ISO 27002:2022 – Controle 8.27 – Veilige systeemarchitectuur en technische principes

ISO 27002:2022 Control 8.27 richt zich op het integreren van veilige systeemarchitectuur en engineeringprincipes in de gehele levenscyclus van het systeem om kwetsbaarheden te beperken en robuuste beveiliging op alle niveaus te garanderen.

Demo Aanvragen
Auteur
Max Edwards
Bijgewerkt op 17 februari 2025
LinkedIn Twitter Twitter

Implementatie van ISO 27002 Control 8.27 voor sterkere beveiliging

De complexe samenstelling van moderne informatiesystemen en het steeds veranderende landschap van cyberveiligheidsdreigingen maken informatiesystemen kwetsbaarder voor bekende en potentiële veiligheidsdreigingen.

Controle 8.27 gaat in op de manier waarop organisaties kunnen elimineren veiligheidsbedreigingen voor informatiesystemen door het creëren van veilige systeemtechniekprincipes die worden toegepast op alle fasen van de levenscyclus van informatiesystemen.

Doel van de controle 8.27

Controle 8.27 stelt organisaties in staat om de beveiliging van informatiesystemen tijdens de ontwerp-, implementatie- en exploitatiefasen door het vaststellen en implementeren van veilige systeemtechnische principes waaraan systeemingenieurs voldoen.

Attributen Controletabel 8.27

Controle 8.27 is een preventieve vorm van controle waarbij organisaties bekende en potentiële bedreigingen voor de omgeving moeten elimineren vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen opgeslagen op of verwerkt via informatiesystemen zoals opslagmedia, databases en applicaties via het vaststellen van principes voor veilige systeemtechniek.

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid#Beschermen#Applicatiebeveiliging#Bescherming
#Integriteit#Systeem- en netwerkbeveiliging
#Beschikbaarheid


Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Eigendom van zeggenschap 8.27

chef De Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten, onderhouden en implementeren van principes die de veilige engineering van informatiesystemen regelen.

Algemene richtlijnen voor naleving

Controle 8.27 benadrukt dat Organisaties moeten beveiliging in alle lagen van informatiesystemen verankeren, inclusief bedrijfsprocessen, applicaties en data-architectuur.

Voorts De beginselen van veilige engineering moeten van toepassing zijn op alle activiteiten die verband houden met informatiesystemen en moeten regelmatig worden herzien en bijgewerkt, waarbij rekening wordt gehouden met opkomende dreigingen en aanvalspatronen.

Naast informatiesystemen die intern zijn ontwikkeld en geëxploiteerd, is Controle 8.27 ook van toepassing op informatiesystemen die zijn gecreëerd door externe dienstverleners.

Daarom moeten organisaties ervoor zorgen dat de praktijken en normen van dienstverleners in overeenstemming zijn met hun eigen veilige engineeringprincipes.

Controle 8.27 vereist veilige systeemtechniekprincipes om de acht volgende kwesties te behandelen:

  • Richtlijnen voor gebruikersauthenticatiemethoden.
  • Leidraad voor veilige sessiecontrole.
  • Begeleiding bij procedures voor het opschonen en valideren van gegevens.
  • Voor informatie over passend onderwijs, zie: www.passendonderwijs.nl analyse van alle beveiligingsmaatregelen nodig om informatiemiddelen en -systemen te beschermen tegen bekende bedreigingen.
  • Uitgebreide analyse van de mogelijkheden van beveiligingsmaatregelen om beveiligingsbedreigingen te identificeren, te elimineren en erop te reageren.
  • Analyseren beveiligingsmaatregelen toegepast op specifieke bedrijfsactiviteiten zoals het versleutelen van informatie.
  • Hoe beveiligingsmaatregelen zullen worden geïmplementeerd en waar. Dit kan de integratie van een specifieke beveiligingscontrole binnen de technische infrastructuur omvatten.
  • Hoe verschillende beveiligingsmaatregelen samenwerken en functioneren als een gecombineerde reeks controles.

Richtlijnen voor het Zero Trust-principe

Organisaties moeten de volgende zero-trust-principes in overweging nemen:

  • Te beginnen met de veronderstelling dat de systemen van de organisatie al zijn gecompromitteerd en dat de gedefinieerde netwerkperimeterbeveiliging niet langer effectief is.
  • Het hanteren van een ‘nooit vertrouwen en altijd verifiëren’-aanpak voor het verlenen van toegang tot informatiesystemen.
  • Het bieden van zekerheid dat verzoeken aan informatiesystemen worden beschermd met end-to-end-codering.
  • Implementatie van een verificatiemechanisme dat ervan uitgaat verzoeken om toegang tot informatie systemen zijn gemaakt van externe, open netwerken.
  • Het invoeren van “least privilege” en dynamiek technieken voor toegangscontrole in overeenstemming met Controle 5.15, 5,18 en 8.2. Dit omvat de authenticatie en autorisatie van toegangsverzoeken voor gevoelige informatie en informatiesystemen, rekening houdend met contextuele informatie zoals gebruikersidentiteiten zoals gedefinieerd in Controle 5.16 en informatieclassificatie zoals voorgeschreven in Controle 5.12.
  • Altijd de identiteit van de aanvrager verifiëren en autorisatieverzoeken voor toegang tot informatiesystemen verifiëren. Deze authenticatie- en verificatieprocedures moeten worden uitgevoerd in overeenstemming met de authenticatie-informatie in Control 5.17, Gebruikersidentiteiten in Control 5.16 en Multi-Factor in Control 8.5.


Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Waar moeten veilige systeemtechniektechnieken aan voldoen?

  • Het aannemen en implementeren van veilige architectuurprincipes, waaronder ‘security by design’, ‘defence in depth’, ‘fail secure’, ‘wantrouwen inbreng van externe applicaties’, ‘aanname van inbreuk’, ‘least privilege’, ‘bruikbaarheid en beheerbaarheid’ en ‘ minste functionaliteit”.
  • Het aannemen en toepassen van een op beveiliging gericht ontwerpbeoordelingsproces informatiebeveiliging detecteren kwetsbaarheden en het garanderen dat beveiligingsmaatregelen worden geïdentificeerd en voldoen aan de beveiligingsvereisten.
  • Het documenteren en erkennen van de beveiligingsmaatregelen die niet aan de eisen voldoen.
  • Systeemverharding.

Met welke criteria moet rekening worden gehouden bij het ontwerpen van veilige engineeringprincipes?

Organisaties moeten het volgende in overweging nemen bij het vaststellen van principes voor veilige systeemtechniek:

  • De noodzaak om controles te integreren met een specifieke beveiligingsarchitectuur.
  • Bestaande technische beveiligingsinfrastructuur, inclusief infrastructuur voor openbare sleutels, identiteitsbeheer en preventie van gegevenslekken.
  • Of de organisatie in staat is de geselecteerde technologie te bouwen en te onderhouden.
  • Kosten en tijd die nodig zijn om te voldoen aan de beveiligingsvereisten en de complexiteit van dergelijke vereisten.
  • Bestaande beste praktijken.

Praktische richtlijnen voor de toepassing van principes van veilige systeemtechniek

Control 8.27 merkt op dat organisaties veilige engineeringprincipes in de praktijk kunnen brengen bij het configureren van het volgende:

  • Fouttolerantie en soortgelijke veerkrachtmethoden.
  • Segregatietechnieken zoals virtualisatie.
  • Sabotagebestendigheid.

Verder is het gebruik van veilige virtualisatietechnologie kan het risico helpen elimineren van onderschepping tussen twee applicaties die op hetzelfde apparaat draaien.

Ten slotte wordt erop gewezen dat het gebruik van sabotagebestendige systemen kan helpen bij het identificeren van zowel de logische als de fysieke manipulatie van informatiesystemen en het voorkomen van ongeoorloofde extractie van informatie.



Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.27 replaces 27002:2013/(14.2.5)

De versie van 2022 introduceert uitgebreidere vereisten vergeleken met de versie van 2013:

  1. In tegenstelling tot de versie uit 2013 biedt de versie uit 2022 richtlijnen over wat veilige engineeringprincipes moeten omvatten.
  2. In tegenstelling tot de versie van 2013 gaat de versie van 2022 in op de criteria die organisaties in overweging moeten nemen bij het ontwerpen van veilige systeemengineeringprincipes.
  3. De versie van 2022 bevat richtlijnen over het zero trust-principe. De versie uit 2013 dekte dit echter niet.
  4. De versie van 2022 bevat aanbevelingen over welke veilige engineeringtechnieken moeten worden toegepast, zoals ‘security by design’. In tegenstelling tot de versie uit 2022 werd in de versie uit 2013 niet naar dergelijke technieken verwezen.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NieuwBedreigingsintelligentie
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.30NieuwICT gereed voor bedrijfscontinuïteit
7.4NieuwFysieke beveiligingsmonitoring
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.16NieuwMonitoring activiteiten
8.23NieuwWeb filtering
8.28NieuwVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NieuwBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.1208.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.1709.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NieuwICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NieuwFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NieuwMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NieuwWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NieuwVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

De implementatie van ISO 27002 is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt. Uw complete compliance-oplossing voor ISO / IEC 27002: 2022.

  • Tot 81% voortgang vanaf het moment dat u inlogt.
  • Eenvoudige en totale compliance-oplossing.

Neem vandaag nog contact op met boek een demo.

Ga naar onderwerp

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

ISMS-platformtour

Geïnteresseerd in een ISMS.online platform tour?

Start nu uw gratis interactieve demo van 2 minuten en ervaar de magie van ISMS.online in actie!

Probeer het gratis

Wij zijn een leider in ons vakgebied

Gebruikers houden van ons
Grid Leader - Lente 2025
Momentum Leader - Lente 2025
Regionale leider - voorjaar 2025 VK
Regionale leider - Lente 2025 EU
Beste schatting ROI onderneming - lente 2025
Meest waarschijnlijk om Enterprise aan te bevelen - Lente 2025

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

-Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

-Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

-Ben H.

SOC 2 is hier! Versterk uw beveiliging en bouw vandaag nog aan het vertrouwen van uw klanten met onze krachtige compliance-oplossing!