Wanneer informatie wordt overgedragen aan interne of externe partijen, ontstaat er een verhoogd risico voor de vertrouwelijkheid, integriteit, beschikbaarheid en beveiliging van informatie verzonden.
Controle 5.14 omvat de eisen waaraan organisaties moeten voldoen om de veiligheid van gegevens te waarborgen wanneer deze intern worden gedeeld of wanneer deze uit de organisatie naar derden stromen.
Controle 5.14 is een preventieve vorm van controle die vereist dat organisaties passende regels, procedures en/of overeenkomsten opstellen om de veiligheid van gegevens te handhaven wanneer deze binnen een organisatie worden gedeeld of aan derden worden doorgegeven.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Vermogensbeheer #Informatiebescherming | #Bescherming |
Hoewel de ontwikkeling en implementatie van regels, procedures en overeenkomsten de steun en goedkeuring van het management op hoog niveau vereisen, is de samenwerking en expertise van verschillende belanghebbenden binnen een organisatie, waaronder het juridische team, IT-personeel en het hogere management, van cruciaal belang. .
Het juridische team moet er bijvoorbeeld voor zorgen dat de organisatie overdrachtsovereenkomsten sluit met derde partijen en dat deze overeenkomsten in overeenstemming zijn met de vereisten gespecificeerd in Controle 5.14. Op dezelfde manier moet het IT-team actief deelnemen aan het definiëren en implementeren van controles om de beveiliging van gegevens te handhaven, zoals uiteengezet in 5.14.
Naleving van 5.14 impliceert de ontwikkeling van regels, procedures en overeenkomsten, inclusief een onderwerpspecifiek beleid voor informatieoverdracht, dat gegevens in transit een beschermingsniveau biedt dat past bij de classificatie die aan die informatie is toegewezen.
Met andere woorden: het beschermingsniveau moet overeenkomen met het niveau van kriticiteit en gevoeligheid van de verzonden informatie.
Bovendien specificeert Controle 5.14 dat organisaties overdrachtsovereenkomsten moeten ondertekenen met ontvangende derde partijen om een veilige overdracht van gegevens te garanderen.
Controle 5.14 groepeert de soorten overdracht in drie categorieën:
Voordat we verder gaan met het beschrijven van de specifieke vereisten voor elk type overdracht, somt Controle 5.14 de elementen op die moeten worden opgenomen in alle regels, procedures en overeenkomsten voor alle drie de soorten overdrachten in het algemeen:
Na het opsommen van de minimale inhoudsvereisten voor regels, procedures en overeenkomsten die gemeenschappelijk zijn voor alle drie soorten overdrachten, somt Controle 5.14 specifieke inhoudsvereisten op voor elk type overdracht.
Regels, overeenkomsten en procedures moeten de volgende problemen aanpakken wanneer informatie elektronisch wordt overgedragen:
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Wanneer informatie wordt gedeeld via fysieke middelen zoals papieren, moeten de regels, procedures en overeenkomsten het volgende omvatten:
Controle 5.14 stelt dat wanneer personeel informatie uitwisselt binnen de organisatie of wanneer zij gegevens doorgeven aan externe partijen, zij op de hoogte moeten worden gesteld van de volgende risico’s:
27002:2022/5.14 vervangt 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Hoewel de twee bedieningselementen tot op zekere hoogte vergelijkbaar zijn, maken twee belangrijke verschillen de vereisten van de 2022-versie zwaarder.
In de versie van 2013, sectie 13.2.3 rekening gehouden met de specifieke eisen voor de overdracht van informatie via elektronische berichtenuitwisseling.
Er werd echter niet afzonderlijk ingegaan op de overdracht van informatie via verbale of fysieke wijze.
De versie uit 2022 identificeert daarentegen duidelijk drie soorten informatieoverdracht en zet vervolgens voor elk ervan afzonderlijk de inhoudsvereisten uiteen.
Waar in paragraaf 13.2.3 specifieke eisen stonden aan de inhoud van overeenkomsten voor elektronisch berichtenverkeer, legt Versie 2022 strengere verplichtingen op aan organisaties.
De 2022-versie vereist dat organisaties nieuwe controles beschrijven en implementeren in de regels, procedures en overeenkomsten voor elektronische overdrachten.
Organisaties moeten hun werknemers bijvoorbeeld adviseren geen sms-diensten te gebruiken als deze gevoelige informatie bevatten.
De 2022-versie stelt strengere eisen aan de overdracht van fysieke opslagmedia. De eisen zijn bijvoorbeeld uitgebreider met betrekking tot de authenticatie van koeriers en de soorten schade die moeten worden voorkomen.
In de versie uit 2013 werd expliciet verwezen naar specifieke eisen aan overeenkomsten voor informatieoverdracht. De 'Regels' en 'Procedures' kwamen echter niet specifiek aan bod.
In de versie van 2022 worden daarentegen de specifieke vereisten voor elk van deze drie mechanismen uiteengezet.
ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.
Neem vandaag nog contact op met boek een demo.
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |