Informatiebeveiliging voor gebruik van clouddiensten

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Doel van de controle 5.23

5.23 is een nieuw besturingselement dat de processen schetst die nodig zijn voor het verwerven, gebruiken, beheren en verlaten van clouddiensten, in relatie tot de unieke eisen op het gebied van informatiebeveiliging.

Controle 5.23 maakt het voor organisaties mogelijk om eerst te specificeren en vervolgens te beheren informatiebeveiliging beheren concepten die verband houden met clouddiensten, in hun hoedanigheid van “klant van clouddiensten”.

5.23 een preventieve controle uit die houdt het risico in stand door beleid en procedures te specificeren informatiebeveiliging regelen, binnen de sfeer van commerciële clouddiensten.

Kenmerken van controle 5.23

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Beveiliging van leveranciersrelaties	#Governance en ecosysteem
	#Integriteit			#Bescherming
	#Beschikbaarheid

Eigendom van zeggenschap 5.23

De afgelopen tien jaar is de wildgroei aan clouddiensten zo groot geworden. Control 5.23 bevat een groot aantal procedures die veel verschillende elementen van de bedrijfsvoering van een organisatie omvatten.

Aangezien niet alle clouddiensten ICT-specifiek zijn – hoewel redelijkerwijs kan worden gesteld dat de meeste dat wel zijn – moet het eigendom van Control 5.22 worden verdeeld tussen de afdelingen van de organisatie. CTO or COO, afhankelijk van de heersende operationele omstandigheden.

Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Leidraad voor controle 5.23 – Organisatorische verplichtingen

Naleving van Controle 5.23 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot clouddiensten en informatiebeveiliging.

Gezien de verscheidenheid aan clouddiensten die worden aangeboden, moedigen onderwerpspecifieke benaderingen organisaties aan om een beleid voor clouddiensten te creëren dat is afgestemd op individuele bedrijfsfuncties, in plaats van vast te houden aan een algemeen beleid. beleid dat van toepassing is op informatiebeveiliging en clouddiensten over de hele linie.

Opgemerkt moet worden dat ISO de naleving van Control 5.23 beschouwt als een gezamenlijke inspanning tussen de organisatie en hun cloudservicepartner. Controle 5.23 moet ook nauw worden afgestemd op de controles 5.21 en 5.22, die betrekking hebben op informatie beheer in de toeleveringsketen en het beheer van respectievelijk leveranciersdiensten.

Hoe een organisatie ook wil opereren, Controle 5.23 mag niet op zichzelf staan en moet een aanvulling vormen op de bestaande inspanningen om dat te bereiken leveranciersrelaties beheren.

Nu informatiebeveiliging voorop staat, moet de organisatie het volgende definiëren:

Alle relevante beveiligingsvereisten of zorgen die verband houden met het gebruik van een cloudplatform.
De criteria die betrokken zijn bij het selecteren van een aanbieder van clouddiensten en hoe hun diensten moeten worden gebruikt.
Gedetailleerde beschrijving van rollen en relevante verantwoordelijkheden die bepalen hoe clouddiensten in de hele organisatie moeten worden gebruikt.
Welke informatiebeveiligingsgebieden precies worden beheerd door de cloudserviceprovider en welke onder de verantwoordelijkheid van de organisatie zelf vallen.
De beste manieren om eerst te verzamelen en vervolgens alle informatiebeveiligingsgerelateerde servicecomponenten te gebruiken die door het cloudserviceplatform worden aangeboden.
Hoe u categorische garanties kunt verkrijgen over alle informatiebeveiligingsgerelateerde controles die door de cloudserviceprovider worden uitgevoerd.
De stappen die moeten worden genomen om wijzigingen, communicatie en controles over meerdere afzonderlijke cloudplatforms te beheren, en niet altijd van dezelfde leverancier.
Procedures voor incidentbeheer die zich uitsluitend bezighouden met het aanbieden van clouddiensten.
Hoe de organisatie verwacht het voortdurende gebruik en/of de grootschalige adoptie van cloudplatforms te beheren, in lijn met hun eigen behoeften bredere informatiebeveiliging verplichtingen.
Een strategie voor het stopzetten of wijzigen van clouddiensten, hetzij per leverancier, hetzij via het proces van migratie van de cloud naar on-premise.

Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Richtsnoer voor controle 5.23 – Cloudservicesovereenkomsten

Control 5.23 erkent dat, in tegenstelling tot andere leveranciersrelaties, cloudserviceovereenkomsten rigide documenten zijn die in de overgrote meerderheid van de gevallen niet kunnen worden gewijzigd.

Met dat in gedachten moeten organisaties cloudserviceovereenkomsten onder de loep nemen en ervoor zorgen dat aan vier belangrijke operationele vereisten wordt voldaan:

Vertrouwelijkheid
Beveiliging/gegevensintegriteit
Beschikbaarheid van de dienst
Informatieverwerking

Net als bij andere leverancierscontracten moeten cloudserviceovereenkomsten voorafgaand aan acceptatie een grondige risicobeoordeling dat potentiële problemen aan de bron benadrukt.

De organisatie mag op zijn minst alleen een overeenkomst voor clouddiensten aangaan als zij ervan overtuigd is dat aan de volgende tien bepalingen is voldaan:

Clouddiensten worden geleverd en geïmplementeerd op basis van de unieke vereisten van de organisatie met betrekking tot hun werkgebied, inclusief door de industrie geaccepteerde standaarden en praktijken voor cloudgebaseerde architectuur en gehoste infrastructuur.
Toegang tot alle cloudplatforms voldoet aan de grensinformatiebeveiligingsvereisten van de organisatie.
Er wordt voldoende aandacht besteed aan antimalware- en antivirusdiensten, inclusief proactieve monitoring en bescherming tegen bedreigingen.
De cloudprovider houdt zich aan een vooraf gedefinieerde reeks bepalingen voor gegevensopslag en -verwerking, die betrekking hebben op een of meer afzonderlijke mondiale regio's en regelgevingsomgevingen.
Er wordt proactieve ondersteuning geboden aan de organisatie, mocht het cloudplatform te maken krijgen met een catastrofale storing of een informatiebeveiligingsincident.
Als de noodzaak zich voordoet om enig onderdeel van het cloudplatform uit te besteden of anderszins uit te besteden, blijven de informatiebeveiligingseisen van de leverancier een constante overweging.
Mocht de organisatie hulp nodig hebben bij het verzamelen van digitale informatie voor welk relevant doel dan ook (wetshandhaving, aanpassing van de regelgeving, commerciële doeleinden), dan zal de aanbieder van clouddiensten de organisatie zoveel mogelijk ondersteunen.
Aan het einde van de relatie moet de aanbieder van clouddiensten redelijke ondersteuning en passende beschikbaarheid bieden tijdens de transitie- of ontmantelingsperiode.
De cloudserviceprovider moet werken met een robuust BUDR-plan dat is gericht op het maken van adequate back-ups van de gegevens van de organisatie.
Het overbrengen van alle relevante aanvullende gegevens van de clouddienstverlener naar de organisatie, inclusief configuratie-informatie en code waar de organisatie aanspraak op maakt.

Aanvullende informatie over controle 5.23

Naast de bovenstaande richtlijnen suggereert Control 5.23 dat organisaties een nauwe werkrelatie aangaan met cloudserviceproviders, in overeenstemming met de belangrijke service die zij leveren, niet alleen op het gebied van informatiebeveiliging, maar voor de gehele commerciële bedrijfsvoering van een organisatie.

Organisaties moeten, waar mogelijk, de volgende bepalingen van cloudserviceproviders inwinnen om de operationele veerkracht te verbeteren en te profiteren van verbeterde niveaus van informatiebeveiliging:

Alle wijzigingen aan de infrastructuur moeten vooraf worden gecommuniceerd, zodat de eigen set informatiebeveiligingsnormen van de organisatie wordt ondersteund.
De organisatie heeft behoefte op de hoogte gehouden te worden van eventuele wijzigingen in de procedures voor gegevensopslag die gepaard gaan met het migreren van gegevens naar een ander rechtsgebied of een andere mondiale regio.
Elke intentie van de cloudserviceprovider om gebruik te maken van ‘peer cloud’-providers, of delen van hun activiteiten uit te besteden aan onderaannemers, wat gevolgen kan hebben voor de informatiebeveiliging voor de organisatie.

Ondersteunende controles

5.21
5.22

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Wijzigingen ten opzichte van ISO 27002:2013

Controle 5.23 is een nieuwe controle dat komt in geen enkele hoedanigheid voor in ISO 27002:2013.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.online stroomlijnt de ISO 27002 implementatieproces door het bieden van een geavanceerd cloudgebaseerd raamwerk voor het documenteren van procedures en checklists voor informatiebeveiligingsbeheersystemen om naleving van erkende normen te garanderen.

Wanneer u ISMS.online gebruikt, kunt u:

Creëer een ISMS dat compatibel is met ISO 27001 normen.
Voer taken uit en overleg bewijsstukken waaruit blijkt dat ze aan de eisen van de norm voldoen.
Verdeel taken en volg de voortgang richting naleving van de wet.
Krijg toegang tot een gespecialiseerd team van adviseurs dat u bijstaat tijdens uw hele traject richting compliance.

Neem contact op en boek een demo.