Audittests spelen een cruciale rol bij het opsporen en elimineren van veiligheidsrisico's en kwetsbaarheden in de informatiesystemen.
De auditproces, ongeacht of deze wordt uitgevoerd in operationele, test- of ontwikkelomgevingen, kan gevoelige informatie blootstellen aan de risico's van ongeoorloofde openbaarmaking of verlies van integriteit en beschikbaarheid.
Controle 8.34 gaat over hoe organisaties de controle kunnen behouden beveiliging van informatiemiddelen tijdens audittests.
Controle 8.34 stelt organisaties in staat risico's voor de organisatie te elimineren en te beperken beveiliging van informatiesystemen en aan de continuïteit van de bedrijfsvoering door het vaststellen en toepassen van passende maatregelen en controles, zoals toegangsbeperkingen en alleen-lezen-toegangsbeperkingen.
Controle 8.34 is preventief van aard, omdat het de het hogere management en de auditor om audittests te plannen en overeen te komen procedures, beperkingen en controles voorafgaand aan het uitvoeren van audits.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- en netwerkbeveiliging #Informatiebescherming | #Governance en ecosysteem #Bescherming |
de IT Het managementteam moet verantwoordelijk zijn voor het plannen en overeenkomen van auditprocedures en om de nodige maatregelen te creëren en toe te passen.
Controle 8.34 somt acht specifieke eisen op die organisaties in overweging moeten nemen:
Wanneer audits worden uitgevoerd op test- of ontwikkelomgevingen, moeten organisaties voorzichtig zijn met de volgende risico's:
27002:2022/8.34 replace 27002:2013/(12.7.1)
Hoewel de versie uit 2022 in grote mate vergelijkbaar is met de versie uit 2013, zijn er twee belangrijke verschillen.
De versie van 2022 introduceert de volgende vereiste waarnaar in de versie van 2013 niet werd verwezen:
Als een toegangsverzoek wordt geautoriseerd, moeten organisaties eerst verifiëren dat apparaten die worden gebruikt om toegang te krijgen tot systemen voldoen aan de beveiligingsvereisten voordat ze toegang verlenen.
In de Aanvullende Leidraad waarschuwt de versie van 2022 organisaties voor de veiligheidsrisico's als gevolg van audits die zijn uitgevoerd op test- en ontwikkelomgevingen. In de versie uit 2013 werd daarentegen niet verwezen naar de test- en ontwikkelomgevingen.
ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.
Ons platform is intuïtief en gemakkelijk te gebruiken. Het is niet alleen voor zeer technische mensen; het is voor iedereen in uw organisatie. Wij moedigen u aan om medewerkers op alle niveaus van uw bedrijf te betrekken bij het opbouwen van uw bedrijf ISMS, omdat je daarmee een echt duurzaam systeem bouwt.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |