Meteen naar de inhoud
ISMS.online

ISO 27002:2022 – Controle 8.32 – Verandermanagement

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Zorgen voor veilige en gecontroleerde wijzigingen met ISO 27002:2022 Control 8.32

Wijzigingen in informatiesystemen, zoals het vervangen van een netwerkapparaat, het maken van een nieuw database-exemplaar of het upgraden van software, zijn vaak noodzakelijk voor betere prestaties, lagere kosten en hogere efficiëntie.

Deze wijzigingen in informatieverwerkingsfaciliteiten en -systemen kunnen echter, als ze niet op de juiste manier worden geïmplementeerd, leiden tot het compromitteren van informatiemiddelen die zijn opgeslagen in of verwerkt door deze faciliteiten.

Controle 8.32 behandelt hoe organisaties verandermanagementprocedures kunnen opzetten en toepassen om wijzigingen in de informatieverwerkingsfaciliteiten en -systemen te monitoren, beoordelen en controleren.

Doel van de controle 8.32

Controle 8.32 stelt organisaties in staat de veiligheid van informatiemiddelen te handhaven bij het uitvoeren van wijzigingen in de informatieverwerkingsfaciliteiten en -systemen door regels en procedures voor wijzigingsbeheer vast te stellen, te implementeren en te beheren.

Attributen Controletabel 8.32

Controle 8.32 heeft een preventief karakter. Het vereist dat organisaties veranderingsbeheerprocessen definiëren, documenteren, specificeren en afdwingen die de gehele levenscyclus van informatiesystemen beheersen, vanaf het initiële ontwerp tot de implementatie en het gebruik.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Applicatiebeveiliging #Bescherming
#Integriteit #Systeem- en netwerkbeveiliging
#Beschikbaarheid


ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Eigendom van zeggenschap 8.32

Gezien het feit dat de naleving van Controle 8.32 het opzetten en afdwingen van wijzigingscontroleprocedures inhoudt die van toepassing zijn op alle fasen in de levenscyclus van informatiesystemen, moeten hoofdfunctionarissen voor informatiebeveiliging, met de steun van domeinexperts, verantwoordelijk zijn voor het ontwerpen en handhaven van deze procedures.

Algemene richtlijnen voor naleving

Alle grote veranderingen in informatiesystemen en de introductie van nieuwe systemen moeten onderworpen zijn aan een overeengekomen reeks regels en procedures. Deze wijzigingen moeten formeel worden gespecificeerd en gedocumenteerd. Bovendien moeten ze de test- en kwaliteitscontroleprocessen doorlopen.

Om ervoor te zorgen dat alle wijzigingen voldoen aan de regels en normen voor wijzigingsbeheer, moeten organisaties managementverantwoordelijkheden toewijzen aan het juiste management en de noodzakelijke procedures opstellen.

Controle 8.32 somt negen elementen op die in de verandermanagementprocedure moeten worden opgenomen:

  1. Organisaties moeten de waarschijnlijke impact van geplande veranderingen plannen en meten, rekening houdend met alle afhankelijkheden.
  2. Implementeren van autorisatiecontroles voor wijzigingen.
  3. Het informeren van relevante interne en externe partijen over de geplande wijzigingen.
  4. Opzetten en implementeren van test- en acceptatietestprocessen voor wijzigingen in overeenstemming met Controle 8.29.
  5. Hoe de veranderingen zullen worden geïmplementeerd, inclusief hoe ze in de praktijk zullen worden geïmplementeerd.
  6. Opstellen van nood- en noodplannen en -procedures. Hiertoe kan ook het instellen van een uitwijkprocedure behoren.
  7. Het bijhouden van alle wijzigingen en gerelateerde activiteiten, inclusief alle hierboven genoemde activiteiten (1 tot en met 6).
  8. De operationele documentatie zoals vereist in Controle 5.37 en gebruikersprocedures worden beoordeeld en bijgewerkt om de wijzigingen weer te geven.
  9. ICT-continuïteitsplannen en herstel- en responsprocedures moeten worden herzien en herzien om de veranderingen te weerspiegelen.

Tenslotte wordt opgemerkt dat organisaties wijzigingscontroleprocedures voor software en ICT-infrastructuur zoveel mogelijk moeten integreren.

Aanvullend richtsnoer voor controle 8.32

Veranderingen in de productieomgevingen, zoals besturingssystemen en databases, kunnen de integriteit en beschikbaarheid van applicaties in gevaar brengen, met name de overdracht van software van de ontwikkelings- naar de productieomgeving.

Een ander risico waar organisaties voorzichtig mee moeten zijn, is dat het veranderen van software in de productieomgeving onbedoelde gevolgen kan hebben.

Om deze risico's te voorkomen, moeten organisaties tests uitvoeren op ICT-componenten in een omgeving die geïsoleerd is van de ontwikkel- en productieomgevingen.

Hierdoor krijgen organisaties meer controle over nieuwe software en wordt een extra beschermingslaag geboden voor gegevens uit de echte wereld die voor testdoeleinden worden gebruikt. Deze extra bescherming kan worden bereikt via patches en servicepacks.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.32 vervangt 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)

Over het geheel genomen was de versie van 2013 prescriptiever vergeleken met de versie van 2022 wat betreft de vereisten voor wijzigingsbeheerprocedures.

Er zijn drie belangrijke verschillen tussen de twee versies die moeten worden benadrukt.

ISO 27002:2013-versie was gedetailleerder in termen van wat de 'wijzigingsprocedure' zou moeten inhouden

Zowel versie 27002:2022 als versie 27002:2013 geven op niet-uitputtende wijze aan wat een 'wijzigingsprocedure' zou moeten omvatten.

De versie uit 2013 bevatte echter de volgende elementen waar in de versie uit 2022 niet naar verwezen werd:

  • Beveiligingskritische code moet worden geïdentificeerd en beoordeeld om kwetsbaarheden te verhelpen.
  • Organisaties moeten versiebeheer behouden voor alle updates die op software worden geïmplementeerd.
  • Organisaties moeten een lijst identificeren en documenteren van alle hardware- en softwarecomponenten die moeten worden aangepast en bijgewerkt.

Versie 2013: 'Wijzigingen in besturingsplatforms' aangepakt

Controle 14.2.3 in versie 27002:2013 behandelde hoe organisaties de nadelige gevolgen en verstoringen van de bedrijfsvoering kunnen minimaliseren als er wijzigingen worden aangebracht in besturingssystemen.

De 27002:2022-versie bevat daarentegen geen vereisten voor dergelijke wijzigingen.

Versie 2013 aangepakt 'Wijzigingen in softwarepakketten'

Controle 14.2.4 in versie 27002:2013 heeft betrekking op 'Wijzigingen in softwarepakketten'. Integendeel, de 27002:2022-versie bevat geen vereisten voor dergelijke wijzigingen.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Verandermanagement
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons cloudgebaseerde platform biedt u een robuust raamwerk van informatiebeveiligingscontroles, zodat u uw ISMS-proces onderweg kunt controleren om er zeker van te zijn dat het voldoet aan de vereisten van ISO 27000k.

Op de juiste manier gebruikt, ISMS. online kan u helpen bij het behalen van certificering met een absoluut minimum aan tijd en middelen.

Neem vandaag nog contact op met boek een demo.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.