ISO 27701 – Clausule 6.3.2 – Mobiele apparaten en telewerken

ISO 27701 Clausule 6.3.2 gaat over beleid voor het beheer van mobiele apparaten en werken op afstand. Hierbij wordt de nadruk gelegd op de noodzaak voor organisaties om specifieke controles te implementeren om eindpuntapparaten te beveiligen en gegevensbescherming te waarborgen tijdens werkzaamheden op afstand.

Demo Aanvragen
Auteur
Max Edwards
Bijgewerkt op 25 februari 2025
LinkedIn Twitter Twitter

ISO 27701-naleving: beheer van mobiele apparaten en risico's bij werken op afstand

Mobiele apparaten en werken op afstand worden snel een essentieel onderdeel van de moderne werkplek.

De behoefte van de organisatie om ervoor te zorgen dat allerlei soorten apparaten vallen onder een algemeen apparaatbeleid voor eindgebruikers dat rekening houdt met de aard van het apparaat, hoe het zal worden gebruikt in combinatie met PII, hoe het wordt beheerd door de organisatie en wat de verplichtingen van de eindgebruiker zijn tijdens het gebruik van het apparaat.

ISO vraagt ​​organisaties om eindpuntapparaten op twee manieren te categoriseren:

  1. Apparaten die moeten worden gebruikt binnen de grenzen van het netwerk en de fysieke gebouwen van de organisatie.
  2. Apparaten die zowel binnen als buiten het LAN en de fysieke gebouwen van de organisatie worden gebruikt.

Wat wordt er behandeld in ISO 27701, clausule 6.3.2

Paragraaf 6.3.2 behandelt twee belangrijke aspecten van wat voorheen bekend stond als 'telewerken', maar nu beter bekend staat als 'werken op afstand': apparaatbeheer en algemene principes van werken op afstand.

Paragraaf 6.3.2 verdeelt deze in twee subclausules, die richtlijnen bevatten voor twee gekoppelde subclausules die betrekking hebben op organisatorische gegevensbeveiliging in ISO 27002:

  1. ISO 27701 6.3.2.1 – Mobiele apparaten en telewerken (Referenties ISO 27002 Controle 8.1)
  2. ISO 27701 6.3.2.2 – Telewerken (referenties ISO 27002 Controle 6.7)

Subclausule 6.3.2.1 bevat verdere richtlijnen over de toepasselijke gebieden van de AVG-wetgeving.

Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.

Geen van beide subclausules bevat aanvullende richtlijnen voor het opzetten of onderhouden van een PIMS, binnen de context van werken op afstand of het beheer van gebruikersapparatuur.



Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen


ISO 27701 Clausule 6.3.2.1 – Beleid voor mobiele apparaten

Referenties ISO 27002 Controle 8.1

Organisaties moeten onderwerpspecifiek beleid implementeren dat betrekking heeft op verschillende categorieën eindpuntapparaten en softwareversies van mobiele apparaten, en hoe beveiligingscontroles moeten worden afgestemd op het verbeteren van de gegevensbeveiliging.

Bij het mobiele-apparaatbeleid, de procedures en de ondersteunende beveiligingsmaatregelen van een organisatie moet rekening worden gehouden met:

  1. De verschillende categorieën gegevens die het apparaat zowel kan verwerken als opslaan.
  2. Hoe apparaten worden geregistreerd en geïdentificeerd op het netwerk.
  3. Hoe apparaten fysiek worden beschermd.
  4. Eventuele beperkingen op applicaties en software-installaties.
  5. Beheer op afstand, inclusief updates en patches.
  6. Gebruikerstoegangscontroles, inclusief RBAC indien nodig.
  7. Versleuteling.
  8. Antimalware-tegenmaatregelen (beheerd of onbeheerd).
  9. BUDR.
  10. Browserbeperkingen.
  11. Gebruikersanalyses (zie ISO 27002 Controle 8.16).
  12. De installatie, het gebruik en het beheer op afstand van verwijderbare opslagapparaten of verwijderbare randapparatuur.
  13. Hoe u gegevens op het apparaat kunt scheiden, zodat PII wordt gescheiden van standaard apparaatgegevens (inclusief de persoonlijke gegevens van de gebruiker). Hierbij moet ook worden overwogen of het al dan niet gepast is om welke organisatiegegevens dan ook op het fysieke apparaat op te slaan, in plaats van het apparaat te gebruiken om er online toegang toe te bieden.
  14. Wat er gebeurt als een apparaat kwijtraakt of wordt gestolen – dat wil zeggen het voldoen aan wettelijke, regelgevende of contractuele vereisten en het omgaan met de verzekeraars van de organisatie.

Individuele verantwoordelijkheid van de gebruiker

Iedereen in de organisatie die externe toegang gebruikt, moet expliciet op de hoogte worden gesteld van het beleid en de procedures voor mobiele apparaten die op hen van toepassing zijn binnen de context van beveiligd eindpuntapparaatbeheer.

Gebruikers moeten de instructie krijgen om:

  1. Sluit alle actieve werksessies wanneer deze niet langer in gebruik zijn.
  2. Implementeer fysieke en digitale beveiligingsmaatregelen, zoals vereist door het beleid.
  3. Houd rekening met hun fysieke omgeving – en de inherente veiligheidsrisico’s die deze met zich meebrengen – wanneer u met behulp van het apparaat toegang krijgt tot beveiligde gegevens.

Breng uw eigen apparaat (BYOD)

Organisaties die toestaan ​​dat personeel persoonlijke apparaten gebruikt, moeten ook rekening houden met de volgende beveiligingsmaatregelen:

  • Het installeren van software op het apparaat (inclusief mobiele telefoons) die helpt bij het scheiden van zakelijke en persoonlijke gegevens.
  • Het afdwingen van een BYOD-beleid dat het volgende omvat:
    • Erkenning van organisatorisch eigendom van PII.
    • Fysieke en digitale beschermingsmaatregelen (zie hierboven).
    • Verwijdering van gegevens op afstand.
    • Alle maatregelen die zorgen voor afstemming op de PII-wetgeving en regelgevingsrichtlijnen.
  • IE-rechten, met betrekking tot bedrijfseigendom van alles dat op een persoonlijk apparaat is geproduceerd.
  • Organisatorische toegang tot het apparaat – hetzij voor doeleinden van privacybescherming, hetzij om te voldoen aan een intern of extern onderzoek.
  • EULA's en softwarelicenties die kunnen worden beïnvloed door het gebruik van commerciële software op een particulier apparaat.

Draadloze configuraties

Bij het opstellen van procedures die betrekking hebben op draadloze connectiviteit op eindpuntapparaten moeten organisaties:

  • Overweeg zorgvuldig hoe dergelijke apparaten verbinding moeten kunnen maken met draadloze netwerken voor internettoegang, met het oog op de bescherming van PII.
  • Zorg ervoor dat draadloze verbindingen voldoende capaciteit hebben om back-ups of andere onderwerpspecifieke functies mogelijk te maken.

Relevante ISO 27002-controles

  • ISO 27002 controle 8.9 – Configuratiebeheer
  • ISO 27002 controle 8.16 – Monitoringactiviteiten

Toepasselijke AVG-artikelen

  • Artikel 5 – (1)(f)


Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


ISO 27701 Clausule 6.3.2.2 – Telewerken

Referenties ISO 27002 Controle 6.7

Net als bij het beheer van gebruikersapparaten moet het beleid voor werken op afstand onderwerpspecifiek zijn en gerelateerd zijn aan de verschillende rollen die binnen de organisatie worden vervuld.

Bij het formuleren van beleid voor werken op afstand moeten organisaties rekening houden met het volgende:

  • Eventuele risico's hebben invloed op de fysieke beveiliging en informatiebeveiliging van apparaten op specifieke externe werklocaties, inclusief toegang door onbevoegd personeel.
  • Controles die bedrijfsgegevens beschermen, waaronder transportbeveiliging, clear desk-beleid, beveiligd afdrukken, antimalwareplatforms, firewalls enz.
  • Een categorische lijst met geaccepteerde locaties voor werken op afstand, inclusief openbare ruimtes zoals hotels, openbare vergaderruimtes en telewerklocaties.
  • Hoe het apparaat gaat communiceren met het netwerk van de organisatie (VPN-parameters enz.), in relatie tot de categorie gegevens die wordt overgedragen en de aard van de PII-bewerking van de organisatie.
  • Virtuele desktopomgevingen.
  • Draadloze beveiligingsprotocollen en de onderliggende beveiligingsrisico's die voorkomen in thuis- of openbare netwerken.
  • Beheer op afstand van apparaten (uitschakelen op afstand, installaties, verwijderen van gegevens enz.).
  • Authenticatiemethoden, meer specifiek het gebruik van MFA.

Om de privacybescherming te verbeteren en PII te beschermen, moet het algemene en onderwerpspecifieke beleid voor werken op afstand het volgende omvatten:

  1. Het leveren van adequate apparatuur (ICT-apparatuur en fysieke opslagmaatregelen), waar dergelijke apparatuur niet aanwezig is in de externe werkomgeving.
  2. Duidelijke richtlijnen over het soort werk dat mag worden uitgevoerd en welke systemen, gegevens en applicaties op afstand toegankelijk zijn.
  3. Trainingsprogramma's die het werken op afstand regelen, zowel wat betreft de gebruikte apparaten als wat er vanuit praktisch en contractueel perspectief van telewerkers wordt verwacht.
  4. Maatregelen die granulair beheer op afstand van eindpuntapparaten mogelijk maken, inclusief schermvergrendelingsfunctionaliteit, GPS-tracking en auditing op afstand.
  5. Fysieke beveiligingsmaatregelen die het gebruik van externe apparatuur van de organisatie en de gebruiker regelen, inclusief toegang door derden.
  6. Verzekeringsdekking.
  7. Een specifiek BUDR-plan voor werken op afstand, inclusief controles op de bedrijfscontinuïteit.
  8. Procedures die beschrijven hoe externe gebruikerstoegang indien nodig wordt beperkt of ingetrokken.

Ondersteunende controles van ISO 27002 en AVG

ISO 27701-clausule-identificatieISO 27701 ClausulenaamISO 27002-vereisteBijbehorende AVG-artikelen
6.3.2.1Beleid voor mobiele apparaten
8.1 – Gebruikerseindpuntapparaten voor ISO 27002
 Artikel (5)
6.3.2.2Telewerken
6.7 – Werken op afstand voor ISO 27002
Geen

Hoe ISMS.online helpt

Bij ISMS.online kunnen we supply chain informatiebeveiligingsbeheer integreren in uw ISMS.

Snelle en praktische prestatiestatistieken kunnen ook worden gebruikt om de voortgang van uw leveranciers en andere externe partnerschappen te monitoren.

Gebruik ISMS.online Clusters om de hele supply chain op één locatie samen te brengen voor duidelijkheid, inzicht en controle.

Lees meer en krijg een praktische demonstratie door een demo boeken.

Ga naar onderwerp

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

ISMS-platformtour

Geïnteresseerd in een ISMS.online platform tour?

Start nu uw gratis interactieve demo van 2 minuten en ervaar de magie van ISMS.online in actie!

Probeer het gratis

Wij zijn een leider in ons vakgebied

Gebruikers houden van ons
Grid Leader - Zomer 2025
Momentum Leader - Zomer 2025
Regionale leider - Zomer 2025 Europa
Regionale leider - Zomer 2025 EMEA
Regionale leider - Zomer 2025 VK
High Performer - Zomer 2025 Europa

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

-Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

-Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

-Ben H.