Controle 5.11 stelt dat personeel en overige geïnteresseerde partijen indien van toepassing moeten zij alle activa van de organisatie die zij in hun bezit hebben, teruggeven bij wijziging of beëindiging van hun dienstverband, contract of overeenkomst.
Dit betekent dat de organisatie een schriftelijk beleid moet hebben waarin duidelijke regels zijn vastgelegd voor het retourneren van activa bij beëindiging. Organisaties moeten ook over personeel beschikken dat de ontvangst van de geretourneerde activa bevestigt ervoor te zorgen dat activa op de juiste manier worden geïnventariseerd en verrekend.
An informatie bezit is elke vorm van gegevens of informatie die waarde heeft voor een organisatie. Informatiemiddelen kunnen fysieke documenten, digitale bestanden en databases, softwareprogramma's en zelfs immateriële zaken zoals bedrijfsgeheimen en intellectueel eigendom omvatten.
Informatiemiddelen kunnen op verschillende manieren waarde hebben. Ze kunnen bevatten persoonlijk identificeerbare informatie (PII) over klanten, werknemers of andere belanghebbenden die door slechte actoren kunnen worden gebruikt voor financieel gewin of identiteitsdiefstal. Ze kunnen gevoelige informatie bevatten over de financiën, het onderzoek of de activiteiten van uw organisatie die uw concurrenten een concurrentievoordeel zouden opleveren als zij deze in handen zouden kunnen krijgen.
Daarom is het belangrijk dat personeel en contractanten wier zaken met een organisatie worden beëindigd, gedwongen worden al deze bezittingen in hun bezit terug te geven.
De nieuwe ISO 27002: 2022-norm bevat attributentabellen die niet waren opgenomen in de vorige standaard uit 2013. Controles worden geclassificeerd op basis van hun attributen. U kunt deze kenmerken ook gebruiken om uw besturingsselectie af te stemmen op veelgebruikte termen en specificaties in de sector.
Attributen voor controle 5.11 zijn:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Vermogensbeheer | #Bescherming |
Controle 5.11 is bedoeld om de bedrijfsmiddelen van de organisatie te beschermen als onderdeel van het proces van het wijzigen of beëindigen van een dienstverband, contract of overeenkomst. De bedoeling van deze controle is om te voorkomen dat onbevoegde personen activa (bijvoorbeeld apparatuur, informatie, software, enz.) achterhouden die eigendom zijn van de organisatie.
Wanneer medewerkers en opdrachtnemers uw organisatie verlaten, moet u ervoor zorgen dat zij geen gevoelige gegevens meenemen. Dat doe je door eventuele bedreigingen te identificeren en de activiteiten van de gebruiker te monitoren vóór diens vertrek.
Deze controle moet ervoor zorgen dat het individu geen toegang heeft tot de IT-systemen en netwerken wanneer deze worden beëindigd. Organisaties moeten een formeel beëindigingsproces instellen dat ervoor zorgt dat personen na hun vertrek uit de organisatie geen toegang meer kunnen krijgen tot IT-systemen. Dit kan worden gedaan door alle machtigingen in te trekken, accounts uit te schakelen en de toegang tot het gebouw te verwijderen.
Er moeten procedures zijn om ervoor te zorgen dat werknemers, opdrachtnemers en andere relevante partijen alle bedrijfsmiddelen van de organisatie retourneren die niet langer nodig zijn voor zakelijke doeleinden of aan vervanging toe zijn. Organisaties willen mogelijk ook een laatste controle van het werkgebied van het individu uitvoeren om er zeker van te zijn dat alle gevoelige informatie is teruggestuurd.
Bijvoorbeeld:
Om aan de vereisten voor controle 5.11 te voldoen, moet het wijzigings- of beëindigingsproces worden geformaliseerd en de teruggave omvatten van alle eerder uitgegeven fysieke en elektronische activa die eigendom zijn van of zijn toevertrouwd aan de organisatie.
Het proces moet er ook voor zorgen dat alle toegangsrechten, accounts, digitale certificaten en wachtwoorden worden verwijderd. Deze formalisering is vooral belangrijk in gevallen waarin een wijziging of beëindiging onverwacht plaatsvindt, zoals bij overlijden of ontslag, om ongeoorloofde toegang tot bedrijfsmiddelen te voorkomen die leiden tot een datalek.
Het proces moet ervoor zorgen dat alle activa worden verantwoord en dat ze allemaal op een veilige manier zijn teruggegeven/verwijderd.
Volgens controle 5.11 van ISO 27002:2022 moet de organisatie dit duidelijk doen alle informatie identificeren en documenteren en andere bijbehorende activa die moeten worden geretourneerd, waaronder:
a) eindpuntapparaten van gebruikers;
b) draagbare opslagapparaten;
c) specialistische apparatuur;
d) authenticatiehardware (bijvoorbeeld mechanische sleutels, fysieke tokens en smartcards) voor informatiesystemen, locaties en fysieke archieven;
e) fysieke kopieën van informatie.
Dit kan worden bereikt door middel van een formele checklist met alle noodzakelijke items die moeten worden geretourneerd/verwijderd en die door de gebruiker moeten worden ingevuld bij beëindiging, samen met eventuele noodzakelijke handtekeningen die bevestigen dat de activa met succes zijn teruggegeven/verwijderd.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
De nieuwe herziening van ISO 2022 voor 27002 werd op 15 februari 2022 gepubliceerd en is een upgrade van ISO 27002:2013.
Controle 5.11 in ISO 27002: 2022 is geen nieuwe controle, maar een wijziging van controle 8.1.4 – teruggave van activa in ISO 27002:2013.
Beide besturingselementen zijn in wezen hetzelfde, met vrijwel vergelijkbare taal en fraseologie in de implementatierichtlijnen. Echter, controle 5.11 in ISO 27002:2022 wordt geleverd met een attributentabel waarmee gebruikers het besturingselement kunnen matchen met wat ze implementeren. Controleer ook 5.11 in ISO 27002:2022 opgesomde activa die kunnen vallen onder wat moet worden teruggegeven aan het einde van het dienstverband of de beëindiging van het contract.
Deze omvatten:
a) eindpuntapparaten van gebruikers;
b) draagbare opslagapparaten;
c) specialistische apparatuur;
d) authenticatiehardware (bijvoorbeeld mechanische sleutels, fysieke tokens en smartcards) voor informatiesystemen, locaties en fysieke archieven;
e) fysieke kopieën van informatie.
Deze lijst is niet beschikbaar in de versie van 2013.
De vernieuwde ISO 27002:2022-norm is gebaseerd op de versie uit 2013. De commissie die toezicht houdt op de standaard heeft geen significante updates of wijzigingen aangebracht aan de eerdere versies. Als gevolg hiervan voldoet elke organisatie die momenteel aan ISO 27002:2013 voldoet, al aan de nieuwe norm. Als uw bedrijf van plan is de naleving van ISO 27002 te handhaven, hoeft u niet veel belangrijke wijzigingen in uw systemen en processen aan te brengen.
U kunt echter meer leren over de impact van deze wijzigingen in Control 5.11 op uw organisatie in onze gids voor ISO 27002:2022.
Het ISMS.online platform is een geweldig hulpmiddel om u te helpen bij het implementeren en beheren van een ISO 27001/27002 Informatiebeveiligingsbeheersysteem, ongeacht uw ervaring met de Standaard.
Ons systeem leidt u door de stappen om met succes uw ISMS opgezet en beheer het in de toekomst. U heeft toegang tot een breed scala aan bronnen, waaronder:
Neem vandaag nog contact op met boek een demo.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
