Controle 5.1 van ISO 27002:2022 heeft betrekking op de behoefte van organisaties aan een informatiebeveiligingsbeleidsdocument ter bescherming tegen informatiebeveiligingsproblemen.
Een informatiebeveiligingsbeleid biedt medewerkers, management en externe partijen (bijvoorbeeld klanten en leveranciers) een raamwerk voor het beheer van elektronische informatie, waaronder computernetwerken.
Het doel van een informatiebeveiligingsbeleid is het verminderen van het risico op gegevensverlies of diefstal als gevolg van interne en externe bedreigingen. Een informatiebeveiligingsbeleid zorgt er ook voor dat alle werknemers zich bewust zijn van hun verantwoordelijkheden voor het beschermen van de gegevens die hun organisaties bewaren.
Ook kan een informatiebeveiligingsbeleid worden gebruikt om de naleving van wet- en regelgeving aan te tonen en helpt het te voldoen aan normen als ISO 27001.
Cyberveiligheidsbedreigingen zijn elke mogelijke kwaadwillige aanval die erop gericht is onrechtmatig toegang te krijgen tot gegevens, digitale activiteiten te verstoren of informatie te beschadigen. Cyberdreigingen kunnen afkomstig zijn van verschillende actoren, waaronder bedrijfsspionnen en hacktivisten, terroristische groeperingen, vijandige natiestaten en criminele organisaties.
Enkele van de meer populaire bedreigingen voor cyberbeveiliging en informatiebeveiliging zijn:
Het doel van het informatiebeveiligingsbeleid is om managementondersteuning te garanderen voor de bescherming van de gevoelige informatie van uw bedrijf tegen diefstal en ongeoorloofde toegang.
Beheersing 5.1 behandelt de controle-, doel- en implementatierichtlijnen voor het vaststellen van een informatiebeveiligingsbeleid in een organisatie volgens het raamwerk zoals gedefinieerd door ISO 27001.
Controle 5.1 stelt dat organisaties op hoog en laag niveau beleid moeten hebben over hoe zij hun informatiebeveiliging beheren. Het senior management van de organisatie moet het beleid goedkeuren, dat regelmatig moet worden herzien, ook als er zich veranderingen in de informatiebeveiligingsomgeving voordoen.
De beste aanpak is om minstens één keer per maand regelmatig bijeen te komen, en indien nodig worden er extra vergaderingen gepland. Als er wijzigingen in het beleid worden aangebracht, moet het management deze goedkeuren voordat ze worden geïmplementeerd. Het beleid moet ook worden gedeeld met interne en externe belanghebbenden.
Attributen zijn een manier om besturingselementen te categoriseren. Hiermee kunt u uw besturingsselectie snel afstemmen op de gangbare branchetaal en standaarden. In controle 5.1 zijn dit deze.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Bestuur | #Governance en ecosysteem #Veerkracht |
Het informatiebeveiligingsbeleid moet de basis vormen voor, en ondersteund worden door, gedetailleerde operationele procedures die beschrijven hoe informatiebeveiliging in de praktijk zal worden beheerd.
Het beleid moet worden goedgekeurd door het topmanagement, dat ervoor moet zorgen dat het aan het personeel wordt gecommuniceerd en beschikbaar wordt gesteld aan geïnteresseerde partijen.
Het beleid geeft richting aan de aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en kan worden gebruikt als raamwerk voor het ontwikkelen van meer gedetailleerde operationele procedures.
Het beleid is een essentieel onderdeel bij het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging (ISMS), zoals vereist door de ISO/IEC 27000-normenfamilie, maar zelfs als de organisatie niet van plan is een formele certificering volgens ISO 27001 of een andere norm te implementeren blijft een goed gedefinieerd beleid belangrijk.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
In ISO 27002: 2022 is controle 5.1 Informatiebeveiligingsbeleid geen nieuwe controle, maar het resultaat van het samenvoegen van controles 5.1.1 Beleid voor informatiebeveiliging en 5.1.2 Herziening van beleid voor informatiebeveiliging van ISO 27002 herziening 2013.
In ISO 27002:2022 is controle 5.1 bijgewerkt met een beschrijving van het doel ervan en uitgebreide implementatierichtlijnen. Het werd ook geleverd met een attributentabel waarmee gebruikers controles kunnen afstemmen op brancheterminologieën.
In ISO 27002:2022 stelt controle 5.1 dat informatiebeveiliging en onderwerpspecifiek beleid moet worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante geïnteresseerde partijen.
Het informatiebeveiligingsbeleid van een organisatie moet de omvang, het type en de gevoeligheid van de informatiemiddelen van de organisatie weerspiegelen. Het moet ook in overeenstemming zijn met de industrienormen en toepasselijke overheidsregelgeving.
Hoewel de essentie van de controle zelf vergelijkbaar is met 5.1.1 van ISO 27002: 2013, stelt versie 2022 specifiek dat dit informatiebeveiligingsbeleid regelmatig moet worden herzien, ook als er zich veranderingen in de informatiebeveiligingsomgeving voordoen. Deze rider valt onder clausule 5.1.2 van ISO 27002:2013.
ISO 27002: 2013 en ISO 27002: 2022 stellen dat het hoogste niveau van de organisatie een beveiligingsbeleid moet definiëren dat het topmanagement goedkeurt en waarin staat hoe zij toezicht zullen houden op de bescherming van hun informatie. De vereisten die onder het beleid voor beide versies vallen, zijn echter verschillend.
In ISO 27002:2013 moet het informatiebeveiligingsbeleid zich richten op de vereisten die worden gecreëerd door:
Het informatiebeveiligingsbeleid moet verklaringen bevatten over:
Maar de eisen voor ISO 27002:2022 zijn iets uitgebreider.
Het informatiebeveiligingsbeleid moet rekening houden met eisen die voortvloeien uit:
Het informatiebeveiligingsbeleid moet verklaringen bevatten over:
Tegelijkertijd werd het onderwerpspecifieke beleid in ISO 27002:2022 herwerkt en omvatte het: beheer van informatiebeveiligingsincidenten, activabeheer, netwerkbeveiliging, beheer van informatiebeveiligingsincidenten en veilige ontwikkeling. Sommige daarvan in ISO 27002:2013 zijn verwijderd of samengevoegd om een meer holistisch raamwerk te vormen.
Op ISMS.online biedt ons eenvoudig te gebruiken, maar krachtige cloudsysteem u een complete set tools en bronnen waarmee u uw eigen ISO 27001/27002 Information Security Management System (ISMS) kunt beheren, of u nu nieuw bent ISO 27001/27002 of reeds gecertificeerd.
Onze intuïtieve stapsgewijze workflow, tools, raamwerken, beleid en controles, bruikbare documentatie en begeleiding leiden u door het implementatieproces van ISO 27002, waardoor u eenvoudig de reikwijdte van het ISMS kunt definiëren, risico's kunt identificeren en controles kunt implementeren met behulp van onze algoritmen – helemaal opnieuw of op basis van best practice-sjablonen.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
