Meteen naar de inhoud
ISMS.online

ISO 27002:2022 – Controle 8.27 – Veilige systeemarchitectuur en technische principes

ISO 27002:2022 Control 8.27 richt zich op het integreren van veilige systeemarchitectuur en engineeringprincipes in de gehele levenscyclus van het systeem om kwetsbaarheden te beperken en robuuste beveiliging op alle niveaus te garanderen.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Implementatie van ISO 27002 Control 8.27 voor sterkere beveiliging

De complexe samenstelling van moderne informatiesystemen en het steeds veranderende landschap van cyberveiligheidsdreigingen maken informatiesystemen kwetsbaarder voor bekende en potentiële veiligheidsdreigingen.

Controle 8.27 gaat in op de manier waarop organisaties kunnen elimineren veiligheidsbedreigingen voor informatiesystemen door het creëren van veilige systeemtechniekprincipes die worden toegepast op alle fasen van de levenscyclus van informatiesystemen.

Doel van de controle 8.27

Controle 8.27 stelt organisaties in staat om de beveiliging van informatiesystemen tijdens de ontwerp-, implementatie- en exploitatiefasen door het vaststellen en implementeren van veilige systeemtechnische principes waaraan systeemingenieurs voldoen.

Attributen Controletabel 8.27

Controle 8.27 is een preventieve vorm van controle waarbij organisaties bekende en potentiële bedreigingen voor de omgeving moeten elimineren vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen opgeslagen op of verwerkt via informatiesystemen zoals opslagmedia, databases en applicaties via het vaststellen van principes voor veilige systeemtechniek.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Applicatiebeveiliging #Bescherming
#Integriteit #Systeem- en netwerkbeveiliging
#Beschikbaarheid


ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Eigendom van zeggenschap 8.27

chef De Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten, onderhouden en implementeren van principes die de veilige engineering van informatiesystemen regelen.

Algemene richtlijnen voor naleving

Controle 8.27 benadrukt dat Organisaties moeten beveiliging in alle lagen van informatiesystemen verankeren, inclusief bedrijfsprocessen, applicaties en data-architectuur.

Voorts De beginselen van veilige engineering moeten van toepassing zijn op alle activiteiten die verband houden met informatiesystemen en moeten regelmatig worden herzien en bijgewerkt, waarbij rekening wordt gehouden met opkomende dreigingen en aanvalspatronen.

Naast informatiesystemen die intern zijn ontwikkeld en geëxploiteerd, is Controle 8.27 ook van toepassing op informatiesystemen die zijn gecreëerd door externe dienstverleners.

Daarom moeten organisaties ervoor zorgen dat de praktijken en normen van dienstverleners in overeenstemming zijn met hun eigen veilige engineeringprincipes.

Controle 8.27 vereist veilige systeemtechniekprincipes om de acht volgende kwesties te behandelen:

  • Richtlijnen voor gebruikersauthenticatiemethoden.
  • Leidraad voor veilige sessiecontrole.
  • Begeleiding bij procedures voor het opschonen en valideren van gegevens.
  • Uitgebreide analyse van alle beveiligingsmaatregelen nodig om informatiemiddelen en -systemen te beschermen tegen bekende bedreigingen.
  • Uitgebreide analyse van de mogelijkheden van beveiligingsmaatregelen om beveiligingsbedreigingen te identificeren, te elimineren en erop te reageren.
  • Analyseren beveiligingsmaatregelen toegepast op specifieke bedrijfsactiviteiten zoals het versleutelen van informatie.
  • Hoe beveiligingsmaatregelen zullen worden geïmplementeerd en waar. Dit kan de integratie van een specifieke beveiligingscontrole binnen de technische infrastructuur omvatten.
  • Hoe verschillende beveiligingsmaatregelen samenwerken en functioneren als een gecombineerde reeks controles.

Richtlijnen voor het Zero Trust-principe

Organisaties moeten de volgende zero-trust-principes in overweging nemen:

  • Te beginnen met de veronderstelling dat de systemen van de organisatie al zijn gecompromitteerd en dat de gedefinieerde netwerkperimeterbeveiliging niet langer effectief is.
  • Het hanteren van een ‘nooit vertrouwen en altijd verifiëren’-aanpak voor het verlenen van toegang tot informatiesystemen.
  • Het bieden van zekerheid dat verzoeken aan informatiesystemen worden beschermd met end-to-end-codering.
  • Implementatie van een verificatiemechanisme dat ervan uitgaat verzoeken om toegang tot informatie systemen zijn gemaakt van externe, open netwerken.
  • Het invoeren van “least privilege” en dynamiek technieken voor toegangscontrole in overeenstemming met Controle 5.15, 5,18 en 8.2. Dit omvat de authenticatie en autorisatie van toegangsverzoeken voor gevoelige informatie en informatiesystemen, rekening houdend met contextuele informatie zoals gebruikersidentiteiten zoals gedefinieerd in Controle 5.16 en informatieclassificatie zoals voorgeschreven in Controle 5.12.
  • Altijd de identiteit van de aanvrager verifiëren en autorisatieverzoeken voor toegang tot informatiesystemen verifiëren. Deze authenticatie- en verificatieprocedures moeten worden uitgevoerd in overeenstemming met de authenticatie-informatie in Control 5.17, Gebruikersidentiteiten in Control 5.16 en Multi-Factor in Control 8.5.


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Waar moeten veilige systeemtechniektechnieken aan voldoen?

  • Het aannemen en implementeren van veilige architectuurprincipes, waaronder ‘security by design’, ‘defence in depth’, ‘fail secure’, ‘wantrouwen inbreng van externe applicaties’, ‘aanname van inbreuk’, ‘least privilege’, ‘bruikbaarheid en beheerbaarheid’ en ‘ minste functionaliteit”.
  • Het aannemen en toepassen van een op beveiliging gericht ontwerpbeoordelingsproces informatiebeveiliging detecteren kwetsbaarheden en het garanderen dat beveiligingsmaatregelen worden geïdentificeerd en voldoen aan de beveiligingsvereisten.
  • Het documenteren en erkennen van de beveiligingsmaatregelen die niet aan de eisen voldoen.
  • Systeemverharding.

Met welke criteria moet rekening worden gehouden bij het ontwerpen van veilige engineeringprincipes?

Organisaties moeten het volgende in overweging nemen bij het vaststellen van principes voor veilige systeemtechniek:

  • De noodzaak om controles te integreren met een specifieke beveiligingsarchitectuur.
  • Bestaande technische beveiligingsinfrastructuur, inclusief infrastructuur voor openbare sleutels, identiteitsbeheer en preventie van gegevenslekken.
  • Of de organisatie in staat is de geselecteerde technologie te bouwen en te onderhouden.
  • Kosten en tijd die nodig zijn om te voldoen aan de beveiligingsvereisten en de complexiteit van dergelijke vereisten.
  • Bestaande beste praktijken.

Praktische richtlijnen voor de toepassing van principes van veilige systeemtechniek

Control 8.27 merkt op dat organisaties veilige engineeringprincipes in de praktijk kunnen brengen bij het configureren van het volgende:

  • Fouttolerantie en soortgelijke veerkrachtmethoden.
  • Segregatietechnieken zoals virtualisatie.
  • Sabotagebestendigheid.

Verder is het gebruik van veilige virtualisatietechnologie kan het risico helpen elimineren van onderschepping tussen twee applicaties die op hetzelfde apparaat draaien.

Ten slotte wordt erop gewezen dat het gebruik van sabotagebestendige systemen kan helpen bij het identificeren van zowel de logische als de fysieke manipulatie van informatiesystemen en het voorkomen van ongeoorloofde extractie van informatie.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.27 replaces 27002:2013/(14.2.5)

De versie van 2022 introduceert uitgebreidere vereisten vergeleken met de versie van 2013:

  1. In tegenstelling tot de versie uit 2013 biedt de versie uit 2022 richtlijnen over wat veilige engineeringprincipes moeten omvatten.
  2. In tegenstelling tot de versie van 2013 gaat de versie van 2022 in op de criteria die organisaties in overweging moeten nemen bij het ontwerpen van veilige systeemengineeringprincipes.
  3. De versie van 2022 bevat richtlijnen over het zero trust-principe. De versie uit 2013 dekte dit echter niet.
  4. De versie van 2022 bevat aanbevelingen over welke veilige engineeringtechnieken moeten worden toegepast, zoals ‘security by design’. In tegenstelling tot de versie uit 2022 werd in de versie uit 2013 niet naar dergelijke technieken verwezen.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Verandermanagement
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

De implementatie van ISO 27002 is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt. Uw complete compliance-oplossing voor ISO / IEC 27002: 2022.

  • Tot 81% voortgang vanaf het moment dat u inlogt.
  • Eenvoudige en totale compliance-oplossing.

Neem vandaag nog contact op met boek een demo.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.