Wanneer apparaten met informatiemiddelen uit de gebouwen van een organisatie worden gehaald, worden ze blootgesteld aan hogere risico's op schade, verlies, vernietiging, diefstal of compromittering.
Dit is zo omdat fysieke beveiligingscontroles geïmplementeerd binnen de faciliteiten van een organisatie zal niet effectief zijn, waardoor de activa die buiten de locatie worden gebracht kwetsbaar blijven voor bedreigingen zoals fysieke risico's en ongeoorloofde toegang door kwaadwillende partijen.
Werknemers die extern werken, kunnen bijvoorbeeld bedrijfscomputers met gevoelige informatie meenemen uit bedrijfsruimten, in een koffiehuis of hotellobby gaan werken, verbinding maken met een onveilig openbaar wifi-netwerk en hun apparaten onbeheerd achterlaten. Deze zijn allemaal aanwezig risico’s voor de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid van informatie die op deze apparaten wordt gehost.
Daarom moeten organisaties ervoor zorgen dat apparaten die buiten de locatie worden meegenomen, veilig worden bewaard.
Controle 7.9 adressen hoe organisaties de beveiliging kunnen handhaven van externe apparaten waarop informatie wordt gehost door het opzetten en implementeren van passende controles en procedures.
Met Control 7.9 kunnen organisaties dit doen het handhaven van de beveiliging van apparatuur die informatiemiddelen bevat door twee specifieke risico’s te voorkomen:
Controle 7.9 heeft een preventief karakter. Het stelt organisaties in staat preventief de juiste controles en procedures te implementeren, zodat apparaten die buiten het terrein van de organisatie worden verwijderd, hetzelfde beschermingsniveau krijgen als de apparaten die zich ter plaatse bevinden.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke bewaking #Vermogensbeheer | #Bescherming |
Controle 7.9 vereist dat organisaties procedures en controles vaststellen en toepassen die betrekking hebben op alle apparaten die eigendom zijn van of gebruikt worden namens de organisatie. Bovendien is het opstellen van een activa-inventaris en de goedkeuring door het hogere management van het gebruik van persoonlijke apparaten essentieel voor de effectieve bescherming van externe apparaten.
Daarom moet de informatiebeveiligingsmanager overleg plegen met het management en de relevante eigenaren van bedrijfsmiddelen en moet hij verantwoordelijk zijn voor het opstellen, implementeren en onderhouden van procedures en maatregelen om de veiligheid te handhaven van apparaten die buiten het bedrijfsterrein worden verwijderd.
Controle 7.9 somt zes vereisten op waaraan organisaties zich moeten houden bij het ontwerpen en implementeren van maatregelen en richtlijnen voor de bescherming van activa die off-site worden meegenomen:
Controle 7.9 schrijft ook eisen voor de bescherming van apparatuur die permanent buiten bedrijfsruimten is geïnstalleerd.
Deze apparatuur kan antennes en geldautomaten omvatten.
Gezien het feit dat deze apparatuur onderhevig kan zijn aan verhoogde risico's op schade en verlies, vereist Controle 7.9 dat organisaties rekening houden met het volgende bij het beschermen van deze externe apparatuur:
Bovendien beveelt Controle 7.9 aan dat organisaties controles 6.7 en 8.1 in overweging nemen bij het definiëren en implementeren van maatregelen om apparaten en apparatuur te beschermen.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
27002:2022/ 7.9 vervangt 27002:2013/(11.2.6)
Er zijn drie belangrijke verschillen die moeten worden benadrukt:
Vergeleken met de versie uit 2013, Controle 7.9 in de 2022-versie introduceert de volgende twee vereisten:
In tegenstelling tot de versie uit 2013 bevat Control 7.9 in de versie uit 2022 aparte richtlijnen over de bescherming van apparatuur die permanent op een externe plaats is geïnstalleerd.
Denk hierbij aan antennes en geldautomaten.
In de versie uit 2013 werd expliciet gesteld dat organisaties werknemers mogen verbieden om op afstand te werken als dit passend is voor het geïdentificeerde risiconiveau. In de versie uit 2022 wordt echter niet over een dergelijke maatregel gesproken.
U kunt ISMS.online gebruiken om beheer uw ISO 27002-implementatie, omdat het specifiek is ontworpen om een bedrijf te helpen bij het implementeren van zijn informatiebeveiligingsbeheersysteem (ISMS) om te voldoen aan de eisen van ISO 27002.
Het platform maakt gebruik van een op risico's gebaseerde aanpak in combinatie met toonaangevende best practices en sjablonen om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd te identificeren en de controles die nodig zijn om deze risico's te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als uw compliancekosten systematisch verminderen.
Neem vandaag nog contact op met boek een demo.
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |