IT-apparatuur zoals servers, laptops, netwerkapparaten en printers zijn van cruciaal belang voor veel informatieverwerkingsactiviteiten, zoals de opslag, het gebruik en de overdracht van informatiemiddelen.
Als deze apparatuur echter niet wordt onderhouden waarbij rekening wordt gehouden met de productspecificaties en milieurisico's, kan de kwaliteit en prestatie ervan afnemen. Dit gebrek aan onderhoud kan resulteren in het in gevaar brengen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatiemiddelen opgeslagen op deze apparatuur.
Als een organisatie er bijvoorbeeld niet in slaagt regelmatig onderhoud aan serverhardware uit te voeren, herkent zij mogelijk niet dat de schijfruimte vol is. Dit kan resulteren in verlies van gegevens die naar of vanuit de server worden verzonden.
Bovendien kunnen werknemers of externe dienstverleners toegang krijgen tot IT-apparatuur als onderdeel van de onderhoudsprocedure en dit kan ook risico's met zich meebrengen voor de vertrouwelijkheid van gevoelige informatie.
Een externe onderhoudsdienstverlener kan bijvoorbeeld toegang krijgen tot gevoelige informatie die op laptops is opgeslagen of malware op apparaten installeren.
Controle 7.13 gaat over hoe organisaties passende procedures en maatregelen kunnen vaststellen en implementeren voor het juiste onderhoud van apparatuur, zodat de informatie-activa die op deze apparatuur zijn opgeslagen, worden niet aangetast.
Controle 7.13 stelt organisaties in staat de noodzakelijke technische maatregelen en procedures in te voeren om de juiste onderhoudsactiviteiten uit te voeren op apparatuur die wordt gebruikt om informatiemiddelen op te slaan.
Deze maatregelen en procedures bieden de zekerheid dat informatiemiddelen niet verloren gaan of beschadigd raken, en dat ze niet worden blootgesteld aan het risico van compromittering, zoals ongeoorloofde toegang.
Controle 7.13 is een preventief type controle dat vereist dat organisaties een proactieve benadering hanteren bij het onderhoud van apparatuur.
Het omvat het opsporen van risico's die kunnen ontstaan als gevolg van gebrekkig onderhoud, het vaststellen van onderhoudsprocedures voor apparatuur, waarbij rekening wordt gehouden met de specificaties van elke apparatuur, en het toepassen van passende controles die informatiemiddelen beschermen gehost op deze apparatuur tegen compromissen.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke bewaking #Vermogensbeheer | #Bescherming #Veerkracht |
Naleving van Controle 7.13 houdt in dat er een lijst met apparatuur wordt opgesteld, het uitvoeren van een risicoanalyse op basis van omgevingsfactoren en productspecificaties en het vaststellen en implementeren van geschikte procedures en maatregelen voor goed onderhoud.
Hoewel de rol van personen die dagelijks met deze apparatuur omgaan van cruciaal belang is, moet de informatiebeveiligingsmanager de verantwoordelijkheid dragen voor de naleving van Controle 7.13.
Controle 7.13 somt 11 specifieke aanbevelingen op die organisaties kunnen overwegen:
Controle 7.13 stelt dat het volgende als apparatuur wordt beschouwd en onder de reikwijdte van Controle 7.13 valt:
27002: 2022/7.13 vervangt 27002:2013/(11.2.4)
Vergeleken met de versie 2013 stelt de Control 7.13 in de versie 2022 uitgebreidere eisen. Waar de versie uit 2013 slechts zes specifieke eisen vermeldde, bevat de Control 7.13 11 eisen.
Controle 7.13 introduceert de vijf volgende vereisten, die niet aan bod kwamen in de versie van 2013:
In de Aanvullende Leidraad wordt in besturingselement 7.13 gedefinieerd wat onder de reikwijdte van 'Apparatuur' valt. In de versie van 2013 werd daarentegen niet verwezen naar de betekenis van 'Uitrusting'.
Met ISMS.Online kunt u:
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |