Records zijn een vaag concept dat sommige organisaties moeilijk kunnen classificeren en beheren voor compliancedoeleinden.
Documenten zijn, binnen de reikwijdte van ICT, een andere term voor de gegevens en informatie die een organisatie bewaart en/of gebruikt om haar dagelijkse bedrijfsactiviteiten uit te voeren, waaronder (maar niet beperkt tot):
ISO definieert records in het kader van hun normen als “elke set informatie, ongeacht de structuur of vorm ervan”, inclusief “een document, een verzameling gegevens of andere soorten informatie die tijdens de bedrijfsvoering worden gecreëerd, vastgelegd en beheerd. ”, inclusief de metagegevens van een record.
Elke organisatie heeft de plicht ervoor te zorgen dat de gegevens die zij bewaart, inclusief maar niet beperkt tot personen, financieel zijn informatie of werkgebieden – wordt veilig bewaarden de interne procedures blijven voldoen aan alle geldende eisen.
Controle 5.33 behandelt de bescherming van bedrijfsdocumenten tegen 5 grote gebeurtenissen:
Controle 5.33 is een preventieve controle dat houdt het risico in stand door richtlijnen en procedures te creëren – inclusief bewaarschema’s – die voldoen aan de wettelijke, statutaire, regelgevende en contractuele vereisten van een organisatie met betrekking tot de bescherming en beschikbaarheid van alle documenten die zij in haar bezit heeft.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen | #Juridisch en naleving #Vermogensbeheer #Informatiebescherming | #Verdediging |
Controle 5.33 erkent dat een De behoeften van de organisatie zijn veranderlijk als het gaat om de hoeveelheid en het soort documenten die nodig zijn om van de ene op de andere dag zaken te doen.
Daarom categoriseert Control 5.33 recordbeheer in 4 hoofdkenmerken:
Binnen de reikwijdte van deze attributen vraagt Control 5.33 organisaties om:
27002:2022-5.33 vervangt 27002:2013-18.1.3 (Beveiliging van documenten), met diverse toevoegingen in de vorm van individuele begeleidingspunten en algemene processen die moeten worden gevolgd.
In de controle van 2022 erkent ISO het belang van het definiëren van wat een bedrijfsdocument is. 27002:2022-5.33 bevat talloze voorbeelden van wat ISO beschouwt als een record (zie hierboven), die ontbreken in 27002:2013-18.1.3.
Controle 5.33 vestigt ook de aandacht van een organisatie op twee belangrijke richtpunten die niet zijn opgenomen in de tegenhanger van 2013 (richtlijnen 1 en 2 hierboven), die op hun beurt de basis vormen van het archiefbeleid van een organisatie – in het bijzonder een bewaarschema dat voorschrijft hoe er moeten lange dossiers worden bijgehouden, en eventuele mediaspecifieke vereisten.
Metadata zijn voor het eerst ook in archiefbeheer verschenen. 27002:2013-18.1.3 vermeldt dit niet, terwijl 27002:2022-5.33 het als een “essentieel onderdeel” beschouwt.
ISMS.online gebruiken jij kan:
Neem vandaag nog contact op met boek een demo.
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |