hebben op verschillende technologische elementen binnen uw organisatie. 

Technologische controles omvatten veilige authenticatie, beheer van technische kwetsbaarheden, monitoringactiviteiten en het gebruik van cryptografie. 

Kritieke ISO 27001:2022 bijlage A-controles

Uw organisatie hoeft niet noodzakelijkerwijs alle 93 controles te implementeren, maar u moet wel controles selecteren die relevant zijn voor de informatiebeveiligingsdoelstellingen van uw organisatie en de risico's die u heeft geïdentificeerd. Voor de meeste, zo niet alle, organisaties zijn verschillende essentiële controles nodig om te voldoen aan ISO 27001. 

Houd er rekening mee dat de onderstaande lijst niet uitputtend is. Uw organisatie moet elke controle overwegen op basis van uw overkoepelende doelstellingen op het gebied van informatiebeveiliging. 

A.5.1 Beleid voor informatiebeveiliging

Controleer: A.5.1, Beleid voor informatiebeveiliging, zorgt voor voortdurende geschiktheid, adequaatheid en effectiviteit van managementondersteuning en -sturing voor de informatiebeveiliging en privacy van uw organisatie. 

Als deze controle met succes wordt geïmplementeerd, zorgt u ervoor dat uw organisatie beschikt over een reeks informatiebeveiligings- en privacybeleidsregels die zijn ontworpen om het gedrag van individuen te informeren en te sturen in overeenstemming met informatiebeveiligingsrisico's.  

Bijvoorbeeld uw informatiebeveiligingsbeleid, wat een vereiste is van ISO 27001:2022 Clausule 5.2, moet door het management worden goedgekeurd en moet de aanpak van uw organisatie voor het beheer van informatiebeveiliging vermelden. Er moet rekening worden gehouden met uw bedrijfsstrategie, vereisten, relevante wet- en regelgeving en contracten.  

Het beleid moet: 

• Voeg een definitie van informatiebeveiliging toe 

• Bied een raamwerk voor het vaststellen van informatiebeveiligingsdoelstellingen 

• Geef aan dat u zich voortdurend inzet voor het verbeteren van het ISMS van uw organisatie 

• Wijs verantwoordelijkheden voor informatiebeveiligingsbeheer toe aan gedefinieerde rollen. 

Het topmanagement moet het informatiebeveiligingsbeleid en alle aangebrachte wijzigingen goedkeuren om een ​​effectieve implementatie te garanderen. Vervolgens moet u het beleid (en eventuele bijbehorende subbeleidsregels, zoals het beleid inzake toegangscontrole en activabeheer) communiceren met het relevante personeel. 

 A.5.1. Resultaten: Informatiebeveiligingsbeleid; relevant onderwerpspecifiek subbeleid, bijv A.5.10 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen, A.8.32 Verandermanagement, A.8.13 Informatieback-up, Etc. 

A.5.15 Toegangscontrole

Controleer: A.5.15, Toegangscontrole vereist dat uw organisatie regels vaststelt en implementeert om de fysieke en logische toegang tot informatie en andere bijbehorende bedrijfsmiddelen te controleren op basis van bedrijfs- en informatiebeveiligingsvereisten. Dit zorgt ervoor dat alleen geautoriseerde profielen toegang hebben tot informatie en andere activa en voorkomt ongeautoriseerde toegang. 

U moet deze controle aanpakken met een toegangscontrolebeleid, dat als onderwerpspecifiek beleid onder uw informatiebeveiligingsbeleid valt. Uw toegangscontrolebeleid moet rekening houden met het volgende:  

• Bepalen welke entiteiten welk type toegang tot informatie en andere activa nodig hebben 

• Beveiliging van applicaties 

• Fysieke toegang, ondersteund door fysieke toegangscontroles 

• Informatieverspreiding en -autorisatie en informatiebeveiligingsniveaus en classificatie van informatie 

• Beperkingen op bevoorrechte toegang 

• Scheiding van taken 

• Relevante wet-, regelgeving en contractuele verplichtingen met betrekking tot beperking van toegang tot gegevens of diensten 

• Scheiding van toegangscontrolefuncties (zoals toegangsaanvraag, toegangsautorisatie en toegangsbeheer) 

• Formele autorisatie van toegangsverzoeken 

• Beheer van toegangsrechten 

• Logboekregistratie. 

Need-to-know- en need-to-use-principes worden vaak gebruikt bij toegangscontrole: 

• Moet weten houdt in dat een entiteit (zoals een individu of organisatie) alleen toegang krijgt tot informatie die de entiteit nodig heeft om haar taken uit te voeren.  

• Moet gebruiken houdt in dat een entiteit alleen toegang krijgt tot de informatietechnologie-infrastructuur als er een duidelijke behoefte is.  

Deze principes kunnen leidend zijn voor de manier waarop uw organisatie toegang verleent tot informatiemiddelen. U moet ook rekening houden met bedrijfsvereisten en risicofactoren bij het definiëren welke regels voor toegangscontrole worden toegepast en welk niveau van granulariteit nodig is. 

A.5.15 Resultaten: Themaspecifiek toegangscontrolebeleid; implementatie van toegangscontrole (bijvoorbeeld verplichte toegangscontrole, discretionaire toegangscontrole, op rollen gebaseerde toegangscontrole of op attributen gebaseerde toegangscontrole). 

A.6.3 Bewustzijn van informatiebeveiliging, onderwijs en training

Controleer: A.6.3, Bewustzijn, opleiding en training op het gebied van informatiebeveiliging, vormt de basis van de beveiligingspositie van uw organisatie. Het zorgt ervoor dat uw medewerkers en belanghebbenden potentiële informatiebeveiligingsincidenten kunnen voorkomen, identificeren en rapporteren.  

De controle vereist dat personeel en relevante partijen het juiste informatiebeveiligingsbewustzijn, opleiding, training en regelmatige updates ontvangen over het informatiebeveiligingsbeleid van uw organisatie en onderwerpspecifieke beleidslijnen en procedures, zoals van toepassing op hun rollen. 

U dient een bewustmakings-, opleidings- en trainingsprogramma voor informatiebeveiliging op te zetten in overeenstemming met uw doelstellingen op het gebied van informatiebeveiliging, en er moet periodiek training plaatsvinden. Het programma moet het personeel bewust maken van hun verantwoordelijkheden op het gebied van informatiebeveiliging en een passend opleidings- en trainingsplan omvatten om het personeel te helpen het doel van informatiebeveiliging te begrijpen en de potentiële impact van hun gedrag, in relatie tot informatiebeveiliging, op uw bedrijf. 

Denk hierbij aan aspecten als:  

• De toewijding van het management aan informatiebeveiliging in uw hele organisatie 

• Bekendheid en nalevingsbehoeften met betrekking tot toepasselijke informatiebeveiligingsregels en -verplichtingen 

• Persoonlijke verantwoordelijkheid voor iemands handelen en nalaten, en algemene verantwoordelijkheden met betrekking tot het beveiligen of beschermen van informatie die toebehoort aan de organisatie 

• Basisinformatiebeveiligingsprocedures zoals gebeurtenisrapportage en wachtwoordbeveiliging 

• Contactpunten en bronnen voor aanvullende informatie en advies. 

A.6.3 Resultaten: Periodieke bewustwordingstraining; periodiek onderwijs- en trainingsprogramma; regelmatige verspreiding van relevant informatiebeveiligingsbeleid, inclusief updates. 

 A.8.24 Gebruik van cryptografie

Controleer: A.8.24, gebruik van cryptografie vereist dat uw organisatie regels voor het effectief gebruik van cryptografie definieert en implementeert. Cryptografie kan worden gebruikt om verschillende informatiebeveiligingsdoelstellingen te bereiken, zoals: 

• Vertrouwelijkheid, door encryptie te gebruiken om gevoelige of kritieke informatie te beschermen 

• Integriteit of authenticiteit, door digitale handtekeningen of berichtauthenticatiecodes te gebruiken om de authenticiteit of integriteit van gevoelige of kritieke informatie te verifiëren 

• Niet-afwijzing, door cryptografische technieken te gebruiken om bewijs te leveren van het al dan niet plaatsvinden van een gebeurtenis of actie 

• Authenticatie, by het gebruik van cryptografische technieken om gebruikers en andere entiteiten te authenticeren die toegang vragen tot uw systeem, entiteiten of bronnen. 

Uw organisatie moet een onderwerpspecifiek cryptografiebeleid implementeren, inclusief algemene principes voor het beschermen van informatie. U moet ook rekening houden met relevante wettelijke, statutaire, regelgevende en contractuele vereisten met betrekking tot cryptografie. Kritieke overwegingen voor uw cryptografiebeleid zijn onder meer: 

• Het identificeren van het vereiste beschermingsniveau en de classificatie van de informatie en daarmee het vaststellen van het type, de sterkte en de kwaliteit van de vereiste cryptografische algoritmen 

• De aanpak van sleutelbeheer en sleutelgeneratie, inclusief veilige processen voor het genereren, opslaan, archiveren, ophalen, distribueren, buiten gebruik stellen en vernietigen van cryptografische sleutels 

• Rollen en verantwoordelijkheden voor het implementeren van de regels voor het effectief gebruik van cryptografie en sleutelbeheer en -generatie. 

In lijn met deze controle moet uw organisatie een sleutelbeheersysteem definiëren en gebruiken. 

A.8.24 Resultaten: Onderwerpspecifiek cryptografiebeleid; implementatie van geschikte cryptografische methoden; implementatie van een sleutelbeheersysteem.

Risicobeoordeling en -behandeling in ISO 27001:2022 

Uw organisatie moet een risicobeoordelingsproces voor informatiebeveiliging definiëren en toepassen om te voldoen aan ISO 27001:2022 Clausule 6.1.2, risicobeoordeling van informatiebeveiliging.  

Het informatiebeveiligingsrisicobeoordelingsproces moet: 

• Opstellen en onderhouden van informatiebeveiligingsrisicocriteria, inclusief risicoacceptatiecriteria en criteria voor het uitvoeren van informatiebeveiligingsrisicobeoordelingen. 

• Zorg ervoor dat herhaalde informatiebeveiligingsbeoordelingen consistente, valide en vergelijkbare resultaten opleveren. 

• Identificeer de informatiebeveiligingsrisico's. 

• Analyseer informatiebeveiligingsrisico's, inclusief de waarschijnlijkheid dat risico's zich voordoen, de mogelijke gevolgen van het optreden van risico's en de risiconiveaus 

• Evalueer de informatiebeveiligingsrisico's door de resultaten van de risicoanalyse te vergelijken met uw vastgestelde risicocriteria en prioriteit te geven aan de geanalyseerde risico's voor behandeling. 

Met dit proces kunt u een systematisch raamwerk voor risicobeoordeling opbouwen. Zodra dit is vastgesteld, moet u een proces voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen in overeenstemming met artikel 6.1.3.  

Uw risicobehandelingsproces moet het volgende omvatten: 

• Het selecteren van geschikte risicobehandelingsopties. 

• Gezien de resultaten van de risicobeoordeling. 

• Het bepalen van de controles die nodig zijn om de getoonde risicobehandelingsopties te implementeren.  

 Hierbij dient bijlage A als richtlijn voor een alomvattende en passende risicobehandeling. Met behulp van uw risicobeoordelingskader kunt u controles prioriteren en selecteren op basis van uw risicoprofiel en organisatorische vereisten. Vervolgens moet u de noodzakelijke controles uit bijlage A kiezen die u wilt implementeren om deze aan te pakken en ervoor te zorgen dat er geen kritische controles over het hoofd worden gezien.

Bijlage A: ISO 27001:2013 versus ISO 27001:2022 

De huidige versie van ISO 27001, uitgebracht in 2022, beschikt over een geherstructureerde reeks bijlage A-controles vergeleken met de versie uit 2013. Voorheen omvatte bijlage A 114 controles in 14 categorieën; nu bevat bijlage A 93 controles in vier kerncategorieën, zoals uiteengezet: organisatorisch, menselijk, fysiek en technologisch.  

Deze verandering is voornamelijk het gevolg van de consolidatie van de controles; Er zijn echter 11 nieuwe beveiligingsmaatregelen waarmee u rekening moet houden: 

• A.5.7 Bedreigingsinformatie  

• A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten  

• A.5.30 ICT gereed voor bedrijfscontinuïteit 

• A.7.4 Fysieke veiligheidsmonitoring 

• A.8.9 Configuratiebeheer 

• A.8.10 Verwijdering van informatie

• A.8.11 Gegevensmaskering

• A.8.12 Preventie van gegevenslekken 

• A.8.16 Monitoringactiviteiten

• A.8.23 Webfiltering 

• A.8.28 Veilige codering 

De update van 2022 introduceert ook vijf nieuwe kernkenmerken voor eenvoudiger categorisering: 

• Type controle (preventief, detective, correctief) 

• Informatiebeveiligingseigenschappen (vertrouwelijkheid, integriteit, beschikbaarheid) 

• Cybersecurity-concepten (identiteit, beschermen, detecteren, reageren, herstellen) 

• Operationele capaciteiten (governance, asset management, etc.) 

• Veiligheidsdomeinen (bestuur en ecosysteem, bescherming, defensie, veerkracht). 

Overgang van ISO 27001:2013 naar ISO 27001:2022 

Als uw organisatie al ISO 27001:2013 gecertificeerd is, is de deadline voor de overstap naar de nieuwe herziening 31 oktober 2025.  

Bij ISMS.online helpen we bedrijven al met de transitie naar ISO 27001:2022. Onze klanten hebben een succespercentage van 100% bij het behalen van certificering met behulp van onze Methode met gegarandeerde resultaten (ARM).  

Om te beginnen verdelen we het proces in zeven eenvoudige stappen. Deze stapsgewijze begeleiding is ingebouwd in ons platform, dus we begeleiden u bij elke stap: van het bijwerken van uw risicobehandelingsplan tot het aantonen van naleving van de standaardvereisten van 2022. We helpen u ook om de naleving van 2013 te handhaven terwijl u uw certificering overzet naar 2022, zodat uw bedrijf consequent aan de voorschriften voldoet.   

Bijlage A: Het succes van ISO 27001:2022 ontsluiten 

Voor organisaties die de ISO 27001-certificering willen behalen, is het essentieel om de controles van bijlage A te begrijpen en deze effectief en duidelijk te implementeren. Met deze controles kunt u het optreden van potentiële informatiebeveiligingsrisico's voorkomen en worden processen en procedures beschreven waarmee u effectief kunt reageren als zich een incident voordoet. Ze stellen u ook in staat een robuust ISMS te bouwen dat mee evolueert en meegroeit met de behoeften van uw bedrijf. 

Elke organisatie heeft andere informatiebeveiligingsvereisten, dus u moet de specifieke behoeften en doelstellingen van uw bedrijf evalueren wanneer u bijlage A-controles selecteert. Het kan zijn dat sommige controles risico's aanpakken die volgens uw risicobeoordelingen niet van toepassing zijn. Het ISMS.online-platform kan dit proces vereenvoudigen: identificeer en adresseer snel uw relevante Annex A-controles met vooraf ingevulde sjablonen en onze dynamische risicobeheerengine.  

Ons platform sluit ook aan op uw bestaande systemen, zodat u alles wat u nodig heeft voor succes op één plek vindt. Het beste van alles is dat u onze Inhoud een voorsprong, is uw compliance-traject voor 81% voltooid vanaf uw eerste login.  

Ontdek hoe u ons praktische, betaalbare pad naar het behalen van ISO 27001 in één keer kunt benutten in ons whitepaper 'Proven Path to ISO 27001 Success'.