Controle 6.7, Werken op afstand is een controle in de herziene ISO 27002:2022. Het beveelt aan dat organisaties een beleid inzake werken op afstand moeten hebben, evenals een managementsysteem voor informatiebeveiliging dat procedures omvat voor het beveiligen van toegang op afstand tot informatiesystemen en netwerken.
Werken op afstand is steeds gebruikelijker geworden naarmate de technologie zich heeft ontwikkeld en het voor werknemers nu mogelijk is om vanuit huis te werken zonder de productiviteit of efficiëntie te schaden. Het kan echter ook zorgen oproepen over de gegevensbeveiliging.
Als u een bedrijfseigenaar bent, wilt u weten hoe u uw intellectuele eigendom kunt beschermen tegen cybercriminelen en hoe u ervoor kunt zorgen dat uw gegevens veilig zijn voor hackers.
Hier volgen enkele implicaties voor de informatiebeveiliging van werken op afstand:
Werken op afstand kan voordelig zijn omdat het gemakkelijker toegang tot gevoelige informatie en systemen mogelijk maakt. Werken op afstand heeft echter verschillende gevolgen voor de veiligheid.
Werken op afstand kan, als het niet goed wordt beheerd, vatbaar zijn voor beveiligingsrisico's zoals hacking, malware-aanvallen, ongeautoriseerde toegang en andere. Dit geldt vooral wanneer werknemers zich niet fysiek in een beveiligde omgeving bevinden.
Werken op afstand kan ook gevolgen hebben voor de fysieke veiligheid van een bedrijf. Dit komt omdat dit kan betekenen dat werknemers zich niet langer fysiek in een kantoor of gebouw bevinden en dus minder snel verdachte activiteiten zullen zien of horen.
Werken op afstand kan ook enkele risico's met zich meebrengen met betrekking tot de vertrouwelijkheid. Medewerkers kunnen bijvoorbeeld op afstand toegang krijgen tot vertrouwelijke informatie, zonder toestemming van het bedrijf.
Ook kunnen medewerkers gemakkelijk toegang krijgen tot gevoelige bedrijfsinformatie op het openbare internet. Er zijn zelfs websites waar werknemers gevoelige informatie kunnen uploaden zodat iedereen deze kan zien.
Werken op afstand kan ook gevolgen hebben voor de privacy van een organisatie. Als werknemers bijvoorbeeld vanuit huis werken, is de kans groter dat ze hun persoonlijke bezittingen laten rondslingeren.
Deze bezittingen kunnen gevoelige informatie bevatten die de privacy van een bedrijf in gevaar kan brengen.
Werken op afstand kan ook een risico vormen voor de gegevens van een bedrijf. Medewerkers hebben bijvoorbeeld op afstand toegang tot bedrijfsgegevens, die op verschillende locaties kunnen worden opgeslagen.
Dit kunnen gegevens op computers, servers en mobiele apparaten zijn. Als de medewerker het kantoor verlaat en het apparaat meeneemt, kan het lastiger zijn om de gegevens te herstellen.
Ook kan de medewerker een fout maken of iets kwaadaardigs doen met het apparaat, waardoor de gegevens in gevaar kunnen komen.
Attributen worden gebruikt om besturingselementen te categoriseren. U kunt uw besturingsoptie onmiddellijk afstemmen op veelgebruikte termen en specificaties in de branche door gebruik te maken van attributen.
Attributen voor besturingselement 6.7 zijn zoals hieronder te zien.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Vermogensbeheer #Informatiebescherming #Fysieke bewaking #Systeem- en netwerkbeveiliging | #Bescherming |
Het doel van Controle 6.7 is ervoor te zorgen dat personeel dat op afstand werkt over adequate toegangscontroles beschikt om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige of bedrijfseigen informatie, processen en systemen te beschermen tegen ongeoorloofde toegang of openbaarmaking door onbevoegde personen.
Om de veiligheid van informatie te garanderen wanneer personeel op afstand werkt, moeten organisaties een onderwerpspecifiek beleid inzake werken op afstand uitvaardigen, waarin de relevante voorwaarden en beperkingen voor informatiebeveiliging worden gedefinieerd. Het beleid moet onder al het personeel worden verspreid en richtlijnen bevatten over hoe zij technologieën voor externe toegang veilig kunnen gebruiken.
Een onderwerpspecifiek beleid als dit zal waarschijnlijk betrekking hebben op:
Naast deze basiseisen is het ook belangrijk om een duidelijk omschreven procedure te hebben voor het melden van incidenten, inclusief de juiste contactgegevens. Dit kan het risico op inbreuken of andere soorten beveiligingsincidenten helpen verminderen.
Het beleid moet mogelijk ook zaken aanpakken zoals encryptie, firewalls en antivirussoftware-updates, evenals training van medewerkers over hoe ze veilig gebruik kunnen maken van externe connectiviteit.
Om aan de vereisten voor controle 6.7 te voldoen, moeten organisaties die activiteiten op afstand toestaan een onderwerpspecifiek beleid inzake werken op afstand uitvaardigen waarin de relevante voorwaarden en beperkingen worden gedefinieerd.
Het beleid moet regelmatig worden herzien, vooral als er sprake is van enige verandering in technologie of wetgeving.
Het beleid moet worden gecommuniceerd naar alle werknemers, aannemers en andere partijen die betrokken zijn bij activiteiten op het gebied van werken op afstand.
Het beleid moet worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante derde partijen, inclusief toezichthouders en auditors.
Organisaties moeten er ook voor zorgen dat ze adequate maatregelen treffen om gevoelige of vertrouwelijke informatie te beschermen die elektronisch wordt verzonden of opgeslagen tijdens werkactiviteiten op afstand.
In overeenstemming met de bepalingen van controle 6.7 moeten de volgende zaken in overweging worden genomen:
De te overwegen richtlijnen en maatregelen moeten het volgende omvatten:
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Controle 6.7 in ISO 27002:2022 is een aangepaste versie van controle 6.2.2 in ISO 27002:2013 en is geen nieuwe controle.
Hoewel deze twee besturingselementen veel kenmerken hebben, verschillen ze enigszins qua nomenclatuur en bewoordingen. De naam van het besturingselement is bijvoorbeeld niet hetzelfde. Beheersing 6.2.2 in ISO 27002:2013 wordt telewerken genoemd. Controle 6.7 noemt het werken op afstand. Tegelijkertijd werd telewerken in de nieuwe versie van de standaard vervangen door werken op afstand.
In controle 6.7, ISO 27002:2022, definieert de norm wat werken op afstand is, en de soorten werk die als werken op afstand kunnen kwalificeren. Dit geldt ook voor telewerken, wat de oorspronkelijke controlenaam is in de 2013-versie van de standaard.
De implementatierichtlijnen lijken enigszins op elkaar, ook al zijn de taal en de termen verschillend. Versie 2022 gebruikte veel gebruiksvriendelijke taal om ervoor te zorgen dat de gebruikers van de standaard begrijpen wat ze doen.
Dat gezegd hebbende, zijn er enkele punten toegevoegd aan controle 6.7 en sommige verwijderd uit controle 6.2.2.
Bovendien biedt de ISO 27002 versie 2022 doelverklaringen en attribuuttabellen voor elke controle, die gebruikers helpen de controles beter te begrijpen en te implementeren.
De versie uit 2013 bevat deze twee delen niet.
De primaire verantwoordelijkheid voor het creëren van een informatiebeveiligingsbeleid voor thuiswerkers ligt bij de informatiebeveiligingsfunctionaris van de organisatie. Er moeten echter ook andere belanghebbenden bij het proces worden betrokken.
Denk hierbij aan IT-managers, die verantwoordelijk zijn voor de implementatie en handhaving van het beleid, maar ook aan HR-managers, die ervoor moeten zorgen dat medewerkers het begrijpen en zich eraan houden.
Als u een leveranciersbeheerprogramma heeft, hangt het antwoord af van wie verantwoordelijk is voor het beheer van aannemers en leveranciers in het algemeen. In de meeste gevallen zou deze persoon ook verantwoordelijk zijn voor het opstellen van een informatiebeveiligingsbeleid voor externe medewerkers op die afdeling.
De ISO 27002 is niet significant gewijzigd, dus u hoeft niet veel te doen, behalve controleren of uw informatiebeveiligingsprocessen in overeenstemming zijn met de upgrade.
De belangrijkste verandering was het wijzigen van enkele controles en het verduidelijken van enkele vereisten. Het belangrijkste effect met betrekking tot controle 6.7 is dat als u een van uw activiteiten uitbesteedt aan een derde partij of mensen op afstand laat werken, u ervoor moet zorgen dat zij over een passend niveau van beveiligingscontroles beschikken.
Heeft u een bestaande ISO 27001-certificering, dan voldoet uw huidige proces voor het managen van informatiebeveiliging aan de nieuwe eisen.
Dit betekent dat als u uw huidige ISO 27001-certificering wilt verlengen, u helemaal niets hoeft te doen. U moet er alleen voor zorgen dat uw processen nog steeds voldoen aan de nieuwe standaard.
Als u echter helemaal opnieuw begint, moet u nadenken over hoe uw bedrijf voorbereid kan zijn op cyberaanvallen en andere bedreigingen voor de informatiemiddelen.
Het belangrijkste is dat het belangrijk is om cyberrisico's serieus genoeg te behandelen, zodat ze worden beheerd als onderdeel van uw algemene bedrijfsstrategie en niet alleen door de IT- of beveiligingsafdelingen als een afzonderlijk probleem worden behandeld.
Het ISMS.Online-platform helpt bij alle aspecten van de implementatie van ISO 27002, van het beheren van risicobeoordelingsactiviteiten tot het ontwikkelen van beleid, procedures en richtlijnen voor het voldoen aan de vereisten van de norm.
Het biedt een manier om uw bevindingen te documenteren en deze online met uw teamleden te communiceren. Met ISMS.Online kunt u ook checklists maken en opslaan voor alle taken die betrokken zijn bij de implementatie van ISO 27002, zodat u eenvoudig de voortgang van het beveiligingsprogramma van uw organisatie kunt volgen.
Met de geautomatiseerde toolset maakt ISMS.Online het voor organisaties eenvoudig om naleving van de ISO 27002-norm aan te tonen.
Neem vandaag nog contact met ons op een demo plannen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |