Het kunnen vertrouwen op een uiterst nauwkeurige, gesynchroniseerde tijd binnen de informatiesystemen van een organisatie is van het allergrootste belang, niet alleen voor de voortdurende werking van de commerciële systemen van een bedrijf, maar ook in het geval van een ICT-gerelateerd incident.
Nauwkeurige tijdweergave geeft een organisatie de mogelijkheid om zichzelf en eventuele wetshandhavings- of regelgevende instanties te voorzien van een betrouwbaar overzicht van de manier waarop informatie is beheerd, samen met de acties van haar werknemers en leveranciers.
Controle 8.17 heeft een tweeledig doel detective controleer dat houdt het risico in stand door controles te implementeren die zorgen voor een nauwkeurige en betrouwbare synchronisatie van de klokken van informatiesystemen, om te helpen bij interne en externe onderzoeken en het monitoren van incidenten.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Detective | #Integriteit | #Beschermen #Detecteer | #Informatiebeveiliging Gebeurtenisbeheer | #Bescherming #Verdediging |
Controle 8.17 gaat vooral over technische zaken, in de vorm van externe gegevensbronnen (atoomklokken etc.) gekoppeld aan de ICT-systemen van een organisatie.
Als zodanig moet het eigendom bij het hoofd IT (of het equivalent van de organisatie) liggen, die verantwoordelijk is voor de dagelijkse integriteit en efficiëntie van de ICT-infrastructuur van een organisatie.
Control 8.17 vermijdt organisaties een stapsgewijze procedure te bieden voor het beheer van systeemklokken, en biedt in plaats daarvan brede richtlijnen voor het gebruik van vertrouwde referentiepunten.
Controle 8.17 vraagt organisaties om een standaard referentietijd die kan worden gebruikt in alle commerciële, logistieke en onderhoudsgebaseerde systemen als een vertrouwde datum- en tijdbron voor alle behoeften van de organisatie.
Organisaties moeten:
Heel vaak maken organisaties gebruik van zowel on-premise als cloudgebaseerde systemen naast elkaar.
In de cloud gehoste software- en infrastructuurplatforms worden doorgaans door de leverancier zelf beheerd en zullen daarom een aparte tijdbron gebruiken voor de eigen infrastructuur van de organisatie.
Er moet met regelmatige tussenpozen rekening worden gehouden met tijdsverschillen in zowel beheerde als onbeheerde hardware en systemen, en eventuele verschillen moeten worden geregistreerd om verwarring bij toekomstig onderzoek te voorkomen.
27002:2022-8.17 vervangt 27002:2013-12.4.4 (kloksynchronisatie).
27002:2022-8.17 repliceert grotendeels dezelfde informatie als zijn tegenhanger uit 2013, met één opmerkelijke uitzondering: 27002:2022-8.17 bevat advies over het beheren van tijdbronnen uit de publieke en private cloud, en de implicaties voor het gebruik van systemen op uitgangspunt dat kan worden gesynchroniseerd met een afzonderlijke tijdbron.
Bij ISMS.online helpt ons cloudgebaseerde platform u bij het creëren, onderhouden en auditen van uw op ISO 27001-normen gebaseerde informatiebeveiligingsbeheersysteem (ISMS). Het biedt u aanpasbare sjablonen en hulpmiddelen die u kunt gebruiken om aan de vereisten van ISO 27002 te voldoen.
Met behulp van dit platform kunt u uw ISMS opzetten volgens de internationale standaard en de meegeleverde checklists gebruiken om ervoor te zorgen dat uw informatiebeveiligingsprocessen in goede staat zijn. U kunt ISMS.online ook gebruiken voor risicobeoordeling en kwetsbaarheidsbeoordeling om zwakke punten te identificeren punten in uw bestaande infrastructuur die onmiddellijke aandacht behoeven.
Met al deze tools en middelen kan ISMS.online u uiteindelijk helpen bij het aantonen van naleving van ISO 27002.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
