ISO 27002:2022, Controle 7.10 – Opslagmedia

ISO 27002:2022 herziene controles

Boek een demo

bijgesneden,afbeelding,van,professionele,zakenvrouw,werkend,op,haar,kantoor,via

Het gebruik van opslagmedia-apparaten zoals solid-state drives (SSD's), USB-sticks, externe schijven en mobiele telefoons is van vitaal belang voor veel kritieke informatieverwerkingsactiviteiten, zoals gegevensback-up, gegevensopslag en informatieoverdracht.

Echter, de opslag van gevoelige en kritische informatie over deze apparaten brengt risico's voor de integriteit met zich mee, vertrouwelijkheid en beschikbaarheid van informatiemiddelen. Deze risico's kunnen het verlies of de diefstal omvatten van opslagmedia die gevoelige informatie bevatten, de verspreiding van malware naar alle bedrijfscomputernetwerken via de opslagmedia, en het falen en degradatie van opslagmedia die worden gebruikt voor gegevensback-up.

Controle 7.10 behandelt hoe organisaties passende procedures, beleid en controles kunnen vaststellen om de veiligheid van opslagmedia gedurende de gehele levenscyclus ervan te handhaven, vanaf de aanschaf tot de verwijdering ervan.

Doel van de controle 7.10

Met Control 7.10 kunnen organisaties de risico's van ongeoorloofde toegang tot, gebruik, verwijdering, wijziging en overdracht van gevoelige informatie die op opslagmedia-apparaten wordt gehost, elimineren en beperken door procedures vast te stellen voor de omgang met opslagmedia gedurende de gehele levenscyclus.

Attributentabel

Controle 7.10 is een preventieve vorm van controle waarbij organisaties procedures en maatregelen moeten creëren, implementeren en onderhouden om de veiligheid van opslagmedia-apparaten te garanderen, vanaf de aanschaf tot de beschikking ervan.

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid
#Integriteit
#Beschikbaarheid		#Beschermen#Fysieke bewaking
#Vermogensbeheer 		#Bescherming
Ga naar onderwerp
Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Welke opslagmedia omvat Control 7.10?

Controle 7.10 is van toepassing op zowel digitale als fysieke opslagmedia. Bijvoorbeeld opslag van informatie in fysieke bestanden valt ook onder Controle 7.10.

Bovendien vallen naast de verwijderbare opslagmedia ook vaste opslagmedia zoals harde schijven onder Controle 7.10.

Eigendom van zeggenschap 7.10

Controle 7.10 vereist dat organisaties passende procedures, technische controles en organisatiebreed beleid inzake het gebruik van opslagmedia creëren en implementeren, gebaseerd op het eigen classificatieschema van de organisatie en haar vereisten voor gegevensverwerking, zoals wettelijke en contractuele verplichtingen.

Dit in overweging nemend moeten informatiebeveiligingsmanagers verantwoordelijk zijn voor het gehele complianceproces.

Algemene richtlijnen voor naleving

Verwisselbare opslagmedia

Hoewel verwijderbare opslagmedia essentieel zijn voor veel bedrijfsactiviteiten en vaak door het meeste personeel worden gebruikt, vormen ze het grootste risico voor de gevoelige informatie.

Control 7.10 somt tien vereisten op waaraan organisaties zich moeten houden voor het beheer van verwijderbare opslagmedia gedurende de gehele levenscyclus:

  1. Organisaties moeten een onderwerpspecifiek beleid opstellen voor de aanschaf, autorisatie, gebruik en verwijdering van verwijderbare opslagmedia. Dit beleid moet aan al het personeel en aan alle relevante partijen worden gecommuniceerd.

  2. Als het praktisch en noodzakelijk is, moeten organisaties autorisatieprocedures invoeren voor de manier waarop verwijderbare opslagmedia uit bedrijfsruimten kunnen worden gehaald. Bovendien moeten organisaties logbestanden bijhouden van de verwijdering van opslagmedia voor audittraildoeleinden.

  3. Alle verwijderbare opslagmedia moeten worden opgeslagen in een beveiligde ruimte, zoals een kluis, waarbij rekening moet worden gehouden met het informatieclassificatieniveau dat aan de informatie is toegewezen en de omgevings- en fysieke bedreigingen voor opslagmedia.

  4. Als de vertrouwelijkheid en integriteit van informatie op verwijderbare opslagmedia van cruciaal belang zijn, moeten cryptografische technieken worden gebruikt om de opslagmedia te beschermen tegen ongeoorloofde toegang.

  5. Om het risico van degradatie van verwijderbare opslagmedia en verlies van op de media opgeslagen informatie te voorkomen, moet de informatie worden overgebracht naar een nieuw opslagmedia-apparaat voordat een dergelijk risico zich voordoet.

  6. Kritieke en gevoelige informatie moet worden gekopieerd en opgeslagen op meerdere opslagmedia om het risico op verlies van kritieke informatie te minimaliseren.

  7. Om het risico van volledig verlies van informatie te beperken, kan registratie van verwijderbare opslagmedia een optie zijn om te overwegen.

  8. Tenzij er een zakelijke reden is om poorten voor verwijderbare opslagmedia te gebruiken, zoals USB-poorten of SD-kaartsleuven, mogen deze niet worden toegestaan.

  9. Er moet een monitoringmechanisme aanwezig zijn voor de overdracht van informatie naar verwijderbare opslagmedia.

  10. Wanneer informatie op fysieke media, zoals papieren, via een koerier of post wordt overgedragen, bestaat er een groot risico op ongeoorloofde toegang tot deze informatie. Daarom moeten passende maatregelen worden toegepast.

Leidraad voor veilig hergebruik en verwijdering van opslagmedia

Control 7.10 biedt afzonderlijke richtlijnen voor het veilig hergebruiken en verwijderen van opslagmedia, zodat organisaties de risico's voor het in gevaar brengen van de vertrouwelijkheid van informatie kunnen beperken en elimineren.

Controle 7.10 benadrukt dat organisaties procedures voor het hergebruik en de verwijdering van opslagmedia moeten definiëren en toepassen, rekening houdend met het gevoeligheidsniveau van de informatie op de opslagmedia.

Bij het vaststellen van deze procedures moeten organisaties het volgende in overweging nemen:

  1. Als een opslagmedium wordt hergebruikt door een interne partij binnen een organisatie, moet de gevoelige informatie die op dat opslagmedium wordt gehost onomkeerbaar worden verwijderd of opnieuw worden geformatteerd voordat deze wordt geautoriseerd voor hergebruik.

  2. Opslagmedia waarop gevoelige informatie wordt gehost, moeten op een veilige manier worden vernietigd wanneer deze niet langer nodig is. Papieren documenten kunnen bijvoorbeeld worden versnipperd en digitale apparatuur kan fysiek worden vernietigd.

  3. Er moet een procedure zijn voor de identificatie van opslagmedia-items die moeten worden weggegooid.

  4. Wanneer organisaties ervoor kiezen om met een externe partij samen te werken om de inzameling en verwijdering van opslagmedia af te handelen, dienen zij de nodige maatregelen te nemen om ervoor te zorgen dat de gekozen leverancier competent is en zij implementeert passende controles.

  5. Het bijhouden van een register van alle weggegooide spullen voor controlespoor.

  6. Wanneer meerdere opslagmedia samen moeten worden weggegooid, moet rekening worden gehouden met het accumulatie-effect: het combineren van verschillende informatiestukken van elk opslagmedium kan niet-gevoelige informatie omzetten in gevoelige informatie.

Als laatste, maar daarom niet minder belangrijk, vereist Controle 7.10 dat organisaties een risicobeoordeling van beschadigde apparatuur waarin vertrouwelijke informatie wordt opgeslagen om te beslissen of de apparatuur moet worden vernietigd in plaats van gerepareerd.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/7.10 vervangt 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Er zijn vier belangrijke verschillen die moeten worden benadrukt:

  • Structurele veranderingen

Terwijl de versie uit 2013 er drie afzonderlijke bevatte controles op het beheer van media, verwijdering van media en fysieke mediaoverdracht combineert de 2022-versie deze drie bedieningselementen onder Controle 7.10.

  • Versie 2022 bevat vereisten voor het hergebruik van opslagmedia

In tegenstelling tot de versie uit 2013 die alleen inging op het veilig weggooien van opslagmedia, gaat de Versie 2022 ook in op het veilig hergebruiken van opslagmedia.

  • Versie 2013 bevat uitgebreidere vereisten voor de fysieke overdracht van opslagmedia

De versie van 2013 bracht uitgebreidere eisen met zich mee voor de fysieke overdracht van opslagmedia. De versie van 2013 bevatte bijvoorbeeld regels voor identiteitsverificatie voor koeriers en verpakkingsnormen.

Control 7.10 in de 2022-versie stelde daarentegen alleen dat organisaties zorgvuldig moeten handelen bij het kiezen van dienstverleners zoals koeriers.

  • Versie 2022 vereist een onderwerpspecifiek beleid op verwijderbare opslagmedia

Hoewel de versies van 2022 en 2013 grotendeels vergelijkbaar zijn wat betreft de vereisten voor verwijderbare opslagmedia, introduceert de versie van 2022 de vereiste om een ​​onderwerpspecifiek beleid op te stellen voor verwijderbare opslagmedia. De versie uit 2013 voldeed daarentegen niet aan deze vereiste.

Hoe ISMS.online helpt

De ISMS.online-platform maakt gebruik van een op risico's gebaseerde aanpak in combinatie met toonaangevende best practices en sjablonen om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd te identificeren en de controles die nodig zijn om deze risico's te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als uw compliancekosten systematisch verminderen.

Neem vandaag nog contact op met boek een demo.

Krijg een voorsprong
op ISO 27002

De enige naleving
oplossing die u nodig heeft
Boek uw demo

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NewBedreigingsintelligentie
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.30NewICT gereed voor bedrijfscontinuïteit
7.4NewFysieke beveiligingsmonitoring
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.16NewMonitoring activiteiten
8.23NewWeb filtering
8.28NewVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NewBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.12 08.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NewICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NewFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NewMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NewWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NewVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests

Wij zijn kosteneffectief en snel

Ontdek hoe dat uw ROI zal verhogen
Vraag uw offerte aan

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie