Het gebruik van opslagmedia-apparaten zoals solid-state drives (SSD's), USB-sticks, externe schijven en mobiele telefoons is van vitaal belang voor veel kritieke informatieverwerkingsactiviteiten, zoals gegevensback-up, gegevensopslag en informatieoverdracht.
Echter, de opslag van gevoelige en kritische informatie over deze apparaten brengt risico's voor de integriteit met zich mee, vertrouwelijkheid en beschikbaarheid van informatiemiddelen. Deze risico's kunnen het verlies of de diefstal omvatten van opslagmedia die gevoelige informatie bevatten, de verspreiding van malware naar alle bedrijfscomputernetwerken via de opslagmedia, en het falen en degradatie van opslagmedia die worden gebruikt voor gegevensback-up.
Controle 7.10 behandelt hoe organisaties passende procedures, beleid en controles kunnen vaststellen om de veiligheid van opslagmedia gedurende de gehele levenscyclus ervan te handhaven, vanaf de aanschaf tot de verwijdering ervan.
Met Control 7.10 kunnen organisaties de risico's van ongeoorloofde toegang tot, gebruik, verwijdering, wijziging en overdracht van gevoelige informatie die op opslagmedia-apparaten wordt gehost, elimineren en beperken door procedures vast te stellen voor de omgang met opslagmedia gedurende de gehele levenscyclus.
Controle 7.10 is een preventieve vorm van controle waarbij organisaties procedures en maatregelen moeten creëren, implementeren en onderhouden om de veiligheid van opslagmedia-apparaten te garanderen, vanaf de aanschaf tot de beschikking ervan.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke bewaking #Vermogensbeheer | #Bescherming |
Controle 7.10 is van toepassing op zowel digitale als fysieke opslagmedia. Bijvoorbeeld opslag van informatie in fysieke bestanden valt ook onder Controle 7.10.
Bovendien vallen naast de verwijderbare opslagmedia ook vaste opslagmedia zoals harde schijven onder Controle 7.10.
Controle 7.10 vereist dat organisaties passende procedures, technische controles en organisatiebreed beleid inzake het gebruik van opslagmedia creëren en implementeren, gebaseerd op het eigen classificatieschema van de organisatie en haar vereisten voor gegevensverwerking, zoals wettelijke en contractuele verplichtingen.
Dit in overweging nemend moeten informatiebeveiligingsmanagers verantwoordelijk zijn voor het gehele complianceproces.
Hoewel verwijderbare opslagmedia essentieel zijn voor veel bedrijfsactiviteiten en vaak door het meeste personeel worden gebruikt, vormen ze het grootste risico voor de gevoelige informatie.
Control 7.10 somt tien vereisten op waaraan organisaties zich moeten houden voor het beheer van verwijderbare opslagmedia gedurende de gehele levenscyclus:
Control 7.10 biedt afzonderlijke richtlijnen voor het veilig hergebruiken en verwijderen van opslagmedia, zodat organisaties de risico's voor het in gevaar brengen van de vertrouwelijkheid van informatie kunnen beperken en elimineren.
Controle 7.10 benadrukt dat organisaties procedures voor het hergebruik en de verwijdering van opslagmedia moeten definiëren en toepassen, rekening houdend met het gevoeligheidsniveau van de informatie op de opslagmedia.
Bij het vaststellen van deze procedures moeten organisaties het volgende in overweging nemen:
Als laatste, maar daarom niet minder belangrijk, vereist Controle 7.10 dat organisaties een risicobeoordeling van beschadigde apparatuur waarin vertrouwelijke informatie wordt opgeslagen om te beslissen of de apparatuur moet worden vernietigd in plaats van gerepareerd.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
27002:2022/7.10 vervangt 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Er zijn vier belangrijke verschillen die moeten worden benadrukt:
Terwijl de versie uit 2013 er drie afzonderlijke bevatte controles op het beheer van media, verwijdering van media en fysieke mediaoverdracht combineert de 2022-versie deze drie bedieningselementen onder Controle 7.10.
In tegenstelling tot de versie uit 2013 die alleen inging op het veilig weggooien van opslagmedia, gaat de Versie 2022 ook in op het veilig hergebruiken van opslagmedia.
De versie van 2013 bracht uitgebreidere eisen met zich mee voor de fysieke overdracht van opslagmedia. De versie van 2013 bevatte bijvoorbeeld regels voor identiteitsverificatie voor koeriers en verpakkingsnormen.
Control 7.10 in de 2022-versie stelde daarentegen alleen dat organisaties zorgvuldig moeten handelen bij het kiezen van dienstverleners zoals koeriers.
Hoewel de versies van 2022 en 2013 grotendeels vergelijkbaar zijn wat betreft de vereisten voor verwijderbare opslagmedia, introduceert de versie van 2022 de vereiste om een onderwerpspecifiek beleid op te stellen voor verwijderbare opslagmedia. De versie uit 2013 voldeed daarentegen niet aan deze vereiste.
De ISMS.online-platform maakt gebruik van een op risico's gebaseerde aanpak in combinatie met toonaangevende best practices en sjablonen om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd te identificeren en de controles die nodig zijn om deze risico's te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als uw compliancekosten systematisch verminderen.
Neem vandaag nog contact op met boek een demo.
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |