Meteen naar de inhoud
ISMS.online

ISO 27002:2022 – Controle 8.11 – Gegevensmaskering

In ISO 27002:2022, Controle 8.11, wordt gegevensmaskering uitgelegd als een beveiligingsmaatregel om gevoelige informatie te beschermen door gebruik te maken van technieken als pseudonimisering en anonimisering. Zo wordt naleving van de regelgeving inzake gegevensbescherming gewaarborgd.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Doel van de controle 8.11

Gegevensmaskering is een techniek die wordt gebruikt om gevoelige gegevens te beschermen – meestal alle gegevens die als persoonlijk identificeerbare informatie (PII) kunnen worden beschouwd – naast de standaard informatiebeveiligingsprotocollen van een organisatie, zoals toegangscontrole enz.

Het maskeren van gegevens wordt vaak genoemd in wettelijke, statutaire en regelgevende richtlijnen en wetten die de opslag en toegang van werknemers-, klant-, gebruikers- en leveranciersinformatie regelen.

Attributen Controletabel 8.11

Controle 8.11 is een preventieve controleer dat wijzigt het risico door een reeks gegevensmaskeringstechnieken voor te stellen die PII beschermen en de organisatie helpen te blijven voldoen aan wat juridische autoriteiten en regelgevende instanties van haar vragen.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Informatiebescherming #Bescherming

Eigendom van zeggenschap 8.11

Het maskeren van gegevens is een complex technisch proces waarbij gevoelige informatie moet worden gewijzigd en waarmee wordt voorkomen dat gebruikers de betrokkenen kunnen identificeren door middel van een verscheidenheid aan maatregelen.

Hoewel dit op zichzelf een administratieve taak is, houdt de aard van het maskeren van gegevens rechtstreeks verband met het vermogen van een organisatie om te blijven voldoen aan wet- en regelgeving en wettelijke richtlijnen met betrekking tot de opslag, toegang en verwerking van gegevens. Als zodanig moet het eigendom bij de Chief Information Security Officer, of organisatorisch equivalent.



beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Algemene richtlijnen voor naleving

Controle 8.11 vraagt ​​organisaties om datamaskering te overwegen via de reikwijdte van twee hoofdtechnieken: pseudonimisering en / of anonimisering. Beide methoden zijn ontworpen om het ware doel van PII te verhullen door middel van disassociatie – dat wil zeggen het verbergen van de link tussen de onbewerkte gegevens en het onderwerp (meestal een persoon).

Organisaties moeten er goed op letten dat geen enkel stukje gegevens de identiteit van de betrokkene in gevaar brengt.

Bij het gebruik van een van deze technieken moeten organisaties rekening houden met het volgende:

  1. Het vereiste niveau van pseudonimisering en/of anonimisering, in verhouding tot de aard van de gegevens.
  2. Hoe toegang wordt verkregen tot de gemaskeerde gegevens.
  3. Eventuele bindende afspraken die het gebruik van de gegevens beperken, moeten worden gemaskeerd.
  4. Het gescheiden houden van de gemaskeerde gegevens van andere gegevenstypen, om te voorkomen dat de betrokkene gemakkelijk kan worden geïdentificeerd.
  5. Vastleggen wanneer de gegevens zijn ontvangen en hoe deze aan interne of externe bronnen zijn verstrekt.

Begeleiding – Aanvullende technieken

Pseudonimisering en anonimisering zijn niet de enige methoden die beschikbaar zijn voor organisaties die PII of gevoelige gegevens willen maskeren. Control 8.11 schetst vijf andere methoden die kunnen worden gebruikt om de gegevensbeveiliging te versterken:

  1. Op sleutels gebaseerde versleuteling.
  2. Tekens binnen de gegevensset ongeldig maken of verwijderen.
  3. Wisselende aantallen en data.
  4. Waarden in de gegevens vervangen.
  5. Op hash gebaseerde waardemaskering.

Richtlijnen – Principes voor gegevensmaskering

Het maskeren van gegevens is een belangrijk onderdeel van het beleid van een organisatie om PII te beschermen en de identiteit te beschermen van de personen over wie gegevens worden bewaard.

Naast de bovenstaande technieken moeten organisaties ook de onderstaande suggesties in overweging nemen bij het bepalen van hun strategie voor het maskeren van gegevens:

  1. Implementeer maskeringstechnieken die alleen de minimale hoeveelheid gegevens voor iedereen die het gebruikt.
  2. Het ‘verduisteren’ (verbergen) van bepaalde gegevens op verzoek van de betrokkene en het alleen bepaalde personeelsleden toegang geven tot de voor hen relevante onderdelen.
  3. Hun datamaskeringsoperatie opbouwen rond specifieke wettelijke en regelgevende richtlijnen.
  4. Wanneer pseudonimisering wordt toegepast, wordt het algoritme dat wordt gebruikt om de gegevens te ‘ontmaskeren’ veilig gehouden.


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

Geen. Controle 8.11 heeft geen precedent in ISO 27002:2013 omdat het nieuw is.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Wijzig beheer
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons cloudgebaseerde platform biedt u een robuust raamwerk van informatiebeveiligingscontroles, zodat u uw ISMS-proces kunt controleren terwijl u bezig bent om er zeker van te zijn dat het voldoet aan de vereisten van ISO 27002:2022.

Neem vandaag nog contact op met boek een demo.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig op kristal

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Herfst 2025
High Performer, Kleinbedrijf - Herfst 2025 VK
Regionale leider - herfst 2025 Europa
Regionale leider - herfst 2025 EMEA
Regionale leider - najaar 2025 VK
High Performer - Herfst 2025 Europa Middenmarkt

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.