ISO 27002, Controle 5.32 - Intellectuele eigendomsrechten

ISO 27002:2022 – Controle 5.32 – Intellectuele eigendomsrechten

ISO 27002:2022 Control 5.32 zorgt ervoor dat organisaties voldoen aan intellectuele eigendomsrechten (IE) door beleid te implementeren, softwarelicenties bij te houden, software op een legale manier te verkrijgen en regelmatig beoordelingen uit te voeren om juridische risico's en financiële sancties te voorkomen.

Doel van de controle 5.32

Controle 5.32 schetst de stappen die organisaties moeten nemen om ervoor te zorgen dat ze hieraan blijven voldoen intellectueel eigendom (IP) rechten, inclusief het gebruik van propriëtaire software die is gekocht, waarop een abonnement is genomen of die op andere wijze wordt geleased.

ISO definieert intellectuele eigendomsrechten als behorend tot een of meer van de volgende categorieën:

Auteursrecht op software
Auteursrecht documenteren
Ontwerprechten
Handelsmerkrechten
Octrooien
Broncodelicenties

“Wettelijke, statutaire, regelgevende of contractuele” overeenkomsten leggen vaak beperkingen op aan de manier waarop propriëtaire software mag worden gebruikt, waaronder algemene beperkingen op het kopiëren, extraheren of reverse-engineeren van broncode, naast andere maatregelen.

Voor de duidelijkheid: Controle 5.32 gaat niet in op situaties waarin de organisatie de IE-houder is, maar richt zich in plaats daarvan op hun verplichtingen. jegens derde partij intellectuele eigendomsrechten die zijn vastgelegd in een licentieovereenkomst, een overeenkomst voor het delen van gegevens of enig ander vergelijkbaar juridisch mechanisme.

Het is belangrijk op te merken dat inbreuk op auteursrechten en/of intellectuele eigendom vaak met zich meebrengt ernstige financiële en juridische gevolgen voor elke organisatie die opzettelijk of onbewust de voorwaarden van een overeenkomst schendt. Als zodanig moet er voldoende aandacht worden besteed aan Controle 5.32, om onnodige verstoring van de bedrijfsvoering te voorkomen informatiebeveiliging evenementen.

Attributen Controletabel 5.32

Controle 5.32 is een preventieve controle uit die houdt het risico in stand door procedures te implementeren om ervoor te zorgen dat de organisatie blijft voldoen aan de geldende IE- of auteursrechtvereisten, inclusief het beperken van het risico dat het eigen personeel van de organisatie er niet in slaagt zijn individuele verplichtingen na te komen.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Identificeren	#Juridisch en naleving	#Governance en ecosysteem
	#Integriteit
	#Beschikbaarheid

ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start

Algemene richtlijnen voor controle 5.32

Controle 5.32 vraagt organisaties om de volgende richtlijnen in acht te nemen, om eventuele gegevens te beschermen: software of activa dat als IP kan worden beschouwd:

Het implementeren van een “onderwerpspecifiek” beleid inzake de bescherming van IE-rechten, van geval tot geval, in overeenstemming met hun unieke operationele vereisten.
Het publiceren en communiceren van duidelijke procedures die categorisch definiëren hoe software en ICT-producten moeten worden gebruikt, om te blijven voldoen aan de IP-normen.
Het gebruik van gerespecteerde en gerenommeerde bronnen om software te verwerven, om onbedoelde inbreuken op het auteursrecht bij de bron te voorkomen.
Het gebruik van een organisatieactivaregister om alle ICT-middelen op te sporen die standaard IP-vereisten met zich meebrengen.
Ervoor zorgen dat de organisatie op elk moment een eigendomsbewijs kan overleggen, inclusief fysieke en elektronische licentiedocumenten, communicatie en bestanden.
Voldoen aan de overeengekomen softwaregebruikslimieten, inclusief gelijktijdige gebruikers, virtuele bronnen enz.
Plan en implementeer periodieke beoordelingen om ervoor te zorgen dat de ICT-omgeving van de organisatie geen ongeautoriseerde of niet-gelicentieerde softwareproducten bevat.
Creëer operationele en financiële procedures die ervoor zorgen dat licenties actueel blijven.
Creëer procedures die zorgen voor de veilige, verantwoorde en juridisch conforme overdracht of verwijdering van softwaremiddelen.
Zorg ervoor dat de algemene voorwaarden en richtlijnen voor redelijk gebruik worden nageleefd van alle software die uit het publieke domein is verkregen.
Als de organisatie reden heeft om commerciële opnames te gebruiken, mag geen enkel deel van die opname worden geëxtraheerd, gekopieerd of geconverteerd op een manier die niet is opgenomen in de algemene voorwaarden van de software (inclusief licentievoorwaarden) of onder de geldende auteursrechtwetten.
Het respecteren en naleven van de auteursrechtwetten of licentievoorwaarden van tekstuele gegevens, inclusief standaarden, boeken, artikelen, rapporten enz.

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022-5.32 vervangt 27002:2013-18.1.2 (Intellectuele eigendomsrechten).

27002:2022-5.31 bevat in grote lijnen dezelfde reeks richtlijnen als de tegenhanger uit 2013, met twee kleine toevoegingen:

27002:2022-5.31 bevat advies over het beheer van IE-gerelateerde zaken onder de voorwaarden van een overeenkomst voor het delen van gegevens.
27002:2013-18.1.2 bevat geen melding van de resterende voordelen voor een organisatie die het gedrag van individuele medewerkers wil sturen op het gebied van IE-overeenkomsten en softwaregebruik.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	NIEUW	Bedreigingsintelligentie
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.30	NIEUW	ICT gereed voor bedrijfscontinuïteit
7.4	NIEUW	Fysieke beveiligingsmonitoring
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.16	NIEUW	Monitoring activiteiten
8.23	NIEUW	Web filtering
8.28	NIEUW	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	NIEUW	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	5.30	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	NIEUW	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NIEUW	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	NIEUW	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	NIEUW	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.online stroomlijnt de ISO 27002 implementatieproces door het bieden van een geavanceerd cloudgebaseerd raamwerk voor het documenteren van procedures en checklists voor informatiebeveiligingsbeheersystemen om naleving van erkende normen te garanderen.

Neem vandaag nog contact op met boek een demo.

Wij zijn een leider in ons vakgebied