ISO 27002:2022, Controle 5.23 – Informatiebeveiliging voor gebruik van clouddiensten

ISO 27002:2022 herziene controles

Boek een demo

onderkant,weergave,van,moderne,wolkenkrabbers,in,bedrijf,wijk,tegen,blauw

Doel van de controle 5.23

5.23 is een nieuw besturingselement dat de processen schetst die nodig zijn voor het verwerven, gebruiken, beheren en verlaten van clouddiensten, in relatie tot de unieke eisen op het gebied van informatiebeveiliging.

Controle 5.23 maakt het voor organisaties mogelijk om eerst te specificeren en vervolgens te beheren informatiebeveiliging beheren concepten die verband houden met clouddiensten, in hun hoedanigheid van “klant van clouddiensten”.

5.23 een preventieve controle dat houdt het risico in stand door beleid en procedures te specificeren informatiebeveiliging regelen, binnen de sfeer van commerciële clouddiensten.

Attributentabel

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid #Integriteit #Beschikbaarheid#Beschermen#Beveiliging van leveranciersrelaties#Governance en ecosysteem #bescherming
Ga naar onderwerp

Wij zijn kosteneffectief en snel

Ontdek hoe dat uw ROI zal verhogen
Vraag uw offerte aan

Eigendom van zeggenschap 5.23

De afgelopen tien jaar is de wildgroei aan clouddiensten zo groot geworden. Control 5.23 bevat een groot aantal procedures die veel verschillende elementen van de bedrijfsvoering van een organisatie omvatten.

Aangezien niet alle clouddiensten ICT-specifiek zijn – hoewel redelijkerwijs kan worden gesteld dat de meeste dat wel zijn – moet het eigendom van Control 5.22 worden verdeeld tussen de afdelingen van de organisatie. CTO or COO, afhankelijk van de heersende operationele omstandigheden.

Leidraad voor controle 5.23 – Organisatorische verplichtingen

Naleving van Controle 5.23 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot clouddiensten en informatiebeveiliging.

Gezien de verscheidenheid aan clouddiensten die worden aangeboden, moedigen onderwerpspecifieke benaderingen organisaties aan om een ​​beleid voor clouddiensten te creëren dat is afgestemd op individuele bedrijfsfuncties, in plaats van vast te houden aan een algemeen beleid. beleid dat van toepassing is op informatiebeveiliging en clouddiensten over de hele linie.

Opgemerkt moet worden dat ISO de naleving van Control 5.23 beschouwt als een gezamenlijke inspanning tussen de organisatie en hun cloudservicepartner. Controle 5.23 moet ook nauw worden afgestemd op de controles 5.21 en 5.22, die betrekking hebben op informatie beheer in de toeleveringsketen en het beheer van respectievelijk leveranciersdiensten.

Hoe een organisatie ook wil opereren, Controle 5.23 mag niet op zichzelf staan ​​en moet een aanvulling vormen op de bestaande inspanningen om dat te bereiken leveranciersrelaties beheren.

Nu informatiebeveiliging voorop staat, moet de organisatie het volgende definiëren:

  1. Alle relevante beveiligingsvereisten of zorgen die verband houden met het gebruik van een cloudplatform.
  2. De criteria die betrokken zijn bij het selecteren van een aanbieder van clouddiensten en hoe hun diensten moeten worden gebruikt.
  3. Gedetailleerde beschrijving van rollen en relevante verantwoordelijkheden die bepalen hoe clouddiensten in de hele organisatie moeten worden gebruikt.
  4. Welke informatiebeveiligingsgebieden precies worden beheerd door de cloudserviceprovider en welke onder de verantwoordelijkheid van de organisatie zelf vallen.
  5. De beste manieren om eerst te verzamelen en vervolgens alle informatiebeveiligingsgerelateerde servicecomponenten te gebruiken die door het cloudserviceplatform worden aangeboden.
  6. Hoe u categorische garanties kunt verkrijgen over alle informatiebeveiligingsgerelateerde controles die door de cloudserviceprovider worden uitgevoerd.
  7. De stappen die moeten worden genomen om wijzigingen, communicatie en controles over meerdere afzonderlijke cloudplatforms te beheren, en niet altijd van dezelfde leverancier.
  8. Procedures voor incidentbeheer die zich uitsluitend bezighouden met het aanbieden van clouddiensten.
  9. Hoe de organisatie verwacht het voortdurende gebruik en/of de grootschalige adoptie van cloudplatforms te beheren, in lijn met hun eigen behoeften bredere informatiebeveiliging verplichtingen.
  10. Een strategie voor het stopzetten of wijzigen van clouddiensten, hetzij per leverancier, hetzij via het proces van migratie van de cloud naar on-premise.

Krijg een voorsprong
op ISO 27002

De enige naleving
oplossing die u nodig heeft
Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Richtsnoer voor controle 5.23 – Cloudservicesovereenkomsten

Control 5.23 erkent dat, in tegenstelling tot andere leveranciersrelaties, cloudserviceovereenkomsten rigide documenten zijn die in de overgrote meerderheid van de gevallen niet kunnen worden gewijzigd.

Met dat in gedachten moeten organisaties cloudserviceovereenkomsten onder de loep nemen en ervoor zorgen dat aan vier belangrijke operationele vereisten wordt voldaan:

  1. Vertrouwelijkheid
  2. Beveiliging/gegevensintegriteit
  3. Beschikbaarheid van de dienst
  4. Informatieverwerking

Net als bij andere leverancierscontracten moeten cloudserviceovereenkomsten voorafgaand aan acceptatie een grondige risicobeoordeling dat potentiële problemen aan de bron benadrukt.

De organisatie mag op zijn minst alleen een overeenkomst voor clouddiensten aangaan als zij ervan overtuigd is dat aan de volgende tien bepalingen is voldaan:

  1. Clouddiensten worden geleverd en geïmplementeerd op basis van de unieke vereisten van de organisatie met betrekking tot hun werkgebied, inclusief door de industrie geaccepteerde standaarden en praktijken voor cloudgebaseerde architectuur en gehoste infrastructuur.
  2. Toegang tot alle cloudplatforms voldoet aan de grensinformatiebeveiligingsvereisten van de organisatie.
  3. Er wordt voldoende aandacht besteed aan antimalware- en antivirusdiensten, inclusief proactieve monitoring en bescherming tegen bedreigingen.
  4. De cloudprovider houdt zich aan een vooraf gedefinieerde reeks bepalingen voor gegevensopslag en -verwerking, die betrekking hebben op een of meer afzonderlijke mondiale regio's en regelgevingsomgevingen.
  5. Er wordt proactieve ondersteuning geboden aan de organisatie, mocht het cloudplatform te maken krijgen met een catastrofale storing of een informatiebeveiligingsincident.
  6. Als de noodzaak zich voordoet om enig onderdeel van het cloudplatform uit te besteden of anderszins uit te besteden, blijven de informatiebeveiligingseisen van de leverancier een constante overweging.
  7. Mocht de organisatie hulp nodig hebben bij het verzamelen van digitale informatie voor welk relevant doel dan ook (wetshandhaving, aanpassing van de regelgeving, commerciële doeleinden), dan zal de aanbieder van clouddiensten de organisatie zoveel mogelijk ondersteunen.
  8. Aan het einde van de relatie moet de aanbieder van clouddiensten redelijke ondersteuning en passende beschikbaarheid bieden tijdens de transitie- of ontmantelingsperiode.
  9. De cloudserviceprovider moet werken met een robuust BUDR-plan dat is gericht op het maken van adequate back-ups van de gegevens van de organisatie.
  10. Het overbrengen van alle relevante aanvullende gegevens van de clouddienstverlener naar de organisatie, inclusief configuratie-informatie en code waar de organisatie aanspraak op maakt.

Ben je klaar voor
de nieuwe ISO 27002

Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo

Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Mark Wightman
Chief Technical Officer Aluma
100% van onze gebruikers slaagt in de eerste keer voor de certificering
Boek uw demo

Aanvullende informatie over controle 5.23

Naast de bovenstaande richtlijnen suggereert Control 5.23 dat organisaties een nauwe werkrelatie aangaan met cloudserviceproviders, in overeenstemming met de belangrijke service die zij leveren, niet alleen op het gebied van informatiebeveiliging, maar voor de gehele commerciële bedrijfsvoering van een organisatie.

Organisaties moeten, waar mogelijk, de volgende bepalingen van cloudserviceproviders inwinnen om de operationele veerkracht te verbeteren en te profiteren van verbeterde niveaus van informatiebeveiliging:

  1. Alle wijzigingen aan de infrastructuur moeten vooraf worden gecommuniceerd, zodat de eigen set informatiebeveiligingsnormen van de organisatie wordt ondersteund.
  2. De organisatie heeft behoefte op de hoogte gehouden te worden van eventuele wijzigingen in de procedures voor gegevensopslag die gepaard gaan met het migreren van gegevens naar een ander rechtsgebied of een andere mondiale regio.
  3. Elke intentie van de cloudserviceprovider om gebruik te maken van ‘peer cloud’-providers, of delen van hun activiteiten uit te besteden aan onderaannemers, wat gevolgen kan hebben voor de informatiebeveiliging voor de organisatie.

Ondersteunende controles

  • 5.21
  • 5.22

Wijzigingen ten opzichte van ISO 27002:2013

Controle 5.23 is een nieuwe controle dat komt in geen enkele hoedanigheid voor in ISO 27002:2013.

Hoe ISMS.online helpt

ISMS.online stroomlijnt de ISO 27002 implementatieproces door het bieden van een geavanceerd cloudgebaseerd raamwerk voor het documenteren van procedures en checklists voor informatiebeveiligingsbeheersystemen om naleving van erkende normen te garanderen.

Wanneer u ISMS.online gebruikt, kunt u:

  • Creëer een ISMS dat compatibel is met ISO 27001 normen.
  • Voer taken uit en overleg bewijsstukken waaruit blijkt dat ze aan de eisen van de norm voldoen.
  • Verdeel taken en volg de voortgang richting naleving van de wet.
  • Krijg toegang tot een gespecialiseerd team van adviseurs dat u bijstaat tijdens uw hele traject richting compliance.

Neem contact op en boek een demo.

Boek uw demo

Zie hoe eenvoudig
het is met
ISMS.online

Boek een hands-on sessie op maat op basis van uw behoeften en doelen.

Boek uw demo

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NewBedreigingsintelligentie
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.30NewICT gereed voor bedrijfscontinuïteit
7.4NewFysieke beveiligingsmonitoring
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.16NewMonitoring activiteiten
8.23NewWeb filtering
8.28NewVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NewBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.12 08.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NewICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NewFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NewMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NewWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NewVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests
Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie