ISO 27002:2022, Controle 7.13 – Onderhoud van apparatuur

ISO 27002:2022 herziene controles

Boek een demo

gefocuste,groep,divers,werk,collega's,samen,een,vergadering

IT-apparatuur zoals servers, laptops, netwerkapparaten en printers zijn van cruciaal belang voor veel informatieverwerkingsactiviteiten, zoals de opslag, het gebruik en de overdracht van informatiemiddelen.

Als deze apparatuur echter niet wordt onderhouden waarbij rekening wordt gehouden met de productspecificaties en milieurisico's, kan de kwaliteit en prestatie ervan afnemen. Dit gebrek aan onderhoud kan resulteren in het in gevaar brengen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatiemiddelen opgeslagen op deze apparatuur.

Als een organisatie er bijvoorbeeld niet in slaagt regelmatig onderhoud aan serverhardware uit te voeren, herkent zij mogelijk niet dat de schijfruimte vol is. Dit kan resulteren in verlies van gegevens die naar of vanuit de server worden verzonden.

Bovendien kunnen werknemers of externe dienstverleners toegang krijgen tot IT-apparatuur als onderdeel van de onderhoudsprocedure en dit kan ook risico's met zich meebrengen voor de vertrouwelijkheid van gevoelige informatie.

Een externe onderhoudsdienstverlener kan bijvoorbeeld toegang krijgen tot gevoelige informatie die op laptops is opgeslagen of malware op apparaten installeren.

Controle 7.13 gaat over hoe organisaties passende procedures en maatregelen kunnen vaststellen en implementeren voor het juiste onderhoud van apparatuur, zodat de informatie-activa die op deze apparatuur zijn opgeslagen, worden niet aangetast.

Doel van de controle 7.13

Controle 7.13 stelt organisaties in staat de noodzakelijke technische maatregelen en procedures in te voeren om de juiste onderhoudsactiviteiten uit te voeren op apparatuur die wordt gebruikt om informatiemiddelen op te slaan.

Deze maatregelen en procedures bieden de zekerheid dat informatiemiddelen niet verloren gaan of beschadigd raken, en dat ze niet worden blootgesteld aan het risico van compromittering, zoals ongeoorloofde toegang.

Attributentabel

Controle 7.13 is een preventief type controle dat vereist dat organisaties een proactieve benadering hanteren bij het onderhoud van apparatuur.

Het omvat het opsporen van risico's die kunnen ontstaan ​​als gevolg van gebrekkig onderhoud, het vaststellen van onderhoudsprocedures voor apparatuur, waarbij rekening wordt gehouden met de specificaties van elke apparatuur, en het toepassen van passende controles die informatiemiddelen beschermen gehost op deze apparatuur tegen compromissen.

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid
#Integriteit
#Beschikbaarheid		#Beschermen#Fysieke bewaking
#Vermogensbeheer 		#Bescherming
#Veerkracht
Ga naar onderwerp
Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Eigendom van zeggenschap 7.13

Naleving van Controle 7.13 houdt in dat er een lijst met apparatuur wordt opgesteld, het uitvoeren van een risicoanalyse op basis van omgevingsfactoren en productspecificaties en het vaststellen en implementeren van geschikte procedures en maatregelen voor goed onderhoud.

Hoewel de rol van personen die dagelijks met deze apparatuur omgaan van cruciaal belang is, moet de informatiebeveiligingsmanager de verantwoordelijkheid dragen voor de naleving van Controle 7.13.

Algemene richtlijnen voor naleving

Controle 7.13 somt 11 specifieke aanbevelingen op die organisaties kunnen overwegen:

  1. Onderhoudsprocedures moeten voldoen aan de specificaties van de fabrikant van de apparatuur, zoals de aanbevolen onderhoudsfrequentie.

  2. Organisaties moeten een onderhoudsprogramma voor alle apparatuur opstellen en toepassen.

  3. Alleen bevoegd personeel of derden mogen onderhoudswerkzaamheden of reparaties aan apparatuur uitvoeren.

  4. Organisaties moeten een register opstellen en bijhouden van alle defecten aan apparatuur en fouten. Bovendien moeten in dit register ook alle onderhoudsactiviteiten aan de apparatuur worden vermeld.

  5. Organisaties moeten passende maatregelen treffen tijdens het uitvoeren van onderhoud, waarbij rekening moet worden gehouden met de vraag of het onderhoud wordt uitgevoerd door een medewerker of een externe dienstverlener. Bovendien moet het relevante personeel een geheimhoudingsovereenkomst ondertekenen.

  6. Het personeel dat de onderhoudswerkzaamheden uitvoert, moet te allen tijde onder toezicht staan.

  7. Onderhoudswerkzaamheden op afstand moeten onderworpen zijn aan strikte toegangs- en autorisatieprocedures.

  8. Als apparatuur uit de gebouwen wordt gehaald voor onderhoudswerkzaamheden, moeten organisaties passende beveiligingsmaatregelen treffen in overeenstemming met Controle 7.9.

  9. Organisaties dienen zich te houden aan alle eisen die verzekeraars stellen aan het uitvoeren van onderhoud.

  10. Organisaties moeten apparatuur die onderhoudswerkzaamheden heeft ondergaan inspecteren om er zeker van te zijn dat er niet mee wordt geknoeid en dat deze naar behoren functioneert.

  11. Als de apparatuur wordt weggegooid of hergebruikt, moeten organisaties geschikte maatregelen en procedures vaststellen en implementeren, rekening houdend met de vereisten uiteengezet in Beheersing 7.14.

Aanvullend richtsnoer voor controle 7.14

Controle 7.13 stelt dat het volgende als apparatuur wordt beschouwd en onder de reikwijdte van Controle 7.13 valt:

  1. Technische componenten van informatieverwerkingsfaciliteiten

  2. Batterijen

  3. Brandblussers

  4. Liften

  5. Stroomomzetters

  6. Airconditioners

  7. Soortgelijke activa

Krijg een voorsprong
op ISO 27002

De enige naleving
oplossing die u nodig heeft
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002: 2022/7.13 vervangt 27002:2013/(11.2.4)

De 2022-versie bevat uitgebreidere vereisten

Vergeleken met de versie 2013 stelt de Control 7.13 in de versie 2022 uitgebreidere eisen. Waar de versie uit 2013 slechts zes specifieke eisen vermeldde, bevat de Control 7.13 11 eisen.

Controle 7.13 introduceert de vijf volgende vereisten, die niet aan bod kwamen in de versie van 2013:

  • Organisaties moeten een onderhoudsprogramma voor alle apparatuur opstellen en toepassen.

  • Het personeel dat de onderhoudswerkzaamheden uitvoert, moet te allen tijde onder toezicht staan.

  • Onderhoudswerkzaamheden op afstand moeten onderworpen zijn aan strikte toegangs- en autorisatieprocedures.

  • Als de apparatuur wordt weggegooid of hergebruikt, moeten organisaties passende maatregelen en procedures vaststellen en implementeren in overeenstemming met Controle 7.14.

  • Als apparatuur uit de gebouwen wordt gehaald voor onderhoudswerkzaamheden, moeten organisaties passende beveiligingsmaatregelen treffen in overeenstemming met Controle 7.9.

De versie van 2022 definieert 'apparatuur'

In de Aanvullende Leidraad wordt in besturingselement 7.13 gedefinieerd wat onder de reikwijdte van 'Apparatuur' valt. In de versie van 2013 werd daarentegen niet verwezen naar de betekenis van 'Uitrusting'.

Hoe ISMS.online helpt

Met ISMS.Online kunt u:

  • Documenteer uw processen. Met deze intuïtieve interface kunt u uw processen documenteren zonder software op uw computer of netwerk te installeren.

  • Automatiseer uw risicobeoordelingsproces.

  • Toon naleving eenvoudig aan met online rapporten en checklists.

  • Houd de voortgang bij terwijl u aan certificering werkt.

  • ISMS.Online biedt een volledig scala aan functies om organisaties en bedrijven te helpen bij het bereiken van naleving van de industriestandaard ISO 27001 en/of ISO 27002 ISMS.

Neem vandaag nog contact op met boek een demo.

Ben je klaar voor
de nieuwe ISO 27002

Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NewBedreigingsintelligentie
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.30NewICT gereed voor bedrijfscontinuïteit
7.4NewFysieke beveiligingsmonitoring
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.16NewMonitoring activiteiten
8.23NewWeb filtering
8.28NewVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NewBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.12 08.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NewICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NewFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NewMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NewWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NewVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests
Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie