Doel van de controle 5.23
5.23 is een nieuw besturingselement dat de processen schetst die nodig zijn voor het verwerven, gebruiken, beheren en verlaten van clouddiensten, in relatie tot de unieke eisen op het gebied van informatiebeveiliging.
Controle 5.23 maakt het voor organisaties mogelijk om eerst te specificeren en vervolgens te beheren informatiebeveiliging beheren concepten die verband houden met clouddiensten, in hun hoedanigheid van “klant van clouddiensten”.
5.23 een preventieve controle uit die houdt het risico in stand door beleid en procedures te specificeren informatiebeveiliging regelen, binnen de sfeer van commerciële clouddiensten.
Kenmerken van controle 5.23
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Beveiliging van leveranciersrelaties | #Governance en ecosysteem |
| #Integriteit | #Bescherming | |||
| #Beschikbaarheid |
Eigendom van zeggenschap 5.23
De afgelopen tien jaar is de wildgroei aan clouddiensten zo groot geworden. Control 5.23 bevat een groot aantal procedures die veel verschillende elementen van de bedrijfsvoering van een organisatie omvatten.
Aangezien niet alle clouddiensten ICT-specifiek zijn – hoewel redelijkerwijs kan worden gesteld dat de meeste dat wel zijn – moet het eigendom van Control 5.22 worden verdeeld tussen de afdelingen van de organisatie. CTO or COO, afhankelijk van de heersende operationele omstandigheden.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Leidraad voor controle 5.23 – Organisatorische verplichtingen
Naleving van Controle 5.23 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot clouddiensten en informatiebeveiliging.
Gezien de verscheidenheid aan clouddiensten die worden aangeboden, moedigen onderwerpspecifieke benaderingen organisaties aan om een beleid voor clouddiensten te creëren dat is afgestemd op individuele bedrijfsfuncties, in plaats van vast te houden aan een algemeen beleid. beleid dat van toepassing is op informatiebeveiliging en clouddiensten over de hele linie.
Opgemerkt moet worden dat ISO de naleving van Control 5.23 beschouwt als een gezamenlijke inspanning tussen de organisatie en hun cloudservicepartner. Controle 5.23 moet ook nauw worden afgestemd op de controles 5.21 en 5.22, die betrekking hebben op informatie beheer in de toeleveringsketen en het beheer van respectievelijk leveranciersdiensten.
Hoe een organisatie ook wil opereren, Controle 5.23 mag niet op zichzelf staan en moet een aanvulling vormen op de bestaande inspanningen om dat te bereiken leveranciersrelaties beheren.
Nu informatiebeveiliging voorop staat, moet de organisatie het volgende definiëren:
- Alle relevante beveiligingsvereisten of zorgen die verband houden met het gebruik van een cloudplatform.
- De criteria die betrokken zijn bij het selecteren van een aanbieder van clouddiensten en hoe hun diensten moeten worden gebruikt.
- Gedetailleerde beschrijving van rollen en relevante verantwoordelijkheden die bepalen hoe clouddiensten in de hele organisatie moeten worden gebruikt.
- Welke informatiebeveiligingsgebieden precies worden beheerd door de cloudserviceprovider en welke onder de verantwoordelijkheid van de organisatie zelf vallen.
- De beste manieren om eerst te verzamelen en vervolgens alle informatiebeveiligingsgerelateerde servicecomponenten te gebruiken die door het cloudserviceplatform worden aangeboden.
- Hoe u categorische garanties kunt verkrijgen over alle informatiebeveiligingsgerelateerde controles die door de cloudserviceprovider worden uitgevoerd.
- De stappen die moeten worden genomen om wijzigingen, communicatie en controles over meerdere afzonderlijke cloudplatforms te beheren, en niet altijd van dezelfde leverancier.
- Procedures voor incidentbeheer die zich uitsluitend bezighouden met het aanbieden van clouddiensten.
- Hoe de organisatie verwacht het voortdurende gebruik en/of de grootschalige adoptie van cloudplatforms te beheren, in lijn met hun eigen behoeften bredere informatiebeveiliging verplichtingen.
- Een strategie voor het stopzetten of wijzigen van clouddiensten, hetzij per leverancier, hetzij via het proces van migratie van de cloud naar on-premise.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Richtsnoer voor controle 5.23 – Cloudservicesovereenkomsten
Control 5.23 erkent dat, in tegenstelling tot andere leveranciersrelaties, cloudserviceovereenkomsten rigide documenten zijn die in de overgrote meerderheid van de gevallen niet kunnen worden gewijzigd.
Met dat in gedachten moeten organisaties cloudserviceovereenkomsten onder de loep nemen en ervoor zorgen dat aan vier belangrijke operationele vereisten wordt voldaan:
- Vertrouwelijkheid
- Beveiliging/gegevensintegriteit
- Beschikbaarheid van de dienst
- Informatieverwerking
Net als bij andere leverancierscontracten moeten cloudserviceovereenkomsten voorafgaand aan acceptatie een grondige risicobeoordeling dat potentiële problemen aan de bron benadrukt.
De organisatie mag op zijn minst alleen een overeenkomst voor clouddiensten aangaan als zij ervan overtuigd is dat aan de volgende tien bepalingen is voldaan:
- Clouddiensten worden geleverd en geïmplementeerd op basis van de unieke vereisten van de organisatie met betrekking tot hun werkgebied, inclusief door de industrie geaccepteerde standaarden en praktijken voor cloudgebaseerde architectuur en gehoste infrastructuur.
- Toegang tot alle cloudplatforms voldoet aan de grensinformatiebeveiligingsvereisten van de organisatie.
- Er wordt voldoende aandacht besteed aan antimalware- en antivirusdiensten, inclusief proactieve monitoring en bescherming tegen bedreigingen.
- De cloudprovider houdt zich aan een vooraf gedefinieerde reeks bepalingen voor gegevensopslag en -verwerking, die betrekking hebben op een of meer afzonderlijke mondiale regio's en regelgevingsomgevingen.
- Er wordt proactieve ondersteuning geboden aan de organisatie, mocht het cloudplatform te maken krijgen met een catastrofale storing of een informatiebeveiligingsincident.
- Als de noodzaak zich voordoet om enig onderdeel van het cloudplatform uit te besteden of anderszins uit te besteden, blijven de informatiebeveiligingseisen van de leverancier een constante overweging.
- Mocht de organisatie hulp nodig hebben bij het verzamelen van digitale informatie voor welk relevant doel dan ook (wetshandhaving, aanpassing van de regelgeving, commerciële doeleinden), dan zal de aanbieder van clouddiensten de organisatie zoveel mogelijk ondersteunen.
- Aan het einde van de relatie moet de aanbieder van clouddiensten redelijke ondersteuning en passende beschikbaarheid bieden tijdens de transitie- of ontmantelingsperiode.
- De cloudserviceprovider moet werken met een robuust BUDR-plan dat is gericht op het maken van adequate back-ups van de gegevens van de organisatie.
- Het overbrengen van alle relevante aanvullende gegevens van de clouddienstverlener naar de organisatie, inclusief configuratie-informatie en code waar de organisatie aanspraak op maakt.
Aanvullende informatie over controle 5.23
Naast de bovenstaande richtlijnen suggereert Control 5.23 dat organisaties een nauwe werkrelatie aangaan met cloudserviceproviders, in overeenstemming met de belangrijke service die zij leveren, niet alleen op het gebied van informatiebeveiliging, maar voor de gehele commerciële bedrijfsvoering van een organisatie.
Organisaties moeten, waar mogelijk, de volgende bepalingen van cloudserviceproviders inwinnen om de operationele veerkracht te verbeteren en te profiteren van verbeterde niveaus van informatiebeveiliging:
- Alle wijzigingen aan de infrastructuur moeten vooraf worden gecommuniceerd, zodat de eigen set informatiebeveiligingsnormen van de organisatie wordt ondersteund.
- De organisatie heeft behoefte op de hoogte gehouden te worden van eventuele wijzigingen in de procedures voor gegevensopslag die gepaard gaan met het migreren van gegevens naar een ander rechtsgebied of een andere mondiale regio.
- Elke intentie van de cloudserviceprovider om gebruik te maken van ‘peer cloud’-providers, of delen van hun activiteiten uit te besteden aan onderaannemers, wat gevolgen kan hebben voor de informatiebeveiliging voor de organisatie.
Ondersteunende controles
- 5.21
- 5.22
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen ten opzichte van ISO 27002:2013
Controle 5.23 is een nieuwe controle dat komt in geen enkele hoedanigheid voor in ISO 27002:2013.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
ISMS.online stroomlijnt de ISO 27002 implementatieproces door het bieden van een geavanceerd cloudgebaseerd raamwerk voor het documenteren van procedures en checklists voor informatiebeveiligingsbeheersystemen om naleving van erkende normen te garanderen.
Wanneer u ISMS.online gebruikt, kunt u:
- Creëer een ISMS dat compatibel is met ISO 27001 normen.
- Voer taken uit en overleg bewijsstukken waaruit blijkt dat ze aan de eisen van de norm voldoen.
- Verdeel taken en volg de voortgang richting naleving van de wet.
- Krijg toegang tot een gespecialiseerd team van adviseurs dat u bijstaat tijdens uw hele traject richting compliance.
Neem contact op en boek een demo.
