ISO 27002:2022, Controle 7.10, Opslagmedia

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Veilig beheer van opslagmedia: bescherming van gevoelige informatie

Het gebruik van opslagmedia-apparaten zoals solid-state drives (SSD's), USB-sticks, externe schijven en mobiele telefoons is van vitaal belang voor veel kritieke informatieverwerkingsactiviteiten, zoals gegevensback-up, gegevensopslag en informatieoverdracht.

Echter, de opslag van gevoelige en kritische informatie over deze apparaten brengt risico's voor de integriteit met zich mee, vertrouwelijkheid en beschikbaarheid van informatiemiddelen. Deze risico's kunnen het verlies of de diefstal omvatten van opslagmedia die gevoelige informatie bevatten, de verspreiding van malware naar alle bedrijfscomputernetwerken via de opslagmedia, en het falen en degradatie van opslagmedia die worden gebruikt voor gegevensback-up.

Controle 7.10 behandelt hoe organisaties passende procedures, beleid en controles kunnen vaststellen om de veiligheid van opslagmedia gedurende de gehele levenscyclus ervan te handhaven, vanaf de aanschaf tot de verwijdering ervan.

Doel van de controle 7.10

Met Control 7.10 kunnen organisaties de risico's van ongeoorloofde toegang tot, gebruik, verwijdering, wijziging en overdracht van gevoelige informatie die op opslagmedia-apparaten wordt gehost, elimineren en beperken door procedures vast te stellen voor de omgang met opslagmedia gedurende de gehele levenscyclus.

Attributen Controletabel 7.10

Controle 7.10 is een preventieve vorm van controle waarbij organisaties procedures en maatregelen moeten creëren, implementeren en onderhouden om de veiligheid van opslagmedia-apparaten te garanderen, vanaf de aanschaf tot de beschikking ervan.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Fysieke bewaking	#Bescherming
	#Integriteit		#Vermogensbeheer
	#Beschikbaarheid

Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Welke opslagmedia omvat Control 7.10?

Controle 7.10 is van toepassing op zowel digitale als fysieke opslagmedia. Bijvoorbeeld opslag van informatie in fysieke bestanden valt ook onder Controle 7.10.

Bovendien vallen naast de verwijderbare opslagmedia ook vaste opslagmedia zoals harde schijven onder Controle 7.10.

Eigendom van zeggenschap 7.10

Controle 7.10 vereist dat organisaties passende procedures, technische controles en organisatiebreed beleid inzake het gebruik van opslagmedia creëren en implementeren, gebaseerd op het eigen classificatieschema van de organisatie en haar vereisten voor gegevensverwerking, zoals wettelijke en contractuele verplichtingen.

Dit in overweging nemend moeten informatiebeveiligingsmanagers verantwoordelijk zijn voor het gehele complianceproces.

Algemene richtlijnen voor naleving

Verwisselbare opslagmedia

Hoewel verwijderbare opslagmedia essentieel zijn voor veel bedrijfsactiviteiten en vaak door het meeste personeel worden gebruikt, vormen ze het grootste risico voor de gevoelige informatie.

Control 7.10 somt tien vereisten op waaraan organisaties zich moeten houden voor het beheer van verwijderbare opslagmedia gedurende de gehele levenscyclus:

Organisaties moeten een onderwerpspecifiek beleid opstellen voor de aanschaf, autorisatie, gebruik en verwijdering van verwijderbare opslagmedia. Dit beleid moet aan al het personeel en aan alle relevante partijen worden gecommuniceerd.
Als het praktisch en noodzakelijk is, moeten organisaties autorisatieprocedures invoeren voor de manier waarop verwijderbare opslagmedia uit bedrijfsruimten kunnen worden gehaald. Bovendien moeten organisaties logbestanden bijhouden van de verwijdering van opslagmedia voor audittraildoeleinden.
Alle verwijderbare opslagmedia moeten worden opgeslagen in een beveiligde ruimte, zoals een kluis, waarbij rekening moet worden gehouden met het informatieclassificatieniveau dat aan de informatie is toegewezen en de omgevings- en fysieke bedreigingen voor opslagmedia.
Als de vertrouwelijkheid en integriteit van informatie op verwijderbare opslagmedia van cruciaal belang zijn, moeten cryptografische technieken worden gebruikt om de opslagmedia te beschermen tegen ongeoorloofde toegang.
Om het risico van degradatie van verwijderbare opslagmedia en verlies van op de media opgeslagen informatie te voorkomen, moet de informatie worden overgebracht naar een nieuw opslagmedia-apparaat voordat een dergelijk risico zich voordoet.
Kritieke en gevoelige informatie moet worden gekopieerd en opgeslagen op meerdere opslagmedia om het risico op verlies van kritieke informatie te minimaliseren.
Om het risico van volledig verlies van informatie te beperken, kan registratie van verwijderbare opslagmedia een optie zijn om te overwegen.
Tenzij er een zakelijke reden is om poorten voor verwijderbare opslagmedia te gebruiken, zoals USB-poorten of SD-kaartsleuven, mogen deze niet worden toegestaan.
Er moet een monitoringmechanisme aanwezig zijn voor de overdracht van informatie naar verwijderbare opslagmedia.
Wanneer informatie op fysieke media, zoals papieren, via een koerier of post wordt overgedragen, bestaat er een groot risico op ongeoorloofde toegang tot deze informatie. Daarom moeten passende maatregelen worden toegepast.

Leidraad voor veilig hergebruik en verwijdering van opslagmedia

Control 7.10 biedt afzonderlijke richtlijnen voor het veilig hergebruiken en verwijderen van opslagmedia, zodat organisaties de risico's voor het in gevaar brengen van de vertrouwelijkheid van informatie kunnen beperken en elimineren.

Controle 7.10 benadrukt dat organisaties procedures voor het hergebruik en de verwijdering van opslagmedia moeten definiëren en toepassen, rekening houdend met het gevoeligheidsniveau van de informatie op de opslagmedia.

Bij het vaststellen van deze procedures moeten organisaties het volgende in overweging nemen:

Als een opslagmedium wordt hergebruikt door een interne partij binnen een organisatie, moet de gevoelige informatie die op dat opslagmedium wordt gehost onomkeerbaar worden verwijderd of opnieuw worden geformatteerd voordat deze wordt geautoriseerd voor hergebruik.
Opslagmedia waarop gevoelige informatie wordt gehost, moeten op een veilige manier worden vernietigd wanneer deze niet langer nodig is. Papieren documenten kunnen bijvoorbeeld worden versnipperd en digitale apparatuur kan fysiek worden vernietigd.
Er moet een procedure zijn voor de identificatie van opslagmedia-items die moeten worden weggegooid.
Wanneer organisaties ervoor kiezen om met een externe partij samen te werken om de inzameling en verwijdering van opslagmedia af te handelen, dienen zij de nodige maatregelen te nemen om ervoor te zorgen dat de gekozen leverancier competent is en zij implementeert passende controles.
Het bijhouden van een register van alle weggegooide spullen voor controlespoor.
Wanneer meerdere opslagmedia samen moeten worden weggegooid, moet rekening worden gehouden met het accumulatie-effect: het combineren van verschillende informatiestukken van elk opslagmedium kan niet-gevoelige informatie omzetten in gevoelige informatie.

Als laatste, maar daarom niet minder belangrijk, vereist Controle 7.10 dat organisaties een risicobeoordeling van beschadigde apparatuur waarin vertrouwelijke informatie wordt opgeslagen om te beslissen of de apparatuur moet worden vernietigd in plaats van gerepareerd.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/7.10 vervangt 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Er zijn vier belangrijke verschillen die moeten worden benadrukt:

Structurele veranderingen

Terwijl de versie uit 2013 er drie afzonderlijke bevatte controles op het beheer van media, verwijdering van media en fysieke mediaoverdracht combineert de 2022-versie deze drie bedieningselementen onder Controle 7.10.

Versie 2022 bevat vereisten voor het hergebruik van opslagmedia

In tegenstelling tot de versie uit 2013 die alleen inging op het veilig weggooien van opslagmedia, gaat de Versie 2022 ook in op het veilig hergebruiken van opslagmedia.

Versie 2013 bevat uitgebreidere vereisten voor de fysieke overdracht van opslagmedia

De versie van 2013 bracht uitgebreidere eisen met zich mee voor de fysieke overdracht van opslagmedia. De versie van 2013 bevatte bijvoorbeeld regels voor identiteitsverificatie voor koeriers en verpakkingsnormen.

Control 7.10 in de 2022-versie stelde daarentegen alleen dat organisaties zorgvuldig moeten handelen bij het kiezen van dienstverleners zoals koeriers.

Versie 2022 vereist een onderwerpspecifiek beleid op verwijderbare opslagmedia

Hoewel de versies van 2022 en 2013 grotendeels vergelijkbaar zijn wat betreft de vereisten voor verwijderbare opslagmedia, introduceert de versie van 2022 de vereiste om een onderwerpspecifiek beleid op te stellen voor verwijderbare opslagmedia. De versie uit 2013 voldeed daarentegen niet aan deze vereiste.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

De ISMS.online-platform maakt gebruik van een op risico's gebaseerde aanpak in combinatie met toonaangevende best practices en sjablonen om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd te identificeren en de controles die nodig zijn om deze risico's te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als uw compliancekosten systematisch verminderen.

Neem vandaag nog contact op met boek een demo.