ISO 27701 Clausule 6.9.2: Versterking van strategieën voor verdediging tegen malware
Zelfs binnen de meest robuuste en waterdichte netwerken kunnen storingen en inbraken voorkomen.
Organisaties moeten ervan uitgaan dat kritieke scenario's zich op elk moment kunnen voordoen en PII tegen inbreuk beschermen en de bedrijfscontinuïteit garanderen met veelzijdige en duidelijk begrepen BUDR-procedures.
Wat wordt er behandeld in ISO 27701, clausule 6.9.2
ISO 27701 clausule 6.9.2 bevat twee subclausules die richtlijnen bieden voor antimalwaretechnieken en BUDR-functies.
Beide clausules zijn gekoppeld aan informatie opgenomen in ISO 27002, met begeleiding aangeboden in het kader van PII en privacybescherming:
- ISO 27701 6.9.2.1 Controles tegen malware (Referenties ISO 27002 controle 8.7)
- ISO 27701 6.9.3.1 Informatieback-up (referenties ISO 27002-controle 8.13)
ISO 27701 6.9.3.1 bevat richtlijnen die relevant zijn voor verschillende artikelen in de Britse AVG-wetgeving – met een samenvatting voor uw gemak – en uitgebreide aanvullende richtlijnen over hoe organisaties het maken van back-ups en het herstellen van PII moeten aanpakken.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.9.2.1 – Controles tegen malware
Referenties ISO 27002 Controle 8.7
Om PII en privacygerelateerde activa te beschermen, moeten organisaties een reeks antimalwaretechnieken en -platforms inzetten, waaronder:
- Een lijst bijhouden van beperkte/verboden software en applicaties (zie ISO 27002 controles 8.19 en 8.32).
- Contentfiltering gebruiken om de toegang tot verdachte websites te blokkeren.
- Inzetten van maatregelen op het gebied van ‘technisch kwetsbaarheidsbeheer’ (zie ISO 27002 controles 8.8 en 8.19).
- Het regelmatig controleren van het gebruik van software en data, om eventuele ongeautoriseerde of verdachte applicaties en systemen op te sporen.
- Bescherming tegen de risico's die gepaard gaan met het verkrijgen van gegevens en/of applicaties uit externe en externe bronnen.
- Regelmatige antimalwarescans uitvoeren die het hele netwerk bestrijken, inclusief e-mail, websites en verwijderbare media.
- Nadenken over waar op het netwerk antimalwaretools moeten worden ingezet (bijvoorbeeld gateway-beveiliging en het bevorderen van 'defense in depth').
- Het monitoren van incidenten en kritische interventies, om ervoor te zorgen dat malware niet per ongeluk op het netwerk wordt geïntroduceerd in tijden waarin de standaard ICT-regels worden omzeild.
- Werken met processen die kritische interventie tegen vermoedelijke inbraken mogelijk maken, zoals het tijdelijk uitschakelen van kritieke systeemprocessen, inclusief een grondige rechtvaardigings- en beoordelingsprocedure.
- Robuuste BUDR- en bedrijfscontinuïteitsplannen, inclusief het uitschakelen en/of isoleren van operationele omgevingen (zie ISO 27002 controle 8.13).
- Bewustmakingstraining voor alle gebruikers (zie ISO 27002 controle 6.3).
- Het behouden van een actieve aanwezigheid in de antimalwaregemeenschap en het op de hoogte blijven van de nieuwste trends op het gebied van cyberbeveiliging, waaronder virusdefinities, aanvalsvectoren en herstelmaatregelen.
- Ervoor zorgen dat alle bruikbare communicatie over malware uit externe bronnen onafhankelijk wordt geverifieerd en afkomstig is van een betrouwbare bron.
Relevante ISO 27002-controles
- ISO 27002 6.3
- ISO 27002 8.8
- ISO 27002 8.13
- ISO 27002 8.19
- ISO 27002 8.32
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.9.3.1 – Informatieback-up
Referenties ISO 27002 Controle 8.13
Organisaties moeten onderwerpspecifiek beleid opstellen dat rechtstreeks ingaat op de manier waarop de organisatie een back-up maakt van de relevante gebieden van haar netwerk om PII te beschermen en de veerkracht tegen privacygerelateerde incidenten te verbeteren.
BUDR-procedures moeten worden opgesteld om het primaire doel te bereiken: dit te garanderen allen bedrijfskritische gegevens, software en systemen kunnen hierna worden hersteld Data Loss, indringing, zakelijke onderbreking en kritische mislukkingen.
Prioritair moeten BUDR-plannen:
- Geef een overzicht van de herstelprocedures die alle kritieke systemen en services bestrijken.
- In staat zijn om werkbare kopieën te maken van alle systemen, gegevens of applicaties die deel uitmaken van een back-uptaak.
- Voldoen aan de commerciële en operationele vereisten van de organisatie (zie ISO 27002 controle 5.30).
- Bewaar back-ups op een tegen de omgeving beschermde locatie die fysiek gescheiden is van de brongegevens (zie ISO 27002 controle 8.1).
- Test en evalueer regelmatig back-uptaken aan de hand van de door de organisatie voorgeschreven hersteltijden, om de beschikbaarheid van gegevens te garanderen.
- Versleutel alle PII-gerelateerde back-upgegevens.
- Controleer nogmaals of er gegevens verloren zijn gegaan voordat u een back-uptaak uitvoert.
- Hanteer een rapportagesysteem dat het personeel op de hoogte stelt van de status van back-uptaken.
- Probeer gegevens van cloudgebaseerde platforms die niet rechtstreeks door de organisatie worden beheerd, op te nemen in interne back-uptaken.
- Bewaar back-ups in overeenstemming met een passend PII-retentiebeleid (zie ISO 27002 controle 8.10).
Aanvullende PII-specifieke richtlijnen
Organisaties moeten afzonderlijke procedures ontwikkelen die uitsluitend betrekking hebben op PII (ook al zijn deze opgenomen in hun hoofd-BUDR-plan).
Wanneer er een nieuwe baan wordt gecreëerd, banen worden gewijzigd of nieuwe PII-gegevens aan de BUDR-routine worden toegevoegd, moet rekening worden gehouden met regionale verschillen in de PII-BUDR-standaarden (contractueel, juridisch en regelgevend).
Wanneer de noodzaak zich voordoet om PII te herstellen na een BUDR-incident, moeten organisaties er goed op letten de PII in de oorspronkelijke staat terug te brengen en de herstelactiviteiten bekijken om eventuele problemen met de nieuwe gegevens op te lossen.
Organisaties moeten een logboek bijhouden van herstelactiviteiten, inclusief personeel dat betrokken is bij het herstel, en een beschrijving van de PII die is hersteld.
Organisaties moeten contact opnemen met wetgevende of regelgevende instanties en ervoor zorgen dat hun procedures voor het herstellen van PII in lijn zijn met wat er van hen wordt verwacht als PII-verwerker en -controleur.
Relevante ISO 27002-controles
- ISO 27002 5.30
- ISO 27002 8.1
- ISO 27002 8.10
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(c)
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.9.2.1 | Controles tegen malware |
8.7 – Bescherming tegen malware voor ISO 27002 |
Geen |
| 6.9.3.1 | Informatieback-up |
8.13 – Informatieback-up voor ISO 27002 |
Artikelen (5), (32) |
Hoe ISMS.online helpt
Om ISO 27701 te behalen moet u een Privacy Informatie Management Systeem bouwen. Met ons voorgeconfigureerde PIMS kunt u snel en eenvoudig klant-, leveranciers- en personeelsinformatie organiseren en beheren om volledig te voldoen aan ISO 27701.
Ook kunt u op het ISMS.online platform tegemoet komen aan het groeiende aantal mondiale, regionale en sectorspecifieke privacyregelgeving die wij ondersteunen.
Om de certificering volgens ISO 27701 (privacy) te behalen, moet u eerst de certificering volgens ISO 27001 (informatiebeveiliging) behalen. Het goede nieuws is dat ons platform u kan helpen beide moeiteloos te doen!
Meer informatie via een demo boeken.
