ISO 27002:2022, Controle 8.1 – Gebruikerseindpuntapparaten

ISO 27002:2022 herziene controles

Boek een demo

vrouw, met behulp van,laptop,binnen.close-up,hand

Terwijl de verschuiving naar werken op afstand en het toenemende gebruik van mobiele apparaten de productiviteit van werknemers verhogen en organisaties geld besparen, zijn eindpuntapparaten van gebruikers, zoals laptops, mobiele telefoons en tablets, kwetsbaar voor cyberdreigingen. Dit komt omdat cybercriminelen deze apparaten vaak misbruiken om winst te maken ongeoorloofde toegang tot bedrijfsnetwerken en het in gevaar brengen van informatiemiddelen.

Cybercriminelen kunnen bijvoorbeeld werknemers aanvallen met een phishing-aanval, werknemers overhalen om een ​​malwarebijlage te downloaden en vervolgens dit met malware geïnfecteerde gebruikerseindpuntapparaat gebruiken om de malware over het hele bedrijfsnetwerk te verspreiden. Deze aanval kan resulteren in het verlies van beschikbaarheid, integriteit of vertrouwelijkheid van informatiemiddelen.

Volgens een klanttevredenheid Uit het onderzoek onder 700 IT-professionals bleek dat ongeveer 70% van de organisaties in 2020 te maken kreeg met het in gevaar brengen van informatiemiddelen en de IT-infrastructuur als gevolg van een apparaatgerelateerde aanval op eindpuntgebruikers.

Controle 8.1 behandelt hoe organisaties onderwerpspecifiek beleid, procedures en technische maatregelen kunnen vaststellen, onderhouden en implementeren om ervoor te zorgen dat informatiemiddelen die op eindpuntapparaten van gebruikers worden gehost of verwerkt, niet in gevaar komen, verloren gaan of worden gestolen.

Doel van de controle 8.1

Controle 8.1 stelt organisaties in staat de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen die zich bevinden op of toegankelijk zijn via apparaten van eindpuntgebruikers te beschermen en te behouden door het invoeren van geschikt beleid, procedures en controles.

Attributentabel

Controle 8.1 heeft een preventief karakter. Het vereist dat organisaties beleid, procedures en technische maatregelen implementeren die van toepassing zijn op alle gebruikerseindpuntapparaten die informatiemiddelen hosten of verwerken, zodat deze niet worden aangetast, verloren gaan of worden gestolen.

controle Type Eigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief #Vertrouwelijkheid
#Integriteit
#Beschikbaarheid		#Beschermen #Vermogensbeheer
#Informatiebescherming		#Bescherming
Ga naar onderwerp
Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Eigendom van zeggenschap 8.1

Gezien het feit dat de naleving van Controle 8.1 het opstellen, onderhouden en naleven van organisatiebreed onderwerpspecifiek beleid, procedures en technische maatregelen inhoudt, is de chef De informatiebeveiligingsfunctionaris moet de verantwoordelijkheid dragen voor de naleving ervan met de vereisten van Controle 8.1.

Algemene richtlijnen voor naleving

Controle 8.1 vereist dat organisaties een onderwerpspecifiek beleid opstellen dat bepaalt hoe gebruikerseindpuntapparaten veilig moeten worden geconfigureerd en hoe deze apparaten door gebruikers moeten worden behandeld.

Al het personeel moet over dit beleid worden geïnformeerd en het beleid moet het volgende omvatten:

  • Welk type informatie, met name op welk classificatieniveau, kan worden verwerkt, opgeslagen of gebruikt op eindpuntapparaten van gebruikers.

  • Hoe de apparaten moeten worden geregistreerd.

  • Vereisten voor de fysieke bescherming van apparaten.

  • Beperkingen op de installatie van softwareprogramma's op apparaten.

  • Regels over de installatie van software op de apparaten en over software-updates.

  • Regels over hoe de eindpuntapparaten van de gebruiker kunnen worden verbonden met openbare netwerken of met netwerken op andere externe locaties.

  • Toegangscontroles.

  • Versleuteling van de opslagmedia die informatiemiddelen hosten.

  • Hoe apparaten worden beschermd tegen malware-aanvallen.

  • Hoe apparaten kunnen worden uitgeschakeld of vergrendeld. Hoe informatie op de apparaten op afstand kan worden gewist.

  • Back-upmethoden en -procedures.

  • Regels over het gebruik van webapplicaties en diensten.

  • Analyse van het gedrag van eindgebruikers.

  • Hoe verwijderbare opslagmedia zoals USB-drives kunnen worden gebruikt en hoe fysieke poorten zoals USB-poorten kunnen worden uitgeschakeld.

  • Hoe Segregatiemogelijkheden kunnen worden gebruikt om de informatie van de organisatie te scheiden activa van andere activa die op het gebruikersapparaat zijn opgeslagen.

Bovendien merkt de Algemene Richtlijn op dat organisaties moeten overwegen om de opslag van gevoelige informatie op eindpuntapparaten van gebruikers te verbieden door technische controles te implementeren.

Deze technische controles kunnen het uitschakelen van lokale opslagfuncties zoals SD-kaarten omvatten.

Bij het in de praktijk brengen van deze aanbevelingen moeten organisaties hun toevlucht nemen tot Configuratiemanagement zoals uiteengezet in Controle 8.9 en gebruik maken van geautomatiseerde tools.

Aanvullend richtsnoer over de verantwoordelijkheid van gebruikers

Al het personeel moet worden geïnformeerd over de beveiligingsmaatregelen voor eindpuntapparaten van gebruikers en de procedures waaraan zij zich moeten houden. Bovendien zouden ze dat ook moeten zijn bewust gemaakt van hun verantwoordelijkheden voor het toepassen van deze maatregelen en procedures.

Organisaties moeten hun personeel instrueren om de volgende regels en procedures na te leven:

  • Wanneer een dienst niet langer nodig is of wanneer een sessie eindigt, moeten gebruikers zich afmelden bij de sessie en de diensten beëindigen.

  • Personeel mag hun apparaten niet onbeheerd achterlaten. Wanneer apparaten niet in gebruik zijn, moet het personeel de apparaten onderhouden beveiliging van de apparaten tegen ongeoorloofde toegang of gebruik door fysieke controles uit te voeren zoals sleutelsloten en door technische controles zoals robuuste wachtwoorden.

  • Personeel moet extra voorzichtig zijn wanneer zij eindpuntapparaten gebruiken die gevoelige informatie bevatten in onveilige openbare ruimtes.

  • Eindpuntapparaten van gebruikers moeten worden beschermd tegen diefstal, vooral in risicovolle ruimtes zoals hotelkamers, vergaderzalen of openbaar vervoer.

Bovendien wordt organisaties geadviseerd om een ​​speciale procedure in te stellen voor verlies of diefstal van eindpuntapparaten van gebruikers. Bij het opstellen van deze procedure moet rekening worden gehouden met wettelijke, contractuele en veiligheidseisen.

Krijg een voorsprong
op ISO 27002

De enige naleving
oplossing die u nodig heeft
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Aanvullende richtlijnen voor het gebruik van persoonlijke apparaten (BYOD)

Hoewel het toestaan ​​van personeel om hun eigen persoonlijke apparaten te gebruiken voor werkgerelateerde doeleinden organisaties geld bespaart, stelt het gevoelige informatiemiddelen bloot aan nieuwe risico's.

Controle 8.1 somt vijf aanbevelingen op die organisaties in overweging moeten nemen als ze werknemers toestaan ​​hun eigen apparaten te gebruiken voor werkgerelateerde taken:

  1. Er moeten technische maatregelen worden genomen, zoals softwaretools, om het persoonlijke en zakelijke gebruik van de apparaten te scheiden, zodat de informatie van de organisatie wordt beschermd.

  2. Het personeel mag hun eigen apparaat alleen gebruiken nadat zij akkoord zijn gegaan met het volgende:

    • Het personeel erkent zijn plicht om apparaten fysiek te beschermen en de noodzakelijke software-updates uit te voeren.

    • Het personeel gaat ermee akkoord geen enkel eigendom van de informatiemiddelen van de organisatie te claimen.

    • Het personeel gaat ermee akkoord dat de informatie op het apparaat op afstand kan worden verwijderd als het apparaat verloren of gestolen is, onder voorbehoud van: wettelijke vereisten voor persoonsgegevens.
  3. Vaststelling van beleid inzake de eigendom van intellectuele-eigendomsrechten die zijn gecreëerd via het gebruik van eindpuntapparaten van gebruikers.

  4. Hoe toegang wordt verkregen tot de privé-apparaten van personeel, rekening houdend met de wettelijke beperkingen op dergelijke toegang.

  5. Het toestaan ​​van personeel om hun privé-apparaten te gebruiken kan leiden tot wettelijke aansprakelijkheid als gevolg van het gebruik van software van derden op deze apparaten. Organisaties moeten rekening houden met de softwarelicentieovereenkomsten die zij met hun leveranciers hebben.

Aanvullende richtlijnen voor draadloze verbindingen

Organisaties moeten procedures ontwikkelen en onderhouden voor:

  • Hoe draadloze verbindingen op de apparaten moeten worden geconfigureerd.

  • Hoe draadloze of bekabelde verbindingen met voldoende bandbreedte zullen worden gebruikt naleving van onderwerpspecifiek beleid.

Aanvullend richtsnoer voor controle 8.1

Wanneer eindpuntapparaten van gebruikers buiten de bedrijfsruimten van de organisatie worden verwijderd, kunnen informatiemiddelen worden blootgesteld aan verhoogde risico's op compromittering. Daarom moeten organisaties mogelijk verschillende controles instellen voor apparaten die buiten gebouwen worden gebruikt.

Bovendien waarschuwt Control 8.1 organisaties voor verlies van informatie als gevolg van twee risico's die verband houden met draadloze verbindingen:

  • Draadloze verbindingen met een lage bandbreedte kunnen leiden tot het mislukken van de gegevensback-up.

  • Eindpuntapparaten van gebruikers kunnen af ​​en toe de verbinding met het draadloze netwerk verliezen en geplande back-ups kunnen mislukken.

Ben je klaar voor
de nieuwe ISO 27002

Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.1 vervangt 27002:2013/(6.2.1 en 12.2.8)

Structurele verschillen

In tegenstelling tot de 2022-versie die gebruikerseindpuntapparaten onder één Control (8.1) adresseert, bevatte de 2013-versie twee afzonderlijke bedieningselementen: Beleid voor mobiele apparaten in Control 6.2.1 en Onbeheerde gebruikersapparatuur in Control 11.2.8.

Bovendien, terwijl Controle 8.1 in de versie van 2022 van toepassing is op alle eindpuntapparaten van gebruikers, zoals laptops, tablets en mobiele telefoons, verwees de versie van 2013 alleen naar de mobiele apparaten.

Versie 2022 schrijft aanvullende vereisten voor gebruikersverantwoordelijkheid voor

Hoewel beide versies grotendeels vergelijkbaar zijn wat betreft de vereisten voor gebruikersverantwoordelijkheid, bevat de versie 2022 één aanvullende vereiste:

  • Personeel moet extra voorzichtig zijn wanneer zij eindpuntapparaten gebruiken die gevoelige informatie bevatten in onveilige openbare ruimtes.

De versie van 2022 is uitgebreider op het gebied van BYOD

Vergeleken met de versie 2013 introduceert control 8.1 in de versie 2022 drie nieuwe vereisten voor het gebruik van privé-apparaten van personeel (BYOD):

  • Vaststelling van beleid inzake de eigendom van intellectuele-eigendomsrechten die zijn gecreëerd via het gebruik van eindpuntapparaten van gebruikers.

  • Hoe toegang wordt verkregen tot de privé-apparaten van personeel, rekening houdend met de wettelijke beperkingen op dergelijke toegang.

  • Het toestaan ​​van personeel om hun privé-apparaten te gebruiken kan leiden tot wettelijke aansprakelijkheid als gevolg van het gebruik van software van derden op deze apparaten. Organisaties moeten rekening houden met de softwarelicentieovereenkomsten die zij met hun leveranciers hebben.

Versie 2022 vereist een gedetailleerder onderwerpspecifiek beleid

Net als bij de versie van 2013 vereist de versie van 2022 ook dat organisaties een onderwerpspecifiek beleid hanteren op eindpuntapparaten van gebruikers.

De besturing 8.1 in de 2022-versie is echter uitgebreider omdat deze drie nieuwe elementen bevat die moeten worden opgenomen:

  1. Analyse van het gedrag van eindgebruikers.
  2. Hoe verwijderbare apparaten zoals USB-drives kunnen worden gebruikt en hoe fysieke poorten zoals USB-poorten kunnen worden uitgeschakeld.
  3. Hoe Segregatiemogelijkheden kunnen worden gebruikt om de informatie van de organisatie te scheiden activa van andere activa die op het gebruikersapparaat zijn opgeslagen.

Hoe ISMS.online helpt

ISMS.Online is de toonaangevende ISO 27002-managementsysteemsoftware die de naleving ervan ondersteunt ISO 27002 en helpt bedrijven hun beveiligingsbeleid op elkaar af te stemmen en procedures met de standaard.

Het cloudgebaseerde platform biedt een complete set tools om organisaties te helpen bij het opzetten van een informatiebeveiligingsbeheersysteem (ISMS) volgens ISO 27002.

Neem vandaag nog contact op met boek een demo.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NewBedreigingsintelligentie
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.30NewICT gereed voor bedrijfscontinuïteit
7.4NewFysieke beveiligingsmonitoring
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.16NewMonitoring activiteiten
8.23NewWeb filtering
8.28NewVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NewBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.12 08.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NewICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NewFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NewMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NewWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NewVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests
Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie