Controle 5.9 in de herziene ISO 27002:2022 beschrijft hoe een inventaris van informatie en andere bijbehorende activa, inclusief eigenaren, moet worden ontwikkeld en onderhouden.
Om haar activiteiten te kunnen uitvoeren, moet de organisatie weten welke informatiemiddelen zij tot haar beschikking heeft.
An inventarisatie van informatiemiddelen (IA) is een lijst van alles wat een organisatie opslaat, verwerkt of verzendt. Het bevat ook de locatie en beveiligingscontroles voor elk item. Het doel is om elk afzonderlijk stukje gegevens te identificeren. Je kunt het zien als het financiële boekhoudkundige equivalent voor gegevensbescherming.
Een IA kan worden gebruikt om hiaten in uw beveiligingsprogramma en informatieve cyberrisicobeoordelingen waar u mogelijk kwetsbaarheden heeft die tot een inbreuk kunnen leiden. Het kan ook als bewijsmateriaal worden gebruikt tijdens compliance-audits dat u de nodige zorgvuldigheid heeft betracht bij het identificeren van uw gevoelige gegevens, waardoor u boetes en sancties kunt voorkomen.
De inventarisatie van informatiemiddelen moet ook details bevatten over wie de eigenaar is van elk actief en wie het beheert. Het moet ook informatie bevatten over de waarde van elk item in de inventaris en hoe cruciaal dit is voor het succes van de bedrijfsactiviteiten van de organisatie.
Het is belangrijk dat de inventarissen up-to-date worden gehouden, zodat ze de veranderingen binnen de organisatie weerspiegelen.
Het beheer van informatiemiddelen heeft een lange geschiedenis op het gebied van bedrijfscontinuïteitsplanning (BCP), rampherstel (DR) en planning van incidentrespons.
De eerste stap in elk van deze processen omvat het identificeren van kritieke systemen, netwerken, databases, applicaties, datastromen en andere componenten die bescherming nodig hebben. Als je niet weet wat beschermd moet worden of waar het zich bevindt, dan kun je ook geen plan maken hoe je het moet beschermen!
Besturingselementen worden geclassificeerd met behulp van attributen. Hiermee kunt u uw besturingsselectie snel afstemmen op veelgebruikte termen en specificaties in de branche.
Deze tabel vormt een aanvulling op het werk dat veel klanten momenteel uitvoeren als onderdeel van hun werk risicobeoordeling en SOA door de vertrouwelijkheid te identificeren, integriteit en beschikbaarheid – en andere factoren. In controle 5.9 zijn de attributen:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Vermogensbeheer | #Governance en ecosysteem #bescherming |
Het doel van deze controle is het identificeren van de informatie van de organisatie en andere bijbehorende activa om de informatiebeveiliging ervan te waarborgen en het juiste eigendom toe te wijzen.
Controle 5.9 behandelt de controle-, doel- en implementatierichtlijnen voor het creëren van een inventaris van informatie en andere bijbehorende activa in lijn met het ISMS-framework zoals gedefinieerd door ISO 27001.
De controle vereist het inventariseren van alle informatie en andere bijbehorende activa, het classificeren ervan in verschillende categorieën, het identificeren van hun eigenaren, en het documenteren van de controles die aanwezig zijn of zouden moeten zijn.
Dit is een cruciale stap om ervoor te zorgen dat alle informatiemiddelen adequaat worden beschermd.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
We zijn zo blij dat we deze oplossing hebben gevonden, waardoor alles gemakkelijker in elkaar paste.
Naar voldoen aan de eisen van de nieuwe ISO 27002:2022, moet u de informatie en andere bijbehorende activa binnen uw organisatie identificeren. Vervolgens moet u het belang van deze items bepalen in termen van informatiebeveiliging. Indien nodig moet documentatie worden bijgehouden in speciale of bestaande inventarissen.
De aanpak voor het opstellen van een inventarisatie zal variëren afhankelijk van de omvang en complexiteit van een organisatie, haar bestaande controles en beleid, en de soorten informatie en andere bijbehorende middelen die zij gebruikt.
Volgens controle 5.9 moet de inventaris van informatie en andere daarmee samenhangende activa nauwkeurig, actueel, consistent en in lijn met andere inventarissen zijn. Opties voor het garanderen van de nauwkeurigheid van een inventaris van informatie en andere bijbehorende activa zijn onder meer:
a) het uitvoeren van regelmatige beoordelingen van geïdentificeerde informatie en andere bijbehorende activa aan de hand van de inventaris van activa;
b) het automatisch afdwingen van een inventarisupdate tijdens het installeren, wijzigen of verwijderen van een asset.
De locatie van een actief moet, indien van toepassing, in de inventaris worden opgenomen.
Sommige organisaties moeten mogelijk meerdere inventarissen bijhouden voor verschillende doeleinden. Sommige organisaties hebben bijvoorbeeld speciale inventarissen voor softwarelicenties of voor fysieke apparatuur zoals laptops en tablets.
Anderen hebben mogelijk één inventaris die alle fysieke apparatuur omvat, inclusief netwerkapparaten zoals routers en switches. Het is belangrijk dat dergelijke inventarissen regelmatig worden herzien om ervoor te zorgen dat ze up-to-date blijven, zodat ze kunnen worden gebruikt als hulp bij risicobeheer activiteiten.
Meer informatie over het voldoen aan de eisen voor controle 5.9 vindt u in het nieuwe ISO 27002:2022 document.
In ISO 27002:2022 zijn 57 controles uit ISO 27002:2013 samengevoegd tot 24 controles. Controle 5.9 als Inventarisatie van Informatie en Andere Bijbehorende Activa vindt u dus niet in de 2013-versie. In de versie van 2022 is het eerder een combinatie van controle 8.1.1 Inventarisatie van activa en controle 8.1.2 Eigendom van activa.
De bedoeling van controle 8.1.1 Inventarisatie van bedrijfsmiddelen is ervoor te zorgen dat alle informatiemiddelen worden geïdentificeerd, gedocumenteerd en regelmatig beoordeeld, en dat er passende processen en procedures zijn om ervoor te zorgen dat deze inventarisatie veilig is.
Controle 8.1.2 Eigendom van activa is ervoor verantwoordelijk dat alle informatiemiddelen onder hun beheer op de juiste manier worden geïdentificeerd en eigendom zijn. Als u weet wie wat bezit, kunt u bepalen welke activa u moet beschermen en aan wie u verantwoording moet afleggen.
Hoewel beide controles in ISO 27002:2013 vergelijkbaar zijn met controle 5.9 in ISO 27002:2022, is deze laatste verbreed om een gebruiksvriendelijkere interpretatie mogelijk te maken. In de implementatierichtlijn voor eigendom van activa onder controle 8.1.2 staat bijvoorbeeld dat de eigenaar van activa:
a) ervoor zorgen dat activa worden geïnventariseerd;
b) ervoor zorgen dat activa op passende wijze worden geclassificeerd en beschermd;
c) toegangsbeperkingen en classificaties voor belangrijke activa definiëren en periodiek herzien, rekening houdend met het toepasselijke toegangscontrolebeleid;
d) zorgen voor een correcte afhandeling wanneer het asset wordt verwijderd of vernietigd.
Deze 4 punten zijn uitgebreid naar 9 punten in het eigendomsgedeelte van controle 5.9.
De eigenaar van activa moet verantwoordelijk zijn voor het juiste beheer van een actief gedurende de gehele levenscyclus van het actief, waarbij ervoor wordt gezorgd dat:
a) informatie en andere bijbehorende activa worden geïnventariseerd;
b) informatie en andere bijbehorende activa worden op passende wijze geclassificeerd en beschermd;
c) de classificatie wordt periodiek herzien;
d) componenten die technologische activa ondersteunen, worden vermeld en gekoppeld, zoals databases, opslag, softwarecomponenten en subcomponenten;
e) er zijn eisen gesteld aan het acceptabele gebruik van informatie en andere daarmee samenhangende middelen (zie 5.10);
f) toegangsbeperkingen overeenkomen met de classificatie, effectief zijn en periodiek worden herzien;
g) informatie en andere bijbehorende activa worden, wanneer ze worden verwijderd of verwijderd, op een veilige manier behandeld en uit de inventaris verwijderd;
h) zij zijn betrokken bij de identificatie en het beheer van de risico's die verband houden met hun activa;
i) zij ondersteunen personeel dat beschikt over de rollen en verantwoordelijkheden bij het beheren van hun informatie.
Het samenvoegen van deze twee besturingselementen tot één zorgt voor een beter begrip voor de gebruiker.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Sinds de migratie hebben we de tijd die we aan administratie besteden, kunnen terugdringen.
De laatste wijzigingen in ISO 27002 hebben geen invloed op uw huidige certificering volgens de ISO 27001-normen. ISO 27001-upgrades zijn de enige die invloed hebben op bestaande certificeringenen accreditatie-instellingen zullen samenwerken met de certificerende instellingen om een transitiecyclus te ontwikkelen die organisaties met ISO 27001-certificaten voldoende tijd zal geven om van de ene versie naar de andere over te stappen.
Dat gezegd hebbende, moeten de volgende stappen worden gevolgd om aan de herziene versie te voldoen:
Tijdens de overgangsperiode naar de nieuwe standaard zullen nieuwe best practices en kwaliteiten voor controleselectie beschikbaar zijn, wat een effectiever en efficiënter selectieproces mogelijk zal maken.
Daarom moet u een risicogebaseerde aanpak blijven hanteren om ervoor te zorgen dat alleen de de meest relevante en effectieve controles worden gekozen voor uw bedrijf.
Je kunt gebruik ISMS.online om te beheren uw ISO 27002-implementatie, aangezien het specifiek is ontworpen om een bedrijf te helpen bij het implementeren van zijn informatiebeveiligingsbeheersysteem (ISMS) om te voldoen aan de vereisten van ISO 27002.
Het platform maakt gebruik van een op risico's gebaseerde aanpak in combinatie met toonaangevende best practices en sjablonen om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd te identificeren en de controles die nodig zijn om deze risico's te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als uw compliancekosten systematisch verminderen.
gebruik ISMS.online jij kan:
De ISMS.online-platform is gebaseerd op Plan-Do-Check-Act (PDCA), een iteratief vierstappenproces voor voortdurende verbetering, en voldoet aan alle vereisten van ISO 27002:2022. Het is eenvoudig een kwestie van een gratis proefaccount aanmaken en de stappen volgen die wij bieden.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
