Doel van de controle 5.29
Ondanks het brede scala aan preventieve maatregelen dat beschikbaar is voor organisaties die dat wel doen ISO 27002:2022 Bij naleving hiervan kunnen verstoringen van de bedrijfscontinuïteit en de standaardactiviteiten optreden.
Controle 5.29 schetst de operationele aanpassingen die organisaties moeten doorvoeren wanneer zij met verstoring te maken krijgen, om deze te borgen informatie en bescherm bedrijfseigendommen.
Attributentabel
5.22 heeft een tweeledig doel preventieve en correctief controleer dat houdt het risico in stand door een plan te implementeren dat de informatiebeveiliging tijdens perioden van verstoring verbetert en de schade aan de bedrijfsmiddelen van de organisatie beperkt.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Continuïteit | #Bescherming |
| #Correctief | #Integriteit | #Antwoorden | #Veerkracht | |
| #Beschikbaarheid |
Eigendom van zeggenschap 5.29
Controle 5.29 heeft betrekking op operationeel informatiebeveiligingsproces en -procedures die worden geactiveerd zodra kritieke gebeurtenissen of bedrijfsonderbrekingen plaatsvinden.
Als zodanig moet het eigendom van Controle 5.29 berusten bij een lid van de senior managementteams die toezicht houdt op de dagelijkse activiteiten van de organisatie en/of op de continuïteitsplanning, zoals de Chief Operating Officer (COO).
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Algemene richtlijnen voor controle 5.29
Controle 5.29 bepaalt dat informatiebeveiliging een onderdeel moet zijn van de bredere organisatie van een organisatie procedure voor het beheer van de bedrijfscontinuïteit.
Organisaties moeten plannen opstellen die tot doel hebben deze in stand te houden integriteit van informatiebeveiliging, en deze vervolgens herstellen, mocht informatie op enigerlei wijze in gevaar komen als gevolg van een operationele onderbreking of systeemstoring.
De beveiligingsniveaus moeten worden hersteld naar het niveau van vóór de onderbreking, en wel tijdig, zodat eventuele verdere schade wordt beperkt.
Daarbij moeten organisaties:
- Implementeer en onderhoud algemene informatiebeveiligingscontroles, inclusief bedrijfssystemen en ICT-platforms die zijn opgenomen in de bredere continuïteitsplannen van de organisatie.
- Implementeer processen die tot doel hebben de informatiebeveiligingscontroles tijdens elke verstoring te handhaven.
- Implementeer, indien relevant, compenserende controles voor inspanningen op het gebied van informatiebeveiliging die niet gedurende een periode van verstoring kunnen worden volgehouden.
Aanvullende begeleiding
Controle 5.29 erkent het zeer variabele karakter van continuïteitsplanning en geeft dit ook weer organisaties aanzienlijke speelruimte om informatiebeveiliging te implementeren controles die specifiek zijn voor de verschillende soorten bedrijfsverstoringen waar organisaties mee te maken kunnen krijgen.
ISO vraagt organisaties om zich op twee belangrijke gebieden te concentreren het opstellen van een bedrijfscontinuïteitsplan:
a) verlies van vertrouwelijkheid
b) de integriteit van informatie
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022-5.29 vervangt de volgende drie besturingselementen uit 27002:2013:
- 17.1 - Informatiebeveiliging plannen continuïteit
- 17.1.2 – Implementatie van informatiebeveiligingscontinuïteit
- 17.1.3 – Verifieer, beoordeel en evalueer de continuïteit van informatiebeveiliging
Als erkenning van de complexe aard van bedrijfscontinuïteitsplannen – en hoe deze verschillen afhankelijk van de verschillende soorten onderbrekingen – heeft ISO hun begeleiding vereenvoudigd door af te stappen van een granulaire aanpak en organisaties te vragen om in plaats daarvan rekening te houden met een paar basispunten bij het opstellen van onderwerpspecifieke plannen. plannen (zie hierboven).
Een deel van de richtlijnen in 17.1.2 stelt bijvoorbeeld dat:
“incidentresponspersoneel met de nodige verantwoordelijkheid, autoriteit en bevoegdheid om een incident te beheersen en het handhaven van de informatiebeveiliging zijn genomineerd”.
Ondanks hun belang voor effectieve continuïteitsplanning, maakt 5.29 geen specifieke melding van incidentresponsteams en vertrouwt het erop dat de organisatie deze in overweging neemt bij alle punten in de richtlijnen, meer specifiek:
- Implementeer en onderhoud algemene informatiebeveiligingscontroles, inclusief bedrijfssystemen en ICT-platforms die zijn opgenomen in de bredere continuïteitsplannen van de organisatie.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
Een cloudgebaseerd platform voor ISO 27002 implementatie, ISMS.online, helpt u uw informatiebeveiligingsrisicobeheerprocessen eenvoudig en effectief te beheren.
Uw partner voor ISMS.online-platform biedt een reeks krachtige tools die de manier vereenvoudigen waarop u uw informatiebeveiligingsbeheersysteem (ISMS) kunt documenteren, implementeren, onderhouden en verbeteren en naleving van ISO 27002 kunt bereiken.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
