Terwijl de verschuiving naar werken op afstand en het toenemende gebruik van mobiele apparaten de productiviteit van werknemers verhogen en organisaties geld besparen, zijn eindpuntapparaten van gebruikers, zoals laptops, mobiele telefoons en tablets, kwetsbaar voor cyberdreigingen. Dit komt omdat cybercriminelen deze apparaten vaak misbruiken om winst te maken ongeoorloofde toegang tot bedrijfsnetwerken en het in gevaar brengen van informatiemiddelen.
Cybercriminelen kunnen bijvoorbeeld werknemers aanvallen met een phishing-aanval, werknemers overhalen om een malwarebijlage te downloaden en vervolgens dit met malware geïnfecteerde gebruikerseindpuntapparaat gebruiken om de malware over het hele bedrijfsnetwerk te verspreiden. Deze aanval kan resulteren in het verlies van beschikbaarheid, integriteit of vertrouwelijkheid van informatiemiddelen.
Volgens een klanttevredenheid Uit het onderzoek onder 700 IT-professionals bleek dat ongeveer 70% van de organisaties in 2020 te maken kreeg met het in gevaar brengen van informatiemiddelen en de IT-infrastructuur als gevolg van een apparaatgerelateerde aanval op eindpuntgebruikers.
Controle 8.1 behandelt hoe organisaties onderwerpspecifiek beleid, procedures en technische maatregelen kunnen vaststellen, onderhouden en implementeren om ervoor te zorgen dat informatiemiddelen die op eindpuntapparaten van gebruikers worden gehost of verwerkt, niet in gevaar komen, verloren gaan of worden gestolen.
Controle 8.1 stelt organisaties in staat de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen die zich bevinden op of toegankelijk zijn via apparaten van eindpuntgebruikers te beschermen en te behouden door het invoeren van geschikt beleid, procedures en controles.
Controle 8.1 heeft een preventief karakter. Het vereist dat organisaties beleid, procedures en technische maatregelen implementeren die van toepassing zijn op alle gebruikerseindpuntapparaten die informatiemiddelen hosten of verwerken, zodat deze niet worden aangetast, verloren gaan of worden gestolen.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Vermogensbeheer #Informatiebescherming | #Bescherming |
Gezien het feit dat de naleving van Controle 8.1 het opstellen, onderhouden en naleven van organisatiebreed onderwerpspecifiek beleid, procedures en technische maatregelen inhoudt, is de chef De informatiebeveiligingsfunctionaris moet de verantwoordelijkheid dragen voor de naleving ervan met de vereisten van Controle 8.1.
Controle 8.1 vereist dat organisaties een onderwerpspecifiek beleid opstellen dat bepaalt hoe gebruikerseindpuntapparaten veilig moeten worden geconfigureerd en hoe deze apparaten door gebruikers moeten worden behandeld.
Al het personeel moet over dit beleid worden geïnformeerd en het beleid moet het volgende omvatten:
Bovendien merkt de Algemene Richtlijn op dat organisaties moeten overwegen om de opslag van gevoelige informatie op eindpuntapparaten van gebruikers te verbieden door technische controles te implementeren.
Deze technische controles kunnen het uitschakelen van lokale opslagfuncties zoals SD-kaarten omvatten.
Bij het in de praktijk brengen van deze aanbevelingen moeten organisaties hun toevlucht nemen tot Configuratiemanagement zoals uiteengezet in Controle 8.9 en gebruik maken van geautomatiseerde tools.
Al het personeel moet worden geïnformeerd over de beveiligingsmaatregelen voor eindpuntapparaten van gebruikers en de procedures waaraan zij zich moeten houden. Bovendien zouden ze dat ook moeten zijn bewust gemaakt van hun verantwoordelijkheden voor het toepassen van deze maatregelen en procedures.
Organisaties moeten hun personeel instrueren om de volgende regels en procedures na te leven:
Bovendien wordt organisaties geadviseerd om een speciale procedure in te stellen voor verlies of diefstal van eindpuntapparaten van gebruikers. Bij het opstellen van deze procedure moet rekening worden gehouden met wettelijke, contractuele en veiligheidseisen.
Hoewel het toestaan van personeel om hun eigen persoonlijke apparaten te gebruiken voor werkgerelateerde doeleinden organisaties geld bespaart, stelt het gevoelige informatiemiddelen bloot aan nieuwe risico's.
Controle 8.1 somt vijf aanbevelingen op die organisaties in overweging moeten nemen als ze werknemers toestaan hun eigen apparaten te gebruiken voor werkgerelateerde taken:
Organisaties moeten procedures ontwikkelen en onderhouden voor:
Wanneer eindpuntapparaten van gebruikers buiten de bedrijfsruimten van de organisatie worden verwijderd, kunnen informatiemiddelen worden blootgesteld aan verhoogde risico's op compromittering. Daarom moeten organisaties mogelijk verschillende controles instellen voor apparaten die buiten gebouwen worden gebruikt.
Bovendien waarschuwt Control 8.1 organisaties voor verlies van informatie als gevolg van twee risico's die verband houden met draadloze verbindingen:
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
27002:2022/8.1 vervangt 27002:2013/(6.2.1 en 12.2.8)
In tegenstelling tot de 2022-versie die gebruikerseindpuntapparaten onder één Control (8.1) adresseert, bevatte de 2013-versie twee afzonderlijke bedieningselementen: Beleid voor mobiele apparaten in Control 6.2.1 en Onbeheerde gebruikersapparatuur in Control 11.2.8.
Bovendien, terwijl Controle 8.1 in de versie van 2022 van toepassing is op alle eindpuntapparaten van gebruikers, zoals laptops, tablets en mobiele telefoons, verwees de versie van 2013 alleen naar de mobiele apparaten.
Hoewel beide versies grotendeels vergelijkbaar zijn wat betreft de vereisten voor gebruikersverantwoordelijkheid, bevat de versie 2022 één aanvullende vereiste:
Vergeleken met de versie 2013 introduceert control 8.1 in de versie 2022 drie nieuwe vereisten voor het gebruik van privé-apparaten van personeel (BYOD):
Net als bij de versie van 2013 vereist de versie van 2022 ook dat organisaties een onderwerpspecifiek beleid hanteren op eindpuntapparaten van gebruikers.
De besturing 8.1 in de 2022-versie is echter uitgebreider omdat deze drie nieuwe elementen bevat die moeten worden opgenomen:
ISMS.Online is de toonaangevende ISO 27002-managementsysteemsoftware die de naleving ervan ondersteunt ISO 27002 en helpt bedrijven hun beveiligingsbeleid op elkaar af te stemmen en procedures met de standaard.
Het cloudgebaseerde platform biedt een complete set tools om organisaties te helpen bij het opzetten van een informatiebeveiligingsbeheersysteem (ISMS) volgens ISO 27002.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |