Meteen naar de inhoud
ISMS.online

ISO 27002:2022 – Controle 8.7 – Bescherming tegen malware

ISO 27002:2022 Controle 8.7 – Bescherming tegen malware beschrijft de belangrijkste maatregelen om malwarebedreigingen te voorkomen, detecteren en beperken door middel van anti-malwaresoftware, gebruikersopleidingen, toegangscontroles en veilig wijzigingsbeheer.

Auteur
Toby Cane
Bijgewerkt juli 25, 2025
4 / 5 sterren

Doel van de controle 8.7

Malware vertegenwoordigt de grootste bedreiging voor de bedrijfscontinuïteit en informatiebeveiliging waarmee bedrijven in het digitale tijdperk worden geconfronteerd.

De mondiale commerciële gemeenschap wordt dagelijks geconfronteerd met talloze bedreigingen van een breed scala aan aanvalsvectoren die ongeautoriseerde toegang proberen te krijgen tot gevoelige systemen en gegevens, informatie en geld willen ontfutselen, bescheiden werknemers willen misleiden en vrijgekochte gegevens willen misbruiken voor buitensporige sommen geld.

De benadering van een organisatie ten aanzien van de bescherming tegen malware moet centraal staan ​​in elk informatiebeveiligingsbeleid.

Control 8.7 bevat een reeks maatregelen die organisaties helpen hun werknemers voor te lichten over de gevaren van kwaadaardige software, en zinvolle praktische maatregelen te implementeren die interne en externe aanvallen tegenhouden voordat ze de kans krijgen om verstoring en gegevensverlies te veroorzaken.

Attributen Controletabel 8.7

Controle 8.7 is een preventief met drievoudige doeleinden, detective en correctief controleer dat houdt het risico in stand door beleid en procedures te implementeren die ervoor zorgen dat de informatie, gegevens en activa van een organisatie worden beschermd tegen malware.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Systeem- en netwerkbeveiliging #Bescherming
#Detective #Integriteit #Detecteer #Informatiebescherming #Verdediging
#Correctief #Beschikbaarheid

Eigendom van zeggenschap 8.7

Hoewel bescherming tegen malware praktische stappen omvat die moeten worden genomen door ICT-beheerders en standaardgebruikers, is het onderwerp zelf veelomvattend en omvat het meerdere afzonderlijke bedrijfsfuncties met verschillende risiconiveaus en talloze aanvullende ISO-controles. Als zodanig moet het eigendom van Control 8.7 bij de Chief Information Security Officer, of organisatorisch equivalent.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Algemene richtlijnen voor naleving

Control 8.7 vraagt ​​organisaties een benadering van malwarebescherming te hanteren die vier belangrijke gebieden omvat:

  • Anti-malware software
  • Organisatie-informatiebeveiligingsbewustzijn (gebruikerstraining)
  • Gecontroleerde systemen en accounttoegang
  • Wijzig beheer

ISO wijst er categorisch op dat het een vergissing is om aan te nemen dat anti-malwaresoftware alleen een adequate reeks maatregelen vertegenwoordigt. Control 8.7 vraagt ​​organisaties in plaats daarvan om een ​​end-to-end benadering van malwarebescherming te hanteren, die begint met gebruikerseducatie en eindigt met een strak gecontroleerd netwerk dat het risico op inbraak via verschillende aanvalsvectoren minimaliseert.

Om dit doel te bereiken moeten organisaties controles implementeren die:

  1. Voorkom het gebruik van ongeautoriseerde software (zie Controles 8.19 en 8.32).
  2. Blokkeer verkeer naar kwaadaardige of ongepaste websites.
  3. Minimaliseer de hoeveelheid kwetsbaarheden in hun netwerk die potentieel kunnen worden uitgebuit door malware of kwaadaardige bedoelingen (zie Controles 8.8 en 8.19).
  4. Voer regelmatig software-audits uit waarbij het netwerk wordt gescand op ongeautoriseerde software, systeemwijzigingen en/of gegevens.
  5. Zorg ervoor dat gegevens en applicaties met minimaal risico worden verkregen, zowel intern als extern.
  6. Stel een malwaredetectiebeleid op dat regelmatige en grondige scans van alle relevante systemen en bestanden omvat, gebaseerd op de unieke risico's van elk te scannen gebied. Organisaties moeten een 'defence in depth'-benadering hanteren die eindpuntapparaten en gateway-controles omvat, en rekening houdt met een breed scala aan aanvalsvectoren (bijvoorbeeld ransomware).
  7. Bescherm u tegen indringers die voortkomen uit noodprocedures en -protocollen – vooral tijdens een incident of onderhoudsactiviteiten met een hoog risico.
  8. Stel een proces op waarmee technisch personeel sommige of alle anti-malware-inspanningen kan uitschakelen, vooral wanneer dergelijke activiteiten het vermogen van de organisatie om zaken te doen belemmeren.
  9. Implementeer een robuust back-up- en noodherstelplan (BUDR) waarmee de organisatie de operationele activiteiten zo snel mogelijk kan hervatten na een verstoring (zie Controle 8.13). Dit zou procedures moeten omvatten die betrekking hebben op software die niet kan worden gedekt door anti-malwaresoftware (dwz machinesoftware).
  10. Deel delen van het netwerk en/of digitale en virtuele werkomgevingen af ​​die bij een aanval catastrofale verstoringen kunnen veroorzaken.
  11. Voorzie alle relevante medewerkers van een anti-malwarebewustzijnstraining die gebruikers informeert over een breed scala aan onderwerpen, waaronder (maar niet beperkt tot):

    • Social engineering
    • E-mail beveiliging
    • Het installeren van schadelijke software

  12. Verzamel branchegerelateerde informatie over de nieuwste ontwikkelingen op het gebied van malwarebescherming.
  13. Zorg ervoor dat meldingen over potentiële malware-aanvallen (vooral van software- en hardwareleveranciers) afkomstig zijn van een vertrouwde bron en accuraat zijn.

Ondersteunende controles

  • 8.13
  • 8.19
  • 8.32
  • 8.8


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

ISO 27002:2022-8.7 vervangt ISO 27002:2003-12.2.1 (controles tegen malware).

27002:2022-8.7 bevat dezelfde basisrichtlijnen als 27002:2003-12.2.1, en verheft een aantal aanvullende richtlijnen tot algemene richtlijnen, in overeenstemming met hun belang voor de anti-malware-inspanningen van een organisatie, met name:

  • Bescherming tegen malware tijdens onderhoudsperiodes.

27002:2003-12.2.1 vraagt ​​organisaties ook om het gebruik van twee afzonderlijke anti-malwareplatforms te overwegen, terwijl 27002:2022-8.7 tevreden is met één enkele uniforme oplossing.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Wijzig beheer
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons platform biedt u aanpasbare dashboards waarmee u realtime inzicht krijgt in uw nalevingsstatus.

U kunt alle aspecten van uw ISO 27002-compliancetraject vanaf één plek monitoren en beheren: auditbeheer, gap-analyse, trainingsbeheer, risicobeoordeling enz.

Het biedt een gebruiksvriendelijke, geïntegreerde oplossing die 24/7 toegankelijk is via elk apparaat met een internetverbinding. Met het platform kunnen alle medewerkers naadloos en veilig samenwerken om beveiligingsrisico's te beheren en de naleving van de organisatie te volgen, evenals het traject naar ISO 27001-certificering.

Neem vandaag nog contact op met boek een demo.

Toby Cane

Partner Klantensuccesmanager

Toby Cane is Senior Partner Success Manager voor ISMS.online. Hij werkt al bijna vier jaar voor het bedrijf en heeft diverse functies vervuld, waaronder het hosten van hun webinars. Voordat hij in SaaS ging werken, was Toby docent in het voortgezet onderwijs.

LinkedIn

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.