- sien ISO 27002:2022 Beheer 5.11 vir meer inligting.
- sien ISO 27001:2013 Bylae A 8.1.4 vir meer inligting.
Veilige en voldoenende bate-terugsending met ISO 27001-beheer 5.11
ISO 27001:2022 Beheer 5.11 van Bylae A bepaal dat personeel en ander belanghebbende partye alle bates wat deur die organisasie besit word moet teruggee by verandering van diens, kontrak of ooreenkoms.
By die beëindiging van diens, kontrak of ooreenkoms, word daar van werknemers en eksterne partygebruikers verwag om alle inligting en organisatoriese bates terug te gee.
Werknemers, kontrakteurs en ander moet verplig word om alle bates te vervang. Hierdie verpligting sal ingesluit word in die relevante ooreenkomste met personeel, kontrakteurs en ander.
'n Soliede, gedokumenteerde proses behoort die opbrengs van bates te bestuur. Hierdie proses kan gedokumenteer word vir elke individu of verskaffer wat daardeur gaan. Bylae A.6.5 vir menslike hulpbronsekuriteit, Bylae 6.6 vir vertroulikheidsooreenkomste, en Bylae A.5.20 vir verskafferaktiwiteit bring dit in lyn met uitgangbeheermaatreëls.
Organisasies moet geskrewe beleide hê wat definieer watter bates by beëindiging teruggestuur moet word en personeel om ontvangs te bevestig en voorraad en boekhouding van bates te verseker.
Wat is die doel van aanhangsel A 5.11?
Die volgende is voorbeelde van inligtingsbates vir 'n organisasie:
- Fisiese dokumente.
- Digitale lêers en databasisse.
- Sagteware programme.
- Selfs ontasbare items soos handelsgeheime en intellektuele eiendom.
'n Maatskappy se inligtingsbates kan op baie maniere waardevol wees. Dit sluit in die bevat van sensitiewe inligting oor sy kliënte, werknemers of ander belanghebbendes wat slegte akteurs kan uitbuit vir finansiële gewin of identiteitsdiefstal. Benewens finansiële, navorsings- en bedryfsinligting, kan hulle jou mededingers 'n mededingende voordeel bied as hulle toegang daartoe kon verkry.
Om hierdie rede moet alle bates en bates van werknemers en kontrakteurs wat hul diens by 'n organisasie beëindig, teruggegee word.
As deel van die uittreeproses moet bates volgens die proses terugbesorg word, tensy anders ooreengekom en gedokumenteer:
- Bylae A.5 gee 'n uiteensetting van die stappe wat geneem moet word indien die nie-terugsending aangeteken word as a veiligheidsvoorval.
- Om volgehoue beskerming te verseker, periodieke bate-oudits is ook nodig om te verseker dat die teruggawe van bates-prosedure onfeilbaar is.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Verandering van indiensnemingstatus volgens ISO 27001:2022 Bylae a 5.11
As deel van die verandering of beëindiging van diens, kontrakte of ooreenkomste, beskerm beheer 5.11 die organisasie se bates. Ongemagtigde individue word verbied om organisasiebates (insluitend toerusting, inligting, sagteware, ens.) onder hierdie Bylae A-beheer te behou.
U moet verseker dat u werknemers en kontrakteurs nie sensitiewe data neem nie deur potensiële bedreigings te identifiseer en die gebruiker se aktiwiteit te monitor voordat hulle vertrek.
Wanneer 'n individu beëindig word, verhoed hierdie Bylae A-beheer hulle om toegang tot IT-stelsels en -netwerke te verkry. 'n Formele beëindigingsproses moet deur organisasies ingestel word sodat individue nie meer toegang tot enige IT-stelsels kan kry nie. Jy kan dit bereik deur alle toestemmings te herroep, rekeninge te deaktiveer en toegang tot geboupersele te verwyder.
Dit is nodig om prosedures daar te stel om te verseker dat alle werknemers, kontrakteurs en ander relevante partye alle bates teruggee wat nie meer vir besigheidsdoeleindes benodig word nie. Hierdie bates moet so gou moontlik vervang word.
Organisasies moet ook die individu se werkarea nagaan om te verseker dat alle sensitiewe inligting teruggestuur is.
Oorweeg byvoorbeeld:
- Die organisasie se toerusting (skootrekenaars en verwyderbare media) word by skeiding ingesamel.
- By kontrakvoltooiing word van kontrakteurs verwag om alle toerusting en inligting terug te gee.
Bou 'n uitgangproses en wat u moet doen
’n Organisasie moet sy veranderings- of beëindigingsproses formaliseer, wat insluit die terugbesorging van alle voorheen uitgereikte fisiese en elektroniese bates wat aan hom besit of toevertrou is.
Enige toegangsregte, rekeninge, digitale sertifikate en wagwoorde moet ook verwyder word as deel van die proses. Hierdie formalisering is veral van kritieke belang wanneer 'n verandering of beëindiging onverwags plaasvind, soos dood of bedanking. Ongemagtigde toegang tot organisasiebates kan lei tot 'n databreuk indien nie verhinder nie.
'n Veilige wegdoening/teruggaweproses behoort te verseker dat alle bates verantwoord word.
ISO 27001:2022 vereis dat die organisasie alle inligting en verwante bates wat teruggestuur moet word identifiseer en dokumenteer, insluitend:
- Gebruikerseindpunttoestelle.
- Draagbare bergingstoestelle.
- Spesialis toerusting.
- Stawing hardeware (bv. meganiese sleutels, fisiese tekens en slimkaarte) vir inligtingstelsels, werwe en fisiese argiewe.
- Fisiese afskrifte van inligting.
Na beëindiging moet die gebruiker 'n formele kontrolelys voltooi wat al die items bevat wat teruggestuur of weggedoen moet word. Hierdie kontrolelys moet enige vereiste handtekeninge insluit om te bevestig dat die bates behoorlik terugbesorg of van die hand gesit is.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Wat is die veranderinge en verskille vanaf ISO 27001:2013?
ISO 27001:2013 is in Oktober 2022 opgedateer na ISO 27001:2022.
Bylae A Beheer 5.11 is nie nuut nie, maar 'n wysiging van Bylae A Beheer 8.1.4 – die teruggawe van bates.
In die implementeringsriglyne is Bylae A-kontroles in wese dieselfde, met soortgelyke taal en fraseologie. Maar ISO 27001:2022 se Bylae A beheer 5.11 het 'n kenmerktabel waarmee gebruikers dit kan pas by wat hulle implementeer. Beheer 5.11 in ISO 27001:2022 spesifiseer watter bates aan die einde van diens of kontrakbeëindiging teruggegee kan word.
Voorbeelde hiervan is:
- Gebruikerseindpunttoestelle.
- Draagbare bergingstoestelle.
- Spesialis toerusting.
- Stawing hardeware (bv. meganiese sleutels, fisiese tekens en slimkaarte) vir inligtingstelsels, werwe en fisiese argiewe.
- Fisiese afskrifte van inligting.
In die ISO 27001:2013-weergawe is hierdie lys nie beskikbaar nie.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Hoe raak hierdie veranderinge jou?
ISO 27001:2022 is 'n opdatering van die 2013-standaard. Die komitee wat toesig hou oor die standaard het geen noemenswaardige veranderings aangebring nie.
[case_study_slider ids=”88859,101932,92016″ outospeel=”waar” outospeelspoed=”5000″]
Hoe ISMS.online Help
Jy kan implementeer en bestuur 'n ISO 27001/27001 Inligtingsekuriteitsbestuurstelsel met ISMS.online, ongeag jou ervaring met die standaard.
Die perfekte samesmelting van kennis en tegnologie vir vroeë ISO 27001-sukses. ISMS.online sluit 'n beleid en hulpmiddel vir Batebestuur.
Met ons stelsel sal jy stap-vir-stap gelei word deur 'n ISMS op te stel en dit te bestuur:
- ISMS.online bied 'n stap-vir-stap gids vir die implementering van ISO 27001/27002 in enige organisasie.
- ’n Risiko-assesseringsinstrument wat jou deur die risiko-identifikasie- en assesseringsproses lei.
- Ons bied 'n polispakket wat aanlyn aangepas kan word om by u behoeftes te pas.
- Die bestuur van dokumente en rekords as deel van jou ISMS is makliker met 'n dokumentbeheerstelsel.
- Beter besluitneming deur outomatiese verslagdoening.
- Met ons wolk-gebaseerde platform, sal jy in staat wees om bewys van voldoening aan die ISO 27001-raamwerk met 'n kontrolelys van jou prosesse.
Kontak vandag nog om bespreek 'n demo.
