ISO 27002, Controle 7.13, Onderhoud van apparatuur

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Zorgen voor veilig en conform apparatuuronderhoud onder ISO 27002-controle 7.13

IT-apparatuur zoals servers, laptops, netwerkapparaten en printers zijn van cruciaal belang voor veel informatieverwerkingsactiviteiten, zoals de opslag, het gebruik en de overdracht van informatiemiddelen.

Als deze apparatuur echter niet wordt onderhouden waarbij rekening wordt gehouden met de productspecificaties en milieurisico's, kan de kwaliteit en prestatie ervan afnemen. Dit gebrek aan onderhoud kan resulteren in het in gevaar brengen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatiemiddelen opgeslagen op deze apparatuur.

Als een organisatie er bijvoorbeeld niet in slaagt regelmatig onderhoud aan serverhardware uit te voeren, herkent zij mogelijk niet dat de schijfruimte vol is. Dit kan resulteren in verlies van gegevens die naar of vanuit de server worden verzonden.

Bovendien kunnen werknemers of externe dienstverleners toegang krijgen tot IT-apparatuur als onderdeel van de onderhoudsprocedure en dit kan ook risico's met zich meebrengen voor de vertrouwelijkheid van gevoelige informatie.

Een externe onderhoudsdienstverlener kan bijvoorbeeld toegang krijgen tot gevoelige informatie die op laptops is opgeslagen of malware op apparaten installeren.

Controle 7.13 gaat over hoe organisaties passende procedures en maatregelen kunnen vaststellen en implementeren voor het juiste onderhoud van apparatuur, zodat de informatie-activa die op deze apparatuur zijn opgeslagen, worden niet aangetast.

Doel van de controle 7.13

Controle 7.13 stelt organisaties in staat de noodzakelijke technische maatregelen en procedures in te voeren om de juiste onderhoudsactiviteiten uit te voeren op apparatuur die wordt gebruikt om informatiemiddelen op te slaan.

Deze maatregelen en procedures bieden de zekerheid dat informatiemiddelen niet verloren gaan of beschadigd raken, en dat ze niet worden blootgesteld aan het risico van compromittering, zoals ongeoorloofde toegang.

Attributen Controletabel 7.13

Controle 7.13 is een preventief type controle dat vereist dat organisaties een proactieve benadering hanteren bij het onderhoud van apparatuur.

Het omvat het opsporen van risico's die kunnen ontstaan als gevolg van gebrekkig onderhoud, het vaststellen van onderhoudsprocedures voor apparatuur, waarbij rekening wordt gehouden met de specificaties van elke apparatuur, en het toepassen van passende controles die informatiemiddelen beschermen gehost op deze apparatuur tegen compromissen.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Fysieke bewaking	#Bescherming
	#Integriteit		#Vermogensbeheer	#Veerkracht
	#Beschikbaarheid

Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Eigendom van zeggenschap 7.13

Naleving van Controle 7.13 houdt in dat er een lijst met apparatuur wordt opgesteld, het uitvoeren van een risicoanalyse op basis van omgevingsfactoren en productspecificaties en het vaststellen en implementeren van geschikte procedures en maatregelen voor goed onderhoud.

Hoewel de rol van personen die dagelijks met deze apparatuur omgaan van cruciaal belang is, moet de informatiebeveiligingsmanager de verantwoordelijkheid dragen voor de naleving van Controle 7.13.

Algemene richtlijnen voor naleving

Controle 7.13 somt 11 specifieke aanbevelingen op die organisaties kunnen overwegen:

Onderhoudsprocedures moeten voldoen aan de specificaties van de fabrikant van de apparatuur, zoals de aanbevolen onderhoudsfrequentie.
Organisaties moeten een onderhoudsprogramma voor alle apparatuur opstellen en toepassen.
Alleen bevoegd personeel of derden mogen onderhoudswerkzaamheden of reparaties aan apparatuur uitvoeren.
Organisaties moeten een register opstellen en bijhouden van alle defecten aan apparatuur en fouten. Bovendien moeten in dit register ook alle onderhoudsactiviteiten aan de apparatuur worden vermeld.
Organisaties moeten passende maatregelen treffen tijdens het uitvoeren van onderhoud, waarbij rekening moet worden gehouden met de vraag of het onderhoud wordt uitgevoerd door een medewerker of een externe dienstverlener. Bovendien moet het relevante personeel een geheimhoudingsovereenkomst ondertekenen.
Het personeel dat de onderhoudswerkzaamheden uitvoert, moet te allen tijde onder toezicht staan.
Onderhoudswerkzaamheden op afstand moeten onderworpen zijn aan strikte toegangs- en autorisatieprocedures.
Als apparatuur uit de gebouwen wordt gehaald voor onderhoudswerkzaamheden, moeten organisaties passende beveiligingsmaatregelen treffen in overeenstemming met Controle 7.9.
Organisaties dienen zich te houden aan alle eisen die verzekeraars stellen aan het uitvoeren van onderhoud.
Organisaties moeten apparatuur die onderhoudswerkzaamheden heeft ondergaan inspecteren om er zeker van te zijn dat er niet mee wordt geknoeid en dat deze naar behoren functioneert.
Als de apparatuur wordt weggegooid of hergebruikt, moeten organisaties geschikte maatregelen en procedures vaststellen en implementeren, rekening houdend met de vereisten uiteengezet in Beheersing 7.14.

Aanvullend richtsnoer voor controle 7.14

Controle 7.13 stelt dat het volgende als apparatuur wordt beschouwd en onder de reikwijdte van Controle 7.13 valt:

Technische componenten van informatieverwerkingsfaciliteiten
Batterijen
Brandblussers
Liften
Stroomomzetters
Airconditioners
Soortgelijke activa

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002: 2022/7.13 vervangt 27002:2013/(11.2.4)

De 2022-versie bevat uitgebreidere vereisten

Vergeleken met de versie 2013 stelt de Control 7.13 in de versie 2022 uitgebreidere eisen. Waar de versie uit 2013 slechts zes specifieke eisen vermeldde, bevat de Control 7.13 11 eisen.

Controle 7.13 introduceert de vijf volgende vereisten, die niet aan bod kwamen in de versie van 2013:

Organisaties moeten een onderhoudsprogramma voor alle apparatuur opstellen en toepassen.
Het personeel dat de onderhoudswerkzaamheden uitvoert, moet te allen tijde onder toezicht staan.
Onderhoudswerkzaamheden op afstand moeten onderworpen zijn aan strikte toegangs- en autorisatieprocedures.
Als de apparatuur wordt weggegooid of hergebruikt, moeten organisaties passende maatregelen en procedures vaststellen en implementeren in overeenstemming met Controle 7.14.
Als apparatuur uit de gebouwen wordt gehaald voor onderhoudswerkzaamheden, moeten organisaties passende beveiligingsmaatregelen treffen in overeenstemming met Controle 7.9.

De versie van 2022 definieert 'apparatuur'

In de Aanvullende Leidraad wordt in besturingselement 7.13 gedefinieerd wat onder de reikwijdte van 'Apparatuur' valt. In de versie van 2013 werd daarentegen niet verwezen naar de betekenis van 'Uitrusting'.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Met ISMS.Online kunt u:

Documenteer uw processen. Met deze intuïtieve interface kunt u uw processen documenteren zonder software op uw computer of netwerk te installeren.
Automatiseer uw risicobeoordelingsproces.
Toon naleving eenvoudig aan met online rapporten en checklists.
Houd de voortgang bij terwijl u aan certificering werkt.
ISMS.Online biedt een volledig scala aan functies om organisaties en bedrijven te helpen bij het bereiken van naleving van de industriestandaard ISO 27001 en/of ISO 27002 ISMS.

Neem vandaag nog contact op met boek een demo.