Wijzigingen in informatiesystemen, zoals het vervangen van een netwerkapparaat, het maken van een nieuw database-exemplaar of het upgraden van software, zijn vaak noodzakelijk voor betere prestaties, lagere kosten en hogere efficiëntie.
Deze wijzigingen in informatieverwerkingsfaciliteiten en -systemen kunnen echter, als ze niet op de juiste manier worden geïmplementeerd, leiden tot het compromitteren van informatiemiddelen die zijn opgeslagen in of verwerkt door deze faciliteiten.
Controle 8.32 behandelt hoe organisaties verandermanagementprocedures kunnen opzetten en toepassen om wijzigingen in de informatieverwerkingsfaciliteiten en -systemen te monitoren, beoordelen en controleren.
Controle 8.32 stelt organisaties in staat de veiligheid van informatiemiddelen te handhaven bij het uitvoeren van wijzigingen in de informatieverwerkingsfaciliteiten en -systemen door regels en procedures voor wijzigingsbeheer vast te stellen, te implementeren en te beheren.
Controle 8.32 heeft een preventief karakter. Het vereist dat organisaties veranderingsbeheerprocessen definiëren, documenteren, specificeren en afdwingen die de gehele levenscyclus van informatiesystemen beheersen, vanaf het initiële ontwerp tot de implementatie en het gebruik.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Applicatiebeveiliging #Systeem- en netwerkbeveiliging | #Bescherming |
Gezien het feit dat de naleving van Controle 8.32 het opzetten en afdwingen van wijzigingscontroleprocedures inhoudt die van toepassing zijn op alle fasen in de levenscyclus van informatiesystemen, moeten hoofdfunctionarissen voor informatiebeveiliging, met de steun van domeinexperts, verantwoordelijk zijn voor het ontwerpen en handhaven van deze procedures.
Alle grote veranderingen in informatiesystemen en de introductie van nieuwe systemen moeten onderworpen zijn aan een overeengekomen reeks regels en procedures. Deze wijzigingen moeten formeel worden gespecificeerd en gedocumenteerd. Bovendien moeten ze de test- en kwaliteitscontroleprocessen doorlopen.
Om ervoor te zorgen dat alle wijzigingen voldoen aan de regels en normen voor wijzigingsbeheer, moeten organisaties managementverantwoordelijkheden toewijzen aan het juiste management en de noodzakelijke procedures opstellen.
Controle 8.32 somt negen elementen op die in de verandermanagementprocedure moeten worden opgenomen:
Tenslotte wordt opgemerkt dat organisaties wijzigingscontroleprocedures voor software en ICT-infrastructuur zoveel mogelijk moeten integreren.
Veranderingen in de productieomgevingen, zoals besturingssystemen en databases, kunnen de integriteit en beschikbaarheid van applicaties in gevaar brengen, met name de overdracht van software van de ontwikkelings- naar de productieomgeving.
Een ander risico waar organisaties voorzichtig mee moeten zijn, is dat het veranderen van software in de productieomgeving onbedoelde gevolgen kan hebben.
Om deze risico's te voorkomen, moeten organisaties tests uitvoeren op ICT-componenten in een omgeving die geïsoleerd is van de ontwikkel- en productieomgevingen.
Hierdoor krijgen organisaties meer controle over nieuwe software en wordt een extra beschermingslaag geboden voor gegevens uit de echte wereld die voor testdoeleinden worden gebruikt. Deze extra bescherming kan worden bereikt via patches en servicepacks.
27002:2022/8.32 vervangt 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Over het geheel genomen was de versie van 2013 prescriptiever vergeleken met de versie van 2022 wat betreft de vereisten voor wijzigingsbeheerprocedures.
Er zijn drie belangrijke verschillen tussen de twee versies die moeten worden benadrukt.
Zowel versie 27002:2022 als versie 27002:2013 geven op niet-uitputtende wijze aan wat een 'wijzigingsprocedure' zou moeten omvatten.
De versie uit 2013 bevatte echter de volgende elementen waar in de versie uit 2022 niet naar verwezen werd:
Controle 14.2.3 in versie 27002:2013 behandelde hoe organisaties de nadelige gevolgen en verstoringen van de bedrijfsvoering kunnen minimaliseren als er wijzigingen worden aangebracht in besturingssystemen.
De 27002:2022-versie bevat daarentegen geen vereisten voor dergelijke wijzigingen.
Controle 14.2.4 in versie 27002:2013 heeft betrekking op 'Wijzigingen in softwarepakketten'. Integendeel, de 27002:2022-versie bevat geen vereisten voor dergelijke wijzigingen.
Ons cloudgebaseerde platform biedt u een robuust raamwerk van informatiebeveiligingscontroles, zodat u uw ISMS-proces onderweg kunt controleren om er zeker van te zijn dat het voldoet aan de vereisten van ISO 27000k.
Op de juiste manier gebruikt, ISMS. online kan u helpen bij het behalen van certificering met een absoluut minimum aan tijd en middelen.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
