ISO 27002:2022 – Controle 8.1 – Gebruikerseindpuntapparaten

ISO 27002 Control 8.1 richt zich op het beveiligen van eindpuntapparaten van gebruikers (zoals laptops en smartphones) om gevoelige informatie te beschermen tegen inbreuk, diefstal of verlies door het implementeren van beveiligingsbeleid, technische maatregelen en programma's voor gebruikersbewustzijn.

Demo Aanvragen
Auteur
Max Edwards
Bijgewerkt op 17 februari 2025
LinkedIn Twitter Twitter

Het beveiligen van gebruikers-eindpuntapparaten: ISO 27002 Control 8.1 uitgelegd

Terwijl de verschuiving naar werken op afstand en het toenemende gebruik van mobiele apparaten de productiviteit van werknemers verhogen en organisaties geld besparen, zijn eindpuntapparaten van gebruikers, zoals laptops, mobiele telefoons en tablets, kwetsbaar voor cyberdreigingen. Dit komt omdat cybercriminelen deze apparaten vaak misbruiken om winst te maken ongeoorloofde toegang tot bedrijfsnetwerken en het in gevaar brengen van informatiemiddelen.

Cybercriminelen kunnen bijvoorbeeld werknemers aanvallen met een phishing-aanval, werknemers overhalen om een ​​malwarebijlage te downloaden en vervolgens dit met malware geïnfecteerde gebruikerseindpuntapparaat gebruiken om de malware over het hele bedrijfsnetwerk te verspreiden. Deze aanval kan resulteren in het verlies van beschikbaarheid, integriteit of vertrouwelijkheid van informatiemiddelen.

Volgens een klanttevredenheid Uit het onderzoek onder 700 IT-professionals bleek dat ongeveer 70% van de organisaties in 2020 te maken kreeg met het in gevaar brengen van informatiemiddelen en de IT-infrastructuur als gevolg van een apparaatgerelateerde aanval op eindpuntgebruikers.

Controle 8.1 behandelt hoe organisaties onderwerpspecifiek beleid, procedures en technische maatregelen kunnen vaststellen, onderhouden en implementeren om ervoor te zorgen dat informatiemiddelen die op eindpuntapparaten van gebruikers worden gehost of verwerkt, niet in gevaar komen, verloren gaan of worden gestolen.

Doel van de controle 8.1

Controle 8.1 stelt organisaties in staat de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen die zich bevinden op of toegankelijk zijn via apparaten van eindpuntgebruikers te beschermen en te behouden door het invoeren van geschikt beleid, procedures en controles.

Attributen Controletabel 8.1

Controle 8.1 heeft een preventief karakter. Het vereist dat organisaties beleid, procedures en technische maatregelen implementeren die van toepassing zijn op alle gebruikerseindpuntapparaten die informatiemiddelen hosten of verwerken, zodat deze niet worden aangetast, verloren gaan of worden gestolen.

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid#Beschermen#Vermogensbeheer#Bescherming
#Integriteit#Informatiebescherming
#Beschikbaarheid


Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Eigendom van zeggenschap 8.1

Gezien het feit dat de naleving van Controle 8.1 het opstellen, onderhouden en naleven van organisatiebreed onderwerpspecifiek beleid, procedures en technische maatregelen inhoudt, is de chef De informatiebeveiligingsfunctionaris moet de verantwoordelijkheid dragen voor de naleving ervan met de vereisten van Controle 8.1.

Algemene richtlijnen voor naleving

Controle 8.1 vereist dat organisaties een onderwerpspecifiek beleid opstellen dat bepaalt hoe gebruikerseindpuntapparaten veilig moeten worden geconfigureerd en hoe deze apparaten door gebruikers moeten worden behandeld.

Al het personeel moet over dit beleid worden geïnformeerd en het beleid moet het volgende omvatten:

  • Welk type informatie, met name op welk classificatieniveau, kan worden verwerkt, opgeslagen of gebruikt op eindpuntapparaten van gebruikers.
  • Hoe de apparaten moeten worden geregistreerd.
  • Vereisten voor de fysieke bescherming van apparaten.
  • Beperkingen op de installatie van softwareprogramma's op apparaten.
  • Regels over de installatie van software op de apparaten en over software-updates.
  • Regels over hoe de eindpuntapparaten van de gebruiker kunnen worden verbonden met openbare netwerken of met netwerken op andere externe locaties.
  • Toegangscontroles.
  • Versleuteling van de opslagmedia die informatiemiddelen hosten.
  • Hoe apparaten worden beschermd tegen malware-aanvallen.
  • Hoe apparaten kunnen worden uitgeschakeld of vergrendeld. Hoe informatie op de apparaten op afstand kan worden gewist.
  • Back-upmethoden en -procedures.
  • Regels over het gebruik van webapplicaties en diensten.
  • Analyse van het gedrag van eindgebruikers.
  • Hoe verwijderbare opslagmedia zoals USB-drives kunnen worden gebruikt en hoe fysieke poorten zoals USB-poorten kunnen worden uitgeschakeld.
  • Hoe Segregatiemogelijkheden kunnen worden gebruikt om de informatie van de organisatie te scheiden activa van andere activa die op het gebruikersapparaat zijn opgeslagen.

Bovendien merkt de Algemene Richtlijn op dat organisaties moeten overwegen om de opslag van gevoelige informatie op eindpuntapparaten van gebruikers te verbieden door technische controles te implementeren.

Deze technische controles kunnen het uitschakelen van lokale opslagfuncties zoals SD-kaarten omvatten.

Bij het in de praktijk brengen van deze aanbevelingen moeten organisaties hun toevlucht nemen tot Configuratiemanagement zoals uiteengezet in Controle 8.9 en gebruik maken van geautomatiseerde tools.

Aanvullend richtsnoer over de verantwoordelijkheid van gebruikers

Al het personeel moet worden geïnformeerd over de beveiligingsmaatregelen voor eindpuntapparaten van gebruikers en de procedures waaraan zij zich moeten houden. Bovendien zouden ze dat ook moeten zijn bewust gemaakt van hun verantwoordelijkheden voor het toepassen van deze maatregelen en procedures.

Organisaties moeten hun personeel instrueren om de volgende regels en procedures na te leven:

  • Wanneer een dienst niet langer nodig is of wanneer een sessie eindigt, moeten gebruikers zich afmelden bij de sessie en de diensten beëindigen.
  • Personeel mag hun apparaten niet onbeheerd achterlaten. Wanneer apparaten niet in gebruik zijn, moet het personeel de apparaten onderhouden beveiliging van de apparaten tegen ongeoorloofde toegang of gebruik door fysieke controles uit te voeren zoals sleutelsloten en door technische controles zoals robuuste wachtwoorden.
  • Personeel moet extra voorzichtig zijn wanneer zij eindpuntapparaten gebruiken die gevoelige informatie bevatten in onveilige openbare ruimtes.
  • Eindpuntapparaten van gebruikers moeten worden beschermd tegen diefstal, vooral in risicovolle ruimtes zoals hotelkamers, vergaderzalen of openbaar vervoer.

Bovendien wordt organisaties geadviseerd om een ​​speciale procedure in te stellen voor verlies of diefstal van eindpuntapparaten van gebruikers. Bij het opstellen van deze procedure moet rekening worden gehouden met wettelijke, contractuele en veiligheidseisen.



Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Aanvullende richtlijnen voor het gebruik van persoonlijke apparaten (BYOD)

Hoewel het toestaan ​​van personeel om hun eigen persoonlijke apparaten te gebruiken voor werkgerelateerde doeleinden organisaties geld bespaart, stelt het gevoelige informatiemiddelen bloot aan nieuwe risico's.

Controle 8.1 somt vijf aanbevelingen op die organisaties in overweging moeten nemen als ze werknemers toestaan ​​hun eigen apparaten te gebruiken voor werkgerelateerde taken:

  1. Er moeten technische maatregelen worden genomen, zoals softwaretools, om het persoonlijke en zakelijke gebruik van de apparaten te scheiden, zodat de informatie van de organisatie wordt beschermd.
  2. Het personeel mag hun eigen apparaat alleen gebruiken nadat zij akkoord zijn gegaan met het volgende:

    • Het personeel erkent zijn plicht om apparaten fysiek te beschermen en de noodzakelijke software-updates uit te voeren.
    • Het personeel gaat ermee akkoord geen enkel eigendom van de informatiemiddelen van de organisatie te claimen.
    • Het personeel gaat ermee akkoord dat de informatie op het apparaat op afstand kan worden verwijderd als het apparaat verloren of gestolen is, onder voorbehoud van: wettelijke vereisten voor persoonsgegevens.
  3. Vaststelling van beleid inzake de eigendom van intellectuele-eigendomsrechten die zijn gecreëerd via het gebruik van eindpuntapparaten van gebruikers.
  4. Hoe toegang wordt verkregen tot de privé-apparaten van personeel, rekening houdend met de wettelijke beperkingen op dergelijke toegang.
  5. Het toestaan ​​van personeel om hun privé-apparaten te gebruiken kan leiden tot wettelijke aansprakelijkheid als gevolg van het gebruik van software van derden op deze apparaten. Organisaties moeten rekening houden met de softwarelicentieovereenkomsten die zij met hun leveranciers hebben.

Aanvullende richtlijnen voor draadloze verbindingen

Organisaties moeten procedures ontwikkelen en onderhouden voor:

  • Hoe draadloze verbindingen op de apparaten moeten worden geconfigureerd.
  • Hoe draadloze of bekabelde verbindingen met voldoende bandbreedte zullen worden gebruikt naleving van onderwerpspecifiek beleid.

Aanvullend richtsnoer voor controle 8.1

Wanneer eindpuntapparaten van gebruikers buiten de bedrijfsruimten van de organisatie worden verwijderd, kunnen informatiemiddelen worden blootgesteld aan verhoogde risico's op compromittering. Daarom moeten organisaties mogelijk verschillende controles instellen voor apparaten die buiten gebouwen worden gebruikt.

Bovendien waarschuwt Control 8.1 organisaties voor verlies van informatie als gevolg van twee risico's die verband houden met draadloze verbindingen:

  • Draadloze verbindingen met een lage bandbreedte kunnen leiden tot het mislukken van de gegevensback-up.
  • Eindpuntapparaten van gebruikers kunnen af ​​en toe de verbinding met het draadloze netwerk verliezen en geplande back-ups kunnen mislukken.


Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.1 vervangt 27002:2013/(6.2.1 en 12.2.8)

Structurele verschillen

In tegenstelling tot de 2022-versie die gebruikerseindpuntapparaten onder één Control (8.1) adresseert, bevatte de 2013-versie twee afzonderlijke bedieningselementen: Beleid voor mobiele apparaten in Control 6.2.1 en Onbeheerde gebruikersapparatuur in Control 11.2.8.

Bovendien, terwijl Controle 8.1 in de versie van 2022 van toepassing is op alle eindpuntapparaten van gebruikers, zoals laptops, tablets en mobiele telefoons, verwees de versie van 2013 alleen naar de mobiele apparaten.

Versie 2022 schrijft aanvullende vereisten voor gebruikersverantwoordelijkheid voor

Hoewel beide versies grotendeels vergelijkbaar zijn wat betreft de vereisten voor gebruikersverantwoordelijkheid, bevat de versie 2022 één aanvullende vereiste:

  • Personeel moet extra voorzichtig zijn wanneer zij eindpuntapparaten gebruiken die gevoelige informatie bevatten in onveilige openbare ruimtes.

De versie van 2022 is uitgebreider op het gebied van BYOD

Vergeleken met de versie 2013 introduceert control 8.1 in de versie 2022 drie nieuwe vereisten voor het gebruik van privé-apparaten van personeel (BYOD):

  • Vaststelling van beleid inzake de eigendom van intellectuele-eigendomsrechten die zijn gecreëerd via het gebruik van eindpuntapparaten van gebruikers.
  • Hoe toegang wordt verkregen tot de privé-apparaten van personeel, rekening houdend met de wettelijke beperkingen op dergelijke toegang.
  • Het toestaan ​​van personeel om hun privé-apparaten te gebruiken kan leiden tot wettelijke aansprakelijkheid als gevolg van het gebruik van software van derden op deze apparaten. Organisaties moeten rekening houden met de softwarelicentieovereenkomsten die zij met hun leveranciers hebben.

Versie 2022 vereist een gedetailleerder onderwerpspecifiek beleid

Net als bij de versie van 2013 vereist de versie van 2022 ook dat organisaties een onderwerpspecifiek beleid hanteren op eindpuntapparaten van gebruikers.

De besturing 8.1 in de 2022-versie is echter uitgebreider omdat deze drie nieuwe elementen bevat die moeten worden opgenomen:

  1. Analyse van het gedrag van eindgebruikers.
  2. Hoe verwijderbare apparaten zoals USB-drives kunnen worden gebruikt en hoe fysieke poorten zoals USB-poorten kunnen worden uitgeschakeld.
  3. Hoe Segregatiemogelijkheden kunnen worden gebruikt om de informatie van de organisatie te scheiden activa van andere activa die op het gebruikersapparaat zijn opgeslagen.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NieuwBedreigingsintelligentie
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.30NieuwICT gereed voor bedrijfscontinuïteit
7.4NieuwFysieke beveiligingsmonitoring
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.16NieuwMonitoring activiteiten
8.23NieuwWeb filtering
8.28NieuwVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NieuwBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.1208.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.1709.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NieuwICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NieuwFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NieuwMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NieuwWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NieuwVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online is de toonaangevende ISO 27002-managementsysteemsoftware die de naleving ervan ondersteunt ISO 27002 en helpt bedrijven hun beveiligingsbeleid op elkaar af te stemmen en procedures met de standaard.

Het cloudgebaseerde platform biedt een complete set tools om organisaties te helpen bij het opzetten van een informatiebeveiligingsbeheersysteem (ISMS) volgens ISO 27002.

Neem vandaag nog contact op met boek een demo.

Ga naar onderwerp

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

ISMS-platformtour

Geïnteresseerd in een ISMS.online platform tour?

Start nu uw gratis interactieve demo van 2 minuten en ervaar de magie van ISMS.online in actie!

Probeer het gratis

Wij zijn een leider in ons vakgebied

Gebruikers houden van ons
Grid Leader - Lente 2025
Momentum Leader - Lente 2025
Regionale leider - voorjaar 2025 VK
Regionale leider - Lente 2025 EU
Beste schatting ROI onderneming - lente 2025
Meest waarschijnlijk om Enterprise aan te bevelen - Lente 2025

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

-Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

-Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

-Ben H.

SOC 2 is hier! Versterk uw beveiliging en bouw vandaag nog aan het vertrouwen van uw klanten met onze krachtige compliance-oplossing!