Bescherming tegen fysieke en ecologische bedreigingen

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Uw organisatie beschermen tegen fysieke en omgevingsbedreigingen

Bedreigingen voor informatiemiddelen zijn niet louter digitaal: de kritieke fysieke infrastructuur van een organisatie waarin informatiemiddelen worden gehost, wordt ook blootgesteld aan omgevings- en fysieke bedreigingen die kunnen leiden tot verlies, vernietiging, diefstal en compromittering van informatiemiddelen en gevoelige gegevens.

Deze bedreigingen kunnen natuurlijke gebeurtenissen omvatten, zoals aardbevingen, overstromingen en bosbranden. Hiertoe kunnen ook door de mens veroorzaakte rampen behoren, zoals burgerlijke onrust en criminele activiteiten.

Controle 7.5 behandelt hoe organisaties risico's voor kritieke fysieke infrastructuur als gevolg van fysieke en ecologische bedreigingen kunnen beoordelen, identificeren en beperken.

Doel van de controle 7.5

Met Control 7.5 kunnen organisaties de mogelijke nadelige effecten van ecologische en fysieke bedreigingen en deze effecten te verzachten en/of te elimineren door passende maatregelen te nemen.

Attributen Controletabel 7.5

Controle 7.5 is een preventieve vorm van controle vereist dat organisaties de gevolgen elimineren en/of verzachten die waarschijnlijk voortkomen uit externe risico's zoals natuurrampen en door de mens veroorzaakte incidenten.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Fysieke bewaking	#Bescherming
	#Integriteit
	#Beschikbaarheid

Eigendom van zeggenschap 7.5

Controle 7.5 vereist dat organisaties dit doen een diepgaande risicoanalyse uitvoeren voordat met werkzaamheden op een fysieke locatie wordt begonnen, en om de nodige maatregelen te implementeren die in verhouding staan tot het geïdentificeerde risiconiveau.

Chief Security Officers moeten daarom verantwoordelijk zijn voor het creëren, beheren, implementeren en beoordelen van het hele proces.

Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Algemene richtlijnen voor naleving

Controle 7.5 specificeert een proces in drie stappen om risico’s als gevolg van fysieke en omgevingsbedreigingen te identificeren en te elimineren:

Stap 1: Voer een risicobeoordeling uit

Organisaties zouden dat moeten doen een risicoanalyse uitvoeren om potentiële fysieke en ecologische rampen te identificeren die zich op elk specifiek fysiek terrein kunnen voordoen en vervolgens de effecten te meten die waarschijnlijk zullen optreden als gevolg van de geïdentificeerde fysieke en ecologische bedreigingen.

Gezien het feit dat elk fysiek gebouw en elke infrastructuur daarin onderworpen zal zijn aan verschillende omgevingsomstandigheden en fysieke risicofactoren, zal het type dreiging en het geïdentificeerde risiconiveau variëren per gebouw en locatie.

Hoewel een pand bijvoorbeeld het meest kwetsbaar is voor natuurbranden, kan een ander pand zich in een gebied bevinden waar regelmatig aardbevingen voorkomen.

Een andere kritische vereiste die in controle 7.5 wordt gesteld, is dat deze risicobeoordeling moet worden uitgevoerd vóór de start van de activiteiten op een fysiek terrein.

Stap 2: Identificeer en implementeer controles

Op basis van het type bedreiging en het risiconiveau dat in de eerste stap is geïdentificeerd, moeten organisaties passende controles invoeren, waarbij rekening wordt gehouden met de waarschijnlijke gevolgen van de bedreigingen vanuit het milieu en de fysieke omgeving.

Ter illustratie geeft Controle 7.5 voorbeelden van controles die kunnen worden ingevoerd voor de volgende bedreigingen:

Fire: Organisaties moeten systemen inzetten om alarmen te activeren wanneer er brand wordt gedetecteerd of om brandblussystemen te activeren die opslagmedia en informatiesystemen tegen schade kunnen beschermen.

Overstroming: Er moeten systemen worden ingezet en geconfigureerd om overstromingen te detecteren in gebieden waar informatiebronnen zijn opgeslagen. Bovendien moeten gereedschappen zoals waterpompen gereed zijn voor gebruik in geval van overstromingen.

Elektrische pieken: Servers en kritisch informatiemanagementsystemen moeten worden onderhouden en beschermd tegen stroomuitval.

Explosieven en wapens: Organisaties zouden dat moeten doen willekeurige audits uitvoeren en inspecties van alle personen, voorwerpen en voertuigen die gebouwen binnenkomen waar kritieke infrastructuur aanwezig is.

Stap 3: Monitoring

Gezien het feit dat het soort bedreigingen en het risiconiveau in de loop van de tijd kunnen veranderen, moeten organisaties de risicobeoordelingen voortdurend monitoren en indien nodig de controles die zij hebben geïmplementeerd, heroverwegen.

Aanvullende begeleiding

Controle 7.5 somt vier specifieke overwegingen op waar organisaties rekening mee moeten houden.

Overleg met deskundigen

Elk specifiek type milieu- en fysieke bedreiging, of het nu gaat om giftig afval, een aardbeving of een brand, is uniek wat betreft de aard ervan, de risico's die het met zich meebrengt en de tegenmaatregelen die het vereist.

Daarom moeten organisaties deskundig advies inwinnen over hoe ze de risico’s die uit deze bedreigingen voortkomen, kunnen identificeren en/of beperken.

Keuze van locatie voor gebouwen

Rekening houden met de lokale topografie, waterstanden en tektonische bewegingen van de potentiële locatie voor gebouwen kan ertoe bijdragen dat risico's in een vroeg stadium worden geïdentificeerd en geëlimineerd.

Bovendien moeten organisaties rekening houden met de risico's van door de mens veroorzaakte rampen in het gekozen stedelijke gebied, zoals politieke onrust en criminele activiteiten.

Extra beveiligingslaag

Naast de specifieke geïmplementeerde controles, veilige informatieopslag Methoden zoals kluizen kunnen een extra beveiligingslaag toevoegen tegen rampen zoals brand en overstromingen.

Misdaadpreventie door middel van milieuontwerp

Controle 7.5 beveelt organisaties aan dit concept in overweging te nemen bij het implementeren van controles om de beveiliging van gebouwen te verbeteren. Deze methode kan worden gebruikt om stedelijke bedreigingen zoals criminele activiteiten, burgerlijke onrust en terrorisme te elimineren.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/7.5 replaces 27002:2013/(11.1.4)

Terwijl in de versie van 2013 werd beschreven hoe organisaties passende preventieve maatregelen tegen fysieke en ecologische bedreigingen moeten treffen, is de versie van 2022 veel uitgebreider in termen van specifieke nalevingsstappen die organisaties moeten nemen.

Over het geheel genomen zijn er twee belangrijke verschillen:

Versie 2022 biedt richtlijnen voor naleving

De versie uit 2013 bevatte geen richtlijnen over hoe organisaties risico's als gevolg van omgevings- en fysieke bedreigingen moesten identificeren en elimineren.

De 2022-versie beschrijft contractueel een proces dat uit drie stappen bestaat en dat organisaties moeten volgen, inclusief het uitvoeren van een risicobeoordeling.

De versie van 2022 raadt organisaties aan om een extra laag maatregelen te implementeren

In de aanvullende leidraad verwijst de versie uit 2022 naar maatregelen zoals het gebruik van kluizen en misdaadpreventie door middel van milieuontwerpconcepten die kunnen worden gebruikt om de bescherming tegen bedreigingen te verbeteren.

In de versie van 2013 kwamen dergelijke aanvullende maatregelen echter niet aan de orde.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Uw partner voor ISMS.online-platform biedt een reeks krachtige tools die de manier vereenvoudigen waarop u uw informatiebeveiligingsbeheersysteem (ISMS) kunt documenteren, implementeren, onderhouden en verbeteren en naleving van ISO 27002 kunt bereiken.

Het uitgebreide pakket aan tools biedt u één centrale plek waar u een op maat gemaakte set beleid en procedures kunt creëren die aansluiten bij uw wensen specifieke risico's en behoeften van de organisatie.

Neem vandaag nog contact op met boek een demo.