Wat is controle 5.1?
Een informatiebeveiligingsbeleid biedt medewerkers, management en externe partijen (bijvoorbeeld klanten en leveranciers) een raamwerk voor het beheer van elektronische informatie, waaronder computernetwerken.
Het doel van een informatiebeveiligingsbeleid is het verminderen van het risico op gegevensverlies of diefstal als gevolg van interne en externe bedreigingen. Een informatiebeveiligingsbeleid zorgt er ook voor dat alle werknemers zich bewust zijn van hun verantwoordelijkheden voor het beschermen van de gegevens die hun organisaties bewaren.
Ook kan een informatiebeveiligingsbeleid worden gebruikt om de naleving van wet- en regelgeving aan te tonen en helpt het te voldoen aan normen als ISO 27001.
Cyberbeveiliging en informatiebeveiligingsbedreigingen uitgelegd
Cyberveiligheidsbedreigingen zijn elke mogelijke kwaadwillige aanval die erop gericht is onrechtmatig toegang te krijgen tot gegevens, digitale activiteiten te verstoren of informatie te beschadigen. Cyberdreigingen kunnen afkomstig zijn van verschillende actoren, waaronder bedrijfsspionnen en hacktivisten, terroristische groeperingen, vijandige natiestaten en criminele organisaties.
Enkele van de meer populaire bedreigingen voor cyberbeveiliging en informatiebeveiliging zijn:
- malware: virussen, spyware en andere kwaadaardige programma's.
- Phishing-e-mails: berichten die afkomstig lijken te zijn van betrouwbare bronnen, maar links en bijlagen bevatten die malware installeren.
- ransomware: malware die voorkomt dat gebruikers toegang krijgen tot hun eigen gegevens totdat ze losgeld hebben betaald.
- Social engineering: aanvallers die mensen manipuleren om gevoelige informatie te verstrekken, meestal door betrouwbaar over te komen.
- Walvisvangst aanvallen: phishing-e-mails die zo zijn ontworpen dat het lijkt alsof ze afkomstig zijn van spraakmakende personen binnen een organisatie.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wat is het doel van controle 5.1?
Het doel van het informatiebeveiligingsbeleid is om managementondersteuning te garanderen voor de bescherming van de gevoelige informatie van uw bedrijf tegen diefstal en ongeoorloofde toegang.
Beheersing 5.1 behandelt de controle-, doel- en implementatierichtlijnen voor het vaststellen van een informatiebeveiligingsbeleid in een organisatie volgens het raamwerk zoals gedefinieerd door ISO 27001.
Controle 5.1 stelt dat organisaties op hoog en laag niveau beleid moeten hebben over hoe zij hun informatiebeveiliging beheren. Het senior management van de organisatie moet het beleid goedkeuren, dat regelmatig moet worden herzien, ook als er zich veranderingen in de informatiebeveiligingsomgeving voordoen.
De beste aanpak is om minstens één keer per maand regelmatig bijeen te komen, en indien nodig worden er extra vergaderingen gepland. Als er wijzigingen in het beleid worden aangebracht, moet het management deze goedkeuren voordat ze worden geïmplementeerd. Het beleid moet ook worden gedeeld met interne en externe belanghebbenden.
Kenmerken van controle 5.1
Attributen zijn een manier om besturingselementen te categoriseren. Hiermee kunt u uw besturingsselectie snel afstemmen op de gangbare branchetaal en standaarden. In controle 5.1 zijn dit deze.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Bestuur | #Governance en ecosysteem |
| #Integriteit | #Veerkracht | |||
| #Beschikbaarheid |
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan
Het informatiebeveiligingsbeleid moet de basis vormen voor, en ondersteund worden door, gedetailleerde operationele procedures die beschrijven hoe informatiebeveiliging in de praktijk zal worden beheerd.
Het beleid moet worden goedgekeurd door het topmanagement, dat ervoor moet zorgen dat het aan het personeel wordt gecommuniceerd en beschikbaar wordt gesteld aan geïnteresseerde partijen.
Het beleid geeft richting aan de aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en kan worden gebruikt als raamwerk voor het ontwikkelen van meer gedetailleerde operationele procedures.
Het beleid is een essentieel onderdeel bij het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging (ISMS), zoals vereist door de ISO/IEC 27000-normenfamilie, maar zelfs als de organisatie niet van plan is een formele certificering volgens ISO 27001 of een andere norm te implementeren blijft een goed gedefinieerd beleid belangrijk.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
In ISO 27002: 2022 is controle 5.1 Informatiebeveiligingsbeleid geen nieuwe controle, maar het resultaat van het samenvoegen van controles 5.1.1 Beleid voor informatiebeveiliging en 5.1.2 Herziening van beleid voor informatiebeveiliging van ISO 27002 herziening 2013.
In ISO 27002:2022 is controle 5.1 bijgewerkt met een beschrijving van het doel ervan en uitgebreide implementatierichtlijnen. Het werd ook geleverd met een attributentabel waarmee gebruikers controles kunnen afstemmen op brancheterminologieën.
In ISO 27002:2022 stelt controle 5.1 dat informatiebeveiliging en onderwerpspecifiek beleid moet worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante geïnteresseerde partijen.
Het informatiebeveiligingsbeleid van een organisatie moet de omvang, het type en de gevoeligheid van de informatiemiddelen van de organisatie weerspiegelen. Het moet ook in overeenstemming zijn met de industrienormen en toepasselijke overheidsregelgeving.
Hoewel de essentie van de controle zelf vergelijkbaar is met 5.1.1 van ISO 27002: 2013, stelt versie 2022 specifiek dat dit informatiebeveiligingsbeleid regelmatig moet worden herzien, ook als er zich veranderingen in de informatiebeveiligingsomgeving voordoen. Deze rider valt onder clausule 5.1.2 van ISO 27002:2013.
ISO 27002: 2013 en ISO 27002: 2022 stellen dat het hoogste niveau van de organisatie een beveiligingsbeleid moet definiëren dat het topmanagement goedkeurt en waarin staat hoe zij toezicht zullen houden op de bescherming van hun informatie. De vereisten die onder het beleid voor beide versies vallen, zijn echter verschillend.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Controle 5.1 Implementatierichtlijnen 2013 – 2022 vergeleken
In ISO 27002:2013 moet het informatiebeveiligingsbeleid zich richten op de vereisten die worden gecreëerd door:
- Bedrijfsstrategie.
- Regelgeving, wetgeving en contracten.
- De huidige en verwachte bedreigingen voor de informatiebeveiliging.
Het informatiebeveiligingsbeleid moet verklaringen bevatten over:
- Definitie van informatiebeveiliging, doelstellingen en principes als leidraad voor alle activiteiten die hiermee verband houden
informatiebeveiliging. - Toewijzing van algemene en specifieke verantwoordelijkheden voor informatiebeveiligingsbeheer aan
gedefinieerde rollen. - Processen voor het afhandelen van afwijkingen en uitzonderingen.
Maar de eisen voor ISO 27002:2022 zijn iets uitgebreider.
Het informatiebeveiligingsbeleid moet rekening houden met eisen die voortvloeien uit:
- Bedrijfsstrategie en vereisten.
- Regelgeving, wetgeving en contracten.
- De huidige en verwachte informatiebeveiligingsrisico's en bedreigingen.
Het informatiebeveiligingsbeleid moet verklaringen bevatten over:
- Definitie van informatiebeveiliging.
- Informatiebeveiligingsdoelstellingen of het raamwerk voor het stellen van informatiebeveiligingsdoelstellingen.
- Principes die als leidraad dienen voor alle activiteiten met betrekking tot informatiebeveiliging.
- Verbintenis om te voldoen aan de toepasselijke vereisten met betrekking tot informatiebeveiliging.
- Toewijding aan voortdurende verbetering van het informatiebeveiligingsbeheersysteem.
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen.
- Procedures voor het omgaan met vrijstellingen en uitzonderingen.
Tegelijkertijd werd het onderwerpspecifieke beleid in ISO 27002:2022 herwerkt en omvatte het: beheer van informatiebeveiligingsincidenten, activabeheer, netwerkbeveiliging, beheer van informatiebeveiligingsincidenten en veilige ontwikkeling. Sommige daarvan in ISO 27002:2013 zijn verwijderd of samengevoegd om een meer holistisch raamwerk te vormen.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.Online helpt
Op ISMS.online biedt ons eenvoudig te gebruiken, maar krachtige cloudsysteem u een complete set tools en bronnen waarmee u uw eigen ISO 27001/27002 Information Security Management System (ISMS) kunt beheren, of u nu nieuw bent ISO 27001/27002 of reeds gecertificeerd.
Onze intuïtieve stapsgewijze workflow, tools, raamwerken, beleid en controles, bruikbare documentatie en begeleiding leiden u door het implementatieproces van ISO 27002, waardoor u eenvoudig de reikwijdte van het ISMS kunt definiëren, risico's kunt identificeren en controles kunt implementeren met behulp van onze algoritmen – helemaal opnieuw of op basis van best practice-sjablonen.
Neem vandaag nog contact op met boek een demo.
