- sien ISO 27002:2022 Beheer 8.9 vir meer inligting.
Doel van ISO 27001:2022 Bylae A 8.9
Konfigurasies, hetsy as 'n individuele konfigurasielêer of 'n versameling konfigurasies wat aan mekaar gekoppel is, bepaal hoe hardeware, sagteware en netwerke bestuur word.
As 'n voorbeeld sal 'n firewall se konfigurasielêer die basislyn-kenmerke bevat wat die toestel gebruik om die verkeer wat 'n organisasie se netwerk binnekom en verlaat, te bestuur, soos bloklyste, poortaanstuur, virtuele LAN's en VPN-inligting.
Konfigurasiebestuur vorm 'n noodsaaklike deel van enige organisasie s'n Batebestuur strategie. Konfigurasies is van kardinale belang om seker te maak dat 'n netwerk werk soos dit moet, en om toestelle te beskerm teen ongoedgekeurde veranderinge of onvanpaste veranderings deur instandhoudingspersoneel en/of verskaffers.
Eienaarskap van Bylae A 8.9
Konfigurasiebestuur is 'n administratiewe plig wat toegewy is aan die instandhouding en waarneming van bateverwante data en inligting wat op verskeie toestelle en toepassings teenwoordig is. Daarom moet eienaarskap in die hande van die Hoof van IT of die ekwivalent.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Riglyne oor ISO 27001:2022 Bylae A 8.9 Voldoening
Organisasies moet konfigurasiebestuurbeleide vir beide nuwe en bestaande stelsels en hardeware opstel en uitvoer. Interne kontroles moet sleutelelemente soos sekuriteitkonfigurasies, hardeware met konfigurasielêers en enige toepaslike sagteware of stelsels insluit.
Die ISO 27001: 2022 Bylae A 8.9 vereis van organisasies om alle relevante rolle en pligte te oorweeg wanneer 'n konfigurasiebeleid daargestel word, insluitend die toekenning van eienaarskap van konfigurasies op 'n toestel-vir-toestel of toepassing-vir-toepassing basis.
Leiding oor standaardsjablone
Organisasies moet daarna streef om gestandaardiseerde sjablone te gebruik om alle hardeware, sagteware en stelsels te beveilig wanneer dit ook al prakties is. Hierdie sjablone moet:
- Probeer om vrylik beskikbare verkoperspesifieke en oopbroninstruksies te gebruik om hardeware- en sagtewarebates optimaal op te stel.
- Maak seker dat die toestel, toepassing of stelsel aan die minimum sekuriteitsvereistes voldoen.
- Werk saam met die maatskappy se groter inligting-sekuriteit aktiwiteite, insluitend alle toepaslike ISO-regulasies.
- Neem die spesiale besigheidsbehoeftes van die organisasie in ag – veral met betrekking tot sekuriteitsinstellings – sowel as die moontlikheid om 'n sjabloon op enige gegewe tydstip toe te pas of te bestuur.
- Hersien met gereelde tussenposes die stelsel- en hardeware-opdaterings, en enige huidige sekuriteitsbedreigings, om optimale werkverrigting te verseker.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Riglyne oor sekuriteitskontroles
Sekuriteit is van uiterste belang wanneer opstellingsjablone toegepas word of bestaandes verander word in ooreenstemming met die riglyne hierbo genoem.
Wanneer sjablone oorweeg word wat deur die maatskappy geïmplementeer moet word, moet organisasies daarna streef om potensiële inligtingsekuriteitsgevare te verminder deur:
- Beperk die hoeveelheid personeel met administratiewe gesag tot die minste moontlike hoeveelheid.
- Deaktiveer enige identiteite wat nie gebruik word nie of nie nodig is nie.
- Volg toegang tot instandhoudingsprogramme, nutsprogramme en interne instellings noukeurig.
- Maak seker dat horlosies gekoördineer is om konfigurasie akkuraat aan te teken en enige toekomstige probes te help.
- Verander dadelik enige verstekwagwoorde of veiligheidsinstellings wat by enige toestel, diens of program voorsien word.
- Implementeer 'n voorafbepaalde afmeldperiode vir enige toestelle, stelsels of toepassings wat vir 'n voorafbepaalde tydraamwerk onaktief was.
- Verseker voldoening aan ISO 27001:2022 Bylae A 5.32 om te verseker dat aan alle lisensievereistes voldoen is.
Leiding oor die bestuur en monitering van konfigurasies
Die organisasie is verplig om konfigurasies te behou en aan te teken, tesame met 'n geskiedenis van enige veranderinge of nuwe opstellings, in ooreenstemming met die ISO 27001:2022 Bylae A 8.32 Veranderingsbestuurproses.
Logs moet inligting insluit wat besonderhede bevat:
- Wie hou die bate.
- Teken die tyd van die jongste konfigurasieverandering aan.
- Hierdie weergawe van die opstellingsjabloon wat in werking is.
- Verduidelik enige data wat relevant is tot die bate se assosiasie met konfigurasies op ander toestelle/stelsels.
Organisasies moet 'n wye spektrum van metodes gebruik om die funksionering van konfigurasielêers oor hul netwerk dop te hou, soos:
- Outomatisering.
- Gespesialiseerde konfigurasie-instandhoudingsprogramme is beskikbaar vir gebruik. Hierdie programme maak doeltreffende en effektiewe bestuur van instellings moontlik.
- Afstandondersteuningsnutsgoed wat outomaties konfigurasiedata vir elke toestel invul.
- Ondernemingstoestel- en sagtewarebestuurnutsmiddels word geskep om groot hoeveelhede konfigurasiedata gelyktydig waar te neem.
- Die BUDR-sagteware verskaf outomatiese rugsteun van konfigurasies na 'n veilige plek, en kan sjablone op 'n afstand of op die perseel herstel na wanfunksionele of gekompromitteerde toestelle.
Organisasies moet gespesialiseerde sagteware gebruik om enige veranderinge aan 'n toestel se konfigurasie te monitor, en vinnig op te tree om die transformasie óf goed te keur óf terug te keer na sy aanvanklike status.
Bygaande Bylae A Kontroles
- ISO 27001:2022 Bylae A 5.32
- ISO 27001:2022 Bylae A 8.32
[case_study_slider ids=”88859,101932,92016″ outospeel=”waar” outospeelspoed=”5000″]
Veranderinge en verskille vanaf ISO 27001:2013
ISO 27001:2022 Bylae A 8.9 is nie teenwoordig in ISO 27001:2013 nie, aangesien dit 'n nuwe toevoeging in die 2022-hersiening is.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 vind Aanhangsel A Beheer.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Hoe ISMS.online Help
ISMS.Online bied 'n omvattende benadering tot ISO 27001 implementering. Dit bied 'n volledige dienspakket wat verseker dat die hele proses vinnig en doeltreffend hanteer word. Dit verskaf al die nodige gereedskap, hulpbronne en leiding om organisasies in staat te stel om die standaard met selfvertroue te implementeer.
Hierdie webgebaseerde stelsel laat jou toe om te demonstreer dat jou Inligtingsekuriteitbestuurstelsel (ISMS) voldoen aan die aanvaarde standaarde, met weldeurdagte prosesse, prosedures en kontrolelyste.
Kontak ons nou om reël 'n demonstrasie.