Zorgen voor veilige en gecontroleerde wijzigingen met ISO 27002:2022 Control 8.32
Wijzigingen in informatiesystemen, zoals het vervangen van een netwerkapparaat, het maken van een nieuw database-exemplaar of het upgraden van software, zijn vaak noodzakelijk voor betere prestaties, lagere kosten en hogere efficiëntie.
Deze wijzigingen in informatieverwerkingsfaciliteiten en -systemen kunnen echter, als ze niet op de juiste manier worden geïmplementeerd, leiden tot het compromitteren van informatiemiddelen die zijn opgeslagen in of verwerkt door deze faciliteiten.
Controle 8.32 behandelt hoe organisaties verandermanagementprocedures kunnen opzetten en toepassen om wijzigingen in de informatieverwerkingsfaciliteiten en -systemen te monitoren, beoordelen en controleren.
Doel van de controle 8.32
Controle 8.32 stelt organisaties in staat de veiligheid van informatiemiddelen te handhaven bij het uitvoeren van wijzigingen in de informatieverwerkingsfaciliteiten en -systemen door regels en procedures voor wijzigingsbeheer vast te stellen, te implementeren en te beheren.
Attributen Controletabel 8.32
Controle 8.32 heeft een preventief karakter. Het vereist dat organisaties veranderingsbeheerprocessen definiëren, documenteren, specificeren en afdwingen die de gehele levenscyclus van informatiesystemen beheersen, vanaf het initiële ontwerp tot de implementatie en het gebruik.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Applicatiebeveiliging | #Bescherming |
| #Integriteit | #Systeem- en netwerkbeveiliging | |||
| #Beschikbaarheid |
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Eigendom van zeggenschap 8.32
Gezien het feit dat de naleving van Controle 8.32 het opzetten en afdwingen van wijzigingscontroleprocedures inhoudt die van toepassing zijn op alle fasen in de levenscyclus van informatiesystemen, moeten hoofdfunctionarissen voor informatiebeveiliging, met de steun van domeinexperts, verantwoordelijk zijn voor het ontwerpen en handhaven van deze procedures.
Algemene richtlijnen voor naleving
Alle grote veranderingen in informatiesystemen en de introductie van nieuwe systemen moeten onderworpen zijn aan een overeengekomen reeks regels en procedures. Deze wijzigingen moeten formeel worden gespecificeerd en gedocumenteerd. Bovendien moeten ze de test- en kwaliteitscontroleprocessen doorlopen.
Om ervoor te zorgen dat alle wijzigingen voldoen aan de regels en normen voor wijzigingsbeheer, moeten organisaties managementverantwoordelijkheden toewijzen aan het juiste management en de noodzakelijke procedures opstellen.
Controle 8.32 somt negen elementen op die in de verandermanagementprocedure moeten worden opgenomen:
- Organisaties moeten de waarschijnlijke impact van geplande veranderingen plannen en meten, rekening houdend met alle afhankelijkheden.
- Implementeren van autorisatiecontroles voor wijzigingen.
- Het informeren van relevante interne en externe partijen over de geplande wijzigingen.
- Opzetten en implementeren van test- en acceptatietestprocessen voor wijzigingen in overeenstemming met Controle 8.29.
- Hoe de veranderingen zullen worden geïmplementeerd, inclusief hoe ze in de praktijk zullen worden geïmplementeerd.
- Opstellen van nood- en noodplannen en -procedures. Hiertoe kan ook het instellen van een uitwijkprocedure behoren.
- Het bijhouden van alle wijzigingen en gerelateerde activiteiten, inclusief alle hierboven genoemde activiteiten (1 tot en met 6).
- De operationele documentatie zoals vereist in Controle 5.37 en gebruikersprocedures worden beoordeeld en bijgewerkt om de wijzigingen weer te geven.
- ICT-continuïteitsplannen en herstel- en responsprocedures moeten worden herzien en herzien om de veranderingen te weerspiegelen.
Tenslotte wordt opgemerkt dat organisaties wijzigingscontroleprocedures voor software en ICT-infrastructuur zoveel mogelijk moeten integreren.
Aanvullend richtsnoer voor controle 8.32
Veranderingen in de productieomgevingen, zoals besturingssystemen en databases, kunnen de integriteit en beschikbaarheid van applicaties in gevaar brengen, met name de overdracht van software van de ontwikkelings- naar de productieomgeving.
Een ander risico waar organisaties voorzichtig mee moeten zijn, is dat het veranderen van software in de productieomgeving onbedoelde gevolgen kan hebben.
Om deze risico's te voorkomen, moeten organisaties tests uitvoeren op ICT-componenten in een omgeving die geïsoleerd is van de ontwikkel- en productieomgevingen.
Hierdoor krijgen organisaties meer controle over nieuwe software en wordt een extra beschermingslaag geboden voor gegevens uit de echte wereld die voor testdoeleinden worden gebruikt. Deze extra bescherming kan worden bereikt via patches en servicepacks.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/8.32 vervangt 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Over het geheel genomen was de versie van 2013 prescriptiever vergeleken met de versie van 2022 wat betreft de vereisten voor wijzigingsbeheerprocedures.
Er zijn drie belangrijke verschillen tussen de twee versies die moeten worden benadrukt.
ISO 27002:2013-versie was gedetailleerder in termen van wat de 'wijzigingsprocedure' zou moeten inhouden
Zowel versie 27002:2022 als versie 27002:2013 geven op niet-uitputtende wijze aan wat een 'wijzigingsprocedure' zou moeten omvatten.
De versie uit 2013 bevatte echter de volgende elementen waar in de versie uit 2022 niet naar verwezen werd:
- Beveiligingskritische code moet worden geïdentificeerd en beoordeeld om kwetsbaarheden te verhelpen.
- Organisaties moeten versiebeheer behouden voor alle updates die op software worden geïmplementeerd.
- Organisaties moeten een lijst identificeren en documenteren van alle hardware- en softwarecomponenten die moeten worden aangepast en bijgewerkt.
Versie 2013: 'Wijzigingen in besturingsplatforms' aangepakt
Controle 14.2.3 in versie 27002:2013 behandelde hoe organisaties de nadelige gevolgen en verstoringen van de bedrijfsvoering kunnen minimaliseren als er wijzigingen worden aangebracht in besturingssystemen.
De 27002:2022-versie bevat daarentegen geen vereisten voor dergelijke wijzigingen.
Versie 2013 aangepakt 'Wijzigingen in softwarepakketten'
Controle 14.2.4 in versie 27002:2013 heeft betrekking op 'Wijzigingen in softwarepakketten'. Integendeel, de 27002:2022-versie bevat geen vereisten voor dergelijke wijzigingen.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
Ons cloudgebaseerde platform biedt u een robuust raamwerk van informatiebeveiligingscontroles, zodat u uw ISMS-proces onderweg kunt controleren om er zeker van te zijn dat het voldoet aan de vereisten van ISO 27000k.
Op de juiste manier gebruikt, ISMS. online kan u helpen bij het behalen van certificering met een absoluut minimum aan tijd en middelen.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
