ISO 27002:2022, Controle 6.7 – Werken op afstand

Attributentabel

Attributen worden gebruikt om besturingselementen te categoriseren. U kunt uw besturingsoptie onmiddellijk afstemmen op veelgebruikte termen en specificaties in de branche door gebruik te maken van attributen.

Attributen voor besturingselement 6.7 zijn zoals hieronder te zien.

Wat is het doel van controle 6.7?

Het doel van Controle 6.7 is ervoor te zorgen dat personeel dat op afstand werkt over adequate toegangscontroles beschikt om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige of bedrijfseigen informatie, processen en systemen te beschermen tegen ongeoorloofde toegang of openbaarmaking door onbevoegde personen.

Om de veiligheid van informatie te garanderen wanneer personeel op afstand werkt, moeten organisaties een onderwerpspecifiek beleid inzake werken op afstand uitvaardigen, waarin de relevante voorwaarden en beperkingen voor informatiebeveiliging worden gedefinieerd. Het beleid moet onder al het personeel worden verspreid en richtlijnen bevatten over hoe zij technologieën voor externe toegang veilig kunnen gebruiken.

Een onderwerpspecifiek beleid als dit zal waarschijnlijk betrekking hebben op:

• De omstandigheden waarin werken op afstand is toegestaan.
• De processen die worden gebruikt om ervoor te zorgen dat externe medewerkers toegang krijgen tot vertrouwelijke informatie.
• De procedures om ervoor te zorgen dat informatie wordt beschermd wanneer deze tussen verschillende fysieke locaties wordt verzonden.

Naast deze basiseisen is het ook belangrijk om een ​​duidelijk omschreven procedure te hebben voor het melden van incidenten, inclusief de juiste contactgegevens. Dit kan het risico op inbreuken of andere soorten beveiligingsincidenten helpen verminderen.

Het beleid moet mogelijk ook zaken aanpakken zoals encryptie, firewalls en antivirussoftware-updates, evenals training van medewerkers over hoe ze veilig gebruik kunnen maken van externe connectiviteit.

Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan

Om aan de vereisten voor controle 6.7 te voldoen, moeten organisaties die activiteiten op afstand toestaan ​​een onderwerpspecifiek beleid inzake werken op afstand uitvaardigen waarin de relevante voorwaarden en beperkingen worden gedefinieerd.

Het beleid moet regelmatig worden herzien, vooral als er sprake is van enige verandering in technologie of wetgeving.

Het beleid moet worden gecommuniceerd naar alle werknemers, aannemers en andere partijen die betrokken zijn bij activiteiten op het gebied van werken op afstand.

Het beleid moet worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante derde partijen, inclusief toezichthouders en auditors.

Organisaties moeten er ook voor zorgen dat ze adequate maatregelen treffen om gevoelige of vertrouwelijke informatie te beschermen die elektronisch wordt verzonden of opgeslagen tijdens werkactiviteiten op afstand.

In overeenstemming met de bepalingen van controle 6.7 moeten de volgende zaken in overweging worden genomen:

• De bestaande of voorgestelde fysieke beveiliging van de werkplek op afstand, rekening houdend met de fysieke beveiliging van de locatie en de lokale omgeving, inclusief de verschillende rechtsgebieden waar het personeel zich bevindt.
• Regels en beveiligingsmechanismen voor de afgelegen fysieke omgeving, zoals afsluitbare archiefkasten, veilig transport tussen locaties en regels voor toegang op afstand, een leeg bureau, afdrukken en verwijderen van informatie en andere bijbehorende activa, en rapportage van informatiebeveiligingsgebeurtenissen.
• De verwachte fysieke werkomgevingen op afstand.
• De communicatiebeveiligingseisen, waarbij rekening wordt gehouden met de noodzaak van toegang op afstand tot de systemen van de organisatie, de gevoeligheid van de informatie waartoe toegang moet worden verkregen en die via de communicatieverbinding moet worden doorgegeven, en de gevoeligheid van de systemen en applicaties.
• Het gebruik van externe toegang, zoals virtuele desktoptoegang, die de verwerking en opslag van informatie op apparatuur in particulier bezit ondersteunt.
• De dreiging van ongeoorloofde toegang tot informatie of bronnen van andere personen op de werkplek op afstand (bijvoorbeeld familie en vrienden).
• De dreiging van ongeoorloofde toegang tot informatie of bronnen van andere personen op openbare plaatsen.
• Het gebruik van thuisnetwerken en openbare netwerken, en vereisten of beperkingen op de configuratie van draadloze netwerkdiensten.
• Gebruik van beveiligingsmaatregelen, zoals firewalls en bescherming tegen malware.
• Beveiligde mechanismen voor het op afstand implementeren en initialiseren van systemen.
• Beveiligde mechanismen voor authenticatie en het inschakelen van toegangsrechten, waarbij rekening wordt gehouden met de kwetsbaarheid van single-factor authenticatiemechanismen waarbij externe toegang tot het netwerk van de organisatie is toegestaan.

De te overwegen richtlijnen en maatregelen moeten het volgende omvatten:

1. Het ter beschikking stellen van geschikte apparatuur en opbergmeubilair voor de werkzaamheden op afstand, waarbij het gebruik van apparatuur in particulier bezit die niet onder controle staat van de organisatie niet is toegestaan.
2. Een definitie van het toegestane werk, de classificatie van de informatie die kan worden bewaard en de interne systemen en diensten waartoe de externe medewerker toegang heeft.
3. Het verzorgen van trainingen voor degenen die op afstand werken en degenen die ondersteuning bieden. Dit moet onder meer omvatten hoe u op een veilige manier zaken kunt doen terwijl u op afstand werkt.
4. Het verstrekken van geschikte communicatieapparatuur, inclusief methoden voor het beveiligen van toegang op afstand, zoals vereisten met betrekking tot schermvergrendelingen van apparaten en inactiviteitstimers.
5. Het inschakelen van het volgen van de locatie van apparaten.
6. Installatie van mogelijkheden voor wissen op afstand.
7. Fysieke bewaking.
8. Regels en richtlijnen voor de toegang van familie en bezoekers tot apparatuur en informatie.
9. Het leveren van hardware- en softwareondersteuning en onderhoud.
10. Het aanbieden van verzekeringen.
11. De procedures voor back-up en bedrijfscontinuïteit.
12. Audit- en beveiligingsmonitoring.
13. Intrekking van bevoegdheden en toegangsrechten en teruggave van apparatuur wanneer de activiteiten op afstand worden beëindigd.

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

Controle 6.7 in ISO 27002:2022 is een aangepaste versie van controle 6.2.2 in ISO 27002:2013 en is geen nieuwe controle.

Hoewel deze twee besturingselementen veel kenmerken hebben, verschillen ze enigszins qua nomenclatuur en bewoordingen. De naam van het besturingselement is bijvoorbeeld niet hetzelfde. Beheersing 6.2.2 in ISO 27002:2013 wordt telewerken genoemd. Controle 6.7 noemt het werken op afstand. Tegelijkertijd werd telewerken in de nieuwe versie van de standaard vervangen door werken op afstand.

In controle 6.7, ISO 27002:2022, definieert de norm wat werken op afstand is, en de soorten werk die als werken op afstand kunnen kwalificeren. Dit geldt ook voor telewerken, wat de oorspronkelijke controlenaam is in de 2013-versie van de standaard.

De implementatierichtlijnen lijken enigszins op elkaar, ook al zijn de taal en de termen verschillend. Versie 2022 gebruikte veel gebruiksvriendelijke taal om ervoor te zorgen dat de gebruikers van de standaard begrijpen wat ze doen.

Dat gezegd hebbende, zijn er enkele punten toegevoegd aan controle 6.7 en sommige verwijderd uit controle 6.2.2.

Toegevoegd aan Controle 6.7 Werken op afstand

• regels en beveiligingsmechanismen voor de afgelegen fysieke omgeving, zoals afsluitbare archiefkasten, veilig transport tussen locaties en regels voor toegang op afstand, een leeg bureau, afdrukken en verwijderen van informatie en andere bijbehorende activa, en rapportage van informatiebeveiligingsgebeurtenissen.
• de verwachte fysieke werkomgevingen op afstand.
• de dreiging van ongeoorloofde toegang tot informatie of bronnen van andere personen op openbare plaatsen.
• veilige mechanismen voor het op afstand inzetten en initialiseren van systemen.
• veilige mechanismen voor authenticatie en het inschakelen van toegangsrechten, waarbij rekening wordt gehouden met de kwetsbaarheid van single-factor authenticatiemechanismen waarbij externe toegang tot het netwerk van de organisatie is toegestaan.

Uit controle verwijderd 6.2.2 Telewerken

• Het gebruik van thuisnetwerken en vereisten of beperkingen voor de configuratie van draadloze netwerkdiensten.
• Beleid en procedures om geschillen over rechten op intellectueel eigendom te voorkomen, ontwikkeld op apparatuur in particulier bezit.
• Toegang tot apparatuur in particulier bezit (om de veiligheid van de machine te verifiëren of tijdens een onderzoek), wat door wetgeving kan worden verhinderd.
• Softwarelicentieovereenkomsten die van dien aard zijn dat organisaties aansprakelijk kunnen worden gesteld voor licentieverlening voor clientsoftware op werkstations die particulier eigendom zijn van werknemers of externe gebruikers.

Bovendien biedt de ISO 27002 versie 2022 doelverklaringen en attribuuttabellen voor elke controle, die gebruikers helpen de controles beter te begrijpen en te implementeren.

De versie uit 2013 bevat deze twee delen niet.

Wie is verantwoordelijk voor dit proces?

De primaire verantwoordelijkheid voor het creëren van een informatiebeveiligingsbeleid voor thuiswerkers ligt bij de informatiebeveiligingsfunctionaris van de organisatie. Er moeten echter ook andere belanghebbenden bij het proces worden betrokken.

Denk hierbij aan IT-managers, die verantwoordelijk zijn voor de implementatie en handhaving van het beleid, maar ook aan HR-managers, die ervoor moeten zorgen dat medewerkers het begrijpen en zich eraan houden.

Als u een leveranciersbeheerprogramma heeft, hangt het antwoord af van wie verantwoordelijk is voor het beheer van aannemers en leveranciers in het algemeen. In de meeste gevallen zou deze persoon ook verantwoordelijk zijn voor het opstellen van een informatiebeveiligingsbeleid voor externe medewerkers op die afdeling.

Wat betekenen deze veranderingen voor u?

De ISO 27002 is niet significant gewijzigd, dus u hoeft niet veel te doen, behalve controleren of uw informatiebeveiligingsprocessen in overeenstemming zijn met de upgrade.

De belangrijkste verandering was het wijzigen van enkele controles en het verduidelijken van enkele vereisten. Het belangrijkste effect met betrekking tot controle 6.7 is dat als u een van uw activiteiten uitbesteedt aan een derde partij of mensen op afstand laat werken, u ervoor moet zorgen dat zij over een passend niveau van beveiligingscontroles beschikken.

Heeft u een bestaande ISO 27001-certificering, dan voldoet uw huidige proces voor het managen van informatiebeveiliging aan de nieuwe eisen.

Dit betekent dat als u uw huidige ISO 27001-certificering wilt verlengen, u helemaal niets hoeft te doen. U moet er alleen voor zorgen dat uw processen nog steeds voldoen aan de nieuwe standaard.

Als u echter helemaal opnieuw begint, moet u nadenken over hoe uw bedrijf voorbereid kan zijn op cyberaanvallen en andere bedreigingen voor de informatiemiddelen.

Het belangrijkste is dat het belangrijk is om cyberrisico's serieus genoeg te behandelen, zodat ze worden beheerd als onderdeel van uw algemene bedrijfsstrategie en niet alleen door de IT- of beveiligingsafdelingen als een afzonderlijk probleem worden behandeld.

Hoe ISMS.Online helpt

Het ISMS.Online-platform helpt bij alle aspecten van de implementatie van ISO 27002, van het beheren van risicobeoordelingsactiviteiten tot het ontwikkelen van beleid, procedures en richtlijnen voor het voldoen aan de vereisten van de norm.

Het biedt een manier om uw bevindingen te documenteren en deze online met uw teamleden te communiceren. Met ISMS.Online kunt u ook checklists maken en opslaan voor alle taken die betrokken zijn bij de implementatie van ISO 27002, zodat u eenvoudig de voortgang van het beveiligingsprogramma van uw organisatie kunt volgen.

Met de geautomatiseerde toolset maakt ISMS.Online het voor organisaties eenvoudig om naleving van de ISO 27002-norm aan te tonen.

Neem vandaag nog contact met ons op een demo plannen.