ISO 27001:2022 Bylae A 6.7, Remote Working verskaf leiding oor hoe organisasies 'n beleid in plek moet hê om veilige toegang tot inligtingstelsels en netwerke te verseker wanneer hulle op afstand werk. Dit beveel verder die implementering van 'n inligtingsekuriteitbestuurstelsel wat prosedures vir die beskerming van afstandtoegang insluit.
Afstandswerk het 'n meer wydverspreide neiging geword, aangesien tegnologie gevorder het om werknemers in staat te stel om op afstand te werk sonder om produktiwiteit en doeltreffendheid te beïnvloed. Dit kom nietemin met die potensiaal vir kommer oor datasekuriteit.
Om 'n besigheidseienaar te wees, is dit nodig om intellektuele eiendom teen kubermisdadigers te beskerm en die veiligheid van data teen kuberkrakers te verseker. Deur op te tree, kan 'n mens teen kubermisdaad waak en die sekuriteit van inligting waarborg.
Afstandwerk kan 'n reeks sekuriteitsrisiko's inhou wat aangespreek moet word, soos:
Afstandswerk kan voordelig wees, wat groter toegang tot vertroulike data en stelsels bied. Dit kom nietemin met verskeie veiligheidsoorwegings.
Afstandswerk, indien nie korrek toesig gehou word nie, kan kwesbaar wees vir sekuriteitskwessies soos inbraak, wanware, ongemagtigde toegang en meer. Dit is veral die geval as werknemers nie in 'n veilige omgewing teenwoordig is nie.
Afstandswerk kan ook 'n uitwerking op 'n besigheid s'n hê fisiese veiligheid. Aangesien personeel nie meer in die kantoor of 'n gebou teenwoordig is nie, kan hulle moontlik geen verdagte aktiwiteite opspoor nie.
Afstandswerk kan 'n risiko vir vertroulikheid inhou. Werknemers kan byvoorbeeld toegang tot vertroulike inligting verkry sonder toestemming van die maatskappy.
Werknemers kan maklik toegang verkry tot vertroulike korporatiewe data vanaf die publieke web. Boonop is daar selfs webwerwe waar personeel vertroulike data kan oplaai vir publieke besigtiging.
Afstandwerk kan 'n uitwerking op die privaatheid van 'n organisasie hê. As personeel byvoorbeeld van die huis af werk, kan hulle meer geneig wees om nie hul persoonlike besittings weg te bêre nie.
Hierdie eiendom kan vertroulike data bevat wat 'n firma se privaatheid in gevaar kan stel.
Afstandwerk kan 'n gevaar vir 'n besigheid se data inhou. Werknemers kan byvoorbeeld op afstand toegang tot maatskappyinligting verkry, en hierdie data kan op verskeie plekke gestoor word.
In die geval van werknemers wat die werkplek verlaat en hul toestel saamneem, herwinning van data wat op rekenaars, bedieners en mobiele toestelle kan meer uitdagend wees.
Die werker kan fouteer of in slegte trou met die toestel optree, wat die sekuriteit van die data in gevaar stel.
Die doel van ISO 27001:2022 Bylae A 6.7 is om te verseker dat afstandpersoneel die nodige toegangskontroles in plek het om die vertroulikheid, integriteit en beskikbaarheid van vertroulike of eiendomsinligting, prosedures en stelsels te beskerm teen ongemagtigde toegang of openbaarmaking deur ongemagtigde persone.
Organisasies moet die sekuriteit van inligting verseker wanneer personeel op afstand werk. Hulle moet dus 'n pasgemaakte beleid rakende afstandwerk uitreik wat die toepaslike voorwaardes en limiete vir datasekuriteit uiteensit. Hierdie beleid moet aan alle personeel versprei word, insluitend instruksies oor hoe om afstandtoegangstegnologie veilig en veilig te gebruik.
Hierdie beleid sal waarskynlik aanspreek:
Dit is noodsaaklik om 'n duidelike stelsel om voorvalle aan te meld, insluitend die regte kontakinligting. Dit kan help om sekuriteitsbreuke of ander voorvalle te voorkom.
Die beleid moet ook enkripsie, brandmure, antivirus sagteware-opdaterings en werknemersinstruksies dek oor hoe om afgeleë verbindings veilig te gebruik.
Om aan Bylae A 6.7 te voldoen, moet organisasies wat afstandwerk aanbied 'n beleid rakende afstandwerk uitreik wat die verwante regulasies en limiete spesifiseer.
Die beleid moet periodiek beoordeel word, veral wanneer tegnologie of wetgewing verander.
Alle personeel, kontrakteurs en entiteite wat by afstandwerkaktiwiteite betrokke is, moet van die beleid ingelig word.
Die beleid moet gedokumenteer word, toeganklik gemaak word vir belanghebbendes, soos reguleerders en ouditeure, en op datum gehou word.
Organisasies moet seker maak dat hulle die nodige voorsorgmaatreëls het om sensitiewe of vertroulike inligting te beveilig wat tydens afgeleë bedrywighede elektronies versend of gestoor word.
In ooreenstemming met Bylae A 6.7, moet die volgende in ag geneem word:
Riglyne en maatreëls wat in ag geneem moet word, moet die volgende insluit:
ISO 27001:2022 Bylae A 6.7 is 'n aanpassing van Bylae A 6.2.2 van ISO 27001:2013 en nie 'n nuwe element nie.
ISO 27001:2022 Bylae A 6.7 en 6.2.2 deel baie ooreenkomste, hoewel die nomenklatuur en bewoording verskil. In ISO 27001:2013 word 6.2.2 na verwys as telewerk, terwyl 6.7 bekend staan as afstandwerk. Hierdie verandering word weerspieël in die nuwe weergawe van die standaard, wat telewerk met afstandwerk vervang.
In Bylae A 6.7 van ISO 27001:2022, beskryf die standaard wat as afstandwerk kwalifiseer, insluitend telewerk – die aanvanklike beheernaam in die ISO 27001:2013-weergawe.
Weergawe 2022 van die implementeringsriglyne stem grootliks ooreen, hoewel die taal en terme verskil. Om te verseker dat gebruikers van die standaard verstaan, word gebruikersvriendelike taal gebruik.
Sommige byvoegings is gemaak in Bylae A 6.7, en sommige skrappings het voorgekom in 6.2.2.
ISO 27001:2022 gee stellings van doel en kenmerktabelle vir elke beheer, wat gebruikers help om die kontroles meer effektief te begryp en in die praktyk toe te pas.
Die ISO 27001:2013-weergawe het nie hierdie twee komponente nie.
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Organisatoriese kontroles | Bylae A 5.1 | Bylae A 5.1.1 Bylae A 5.1.2 | Beleide vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
Organisatoriese kontroles | Bylae A 5.8 | Bylae A 6.1.5 Bylae A 14.1.1 | Inligtingsekuriteit in projekbestuur |
Organisatoriese kontroles | Bylae A 5.9 | Bylae A 8.1.1 Bylae A 8.1.2 | Inventaris van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.10 | Bylae A 8.1.3 Bylae A 8.2.3 | Aanvaarbare gebruik van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
Organisatoriese kontroles | Bylae A 5.14 | Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 | Inligtingsoordrag |
Organisatoriese kontroles | Bylae A 5.15 | Bylae A 9.1.1 Bylae A 9.1.2 | Toegangsbeheer |
Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
Organisatoriese kontroles | Bylae A 5.17 | Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 | Verifikasie inligting |
Organisatoriese kontroles | Bylae A 5.18 | Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 | Toegangsregte |
Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
Organisatoriese kontroles | Bylae A 5.22 | Bylae A 15.2.1 Bylae A 15.2.2 | Monitering, hersiening en veranderingsbestuur van verskafferdienste |
Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
Organisatoriese kontroles | Bylae A 5.29 | Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 | Inligtingsekuriteit tydens ontwrigting |
Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
Organisatoriese kontroles | Bylae A 5.31 | Bylae A 18.1.1 Bylae A 18.1.5 | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.36 | Bylae A 18.2.2 Bylae A 18.2.3 | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
Mense beheer | Bylae A 6.8 | Bylae A 16.1.2 Bylae A 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
Fisiese beheer | Bylae A 7.2 | Bylae A 11.1.2 Bylae A 11.1.6 | Fisiese toegang |
Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
Fisiese beheer | Bylae A 7.10 | Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 | Berging media |
Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Tegnologiese kontroles | Bylae A 8.1 | Bylae A 6.2.1 Bylae A 11.2.8 | Gebruikerseindpunttoestelle |
Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
Tegnologiese kontroles | Bylae A 8.8 | Bylae A 12.6.1 Bylae A 18.2.3 | Bestuur van Tegniese Kwesbaarhede |
Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
Tegnologiese kontroles | Bylae A 8.15 | Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 | Logging |
Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van bevoorregte nutsprogramme |
Tegnologiese kontroles | Bylae A 8.19 | Bylae A 12.5.1 Bylae A 12.6.2 | Installering van sagteware op bedryfstelsels |
Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
Tegnologiese kontroles | Bylae A 8.24 | Bylae A 10.1.1 Bylae A 10.1.2 | Gebruik van kriptografie |
Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
Tegnologiese kontroles | Bylae A 8.26 | Bylae A 14.1.2 Bylae A 14.1.3 | Toepassingsekuriteitsvereistes |
Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige stelselargitektuur en ingenieursbeginsels |
Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
Tegnologiese kontroles | Bylae A 8.29 | Bylae A 14.2.8 Bylae A 14.2.9 | Sekuriteitstoetsing in ontwikkeling en aanvaarding |
Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
Tegnologiese kontroles | Bylae A 8.31 | Bylae A 12.1.4 Bylae A 14.2.6 | Skeiding van ontwikkeling-, toets- en produksie-omgewings |
Tegnologiese kontroles | Bylae A 8.32 | Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 | Veranderings bestuur |
Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Die primêre plig om 'n inligtingsekuriteitsbeleid vir afgeleë werknemers lê by die organisasie se inligtingsekuriteitsbeampte. Nietemin moet ander belanghebbendes ook by die proses betrek word.
IT- en HR-bestuurders is gesamentlik verantwoordelik om te verseker dat die beleid geïmplementeer en onderhou word, en dat werknemers dit begryp en daarby hou.
As jy 'n verskafferbestuursprogram het, is dit waarskynlik dat die individu verantwoordelik vir die bestuur van kontrakteurs en verskaffers verantwoordelik sal wees vir die vorming van 'n sekuriteitsbeleid vir eksterne werkers in daardie departement.
ISO 27001:2022 bly grootliks onveranderd; dus moet jy eenvoudig verseker dat jou inligtingsekuriteitsprosesse aan die nuwe vrystelling voldoen.
Die vernaamste verandering was om sekere kontroles te verander en sekere vereistes uit te klaar. Bylae A 6.7 het die belangrikste effek gehad – as jy bedrywighede uitkontrakteer of mense op afstand in diens neem, moet jy seker maak dat hulle geskikte sekuriteitsmaatreëls het.
As jou organisasie reeds 'n ISO 27001 sertifisering, sal die proses wat jy gebruik om inligtingsekuriteit te bestuur aan die nuwe regulasies voldoen.
As jy op soek is na jou ISO 27001 sertifisering, hoef jy geen stappe te doen nie. Maak net seker dat jou prosedures steeds met die nuwe standaard ooreenstem.
As jy van die begin af begin, is dit nodig om te oorweeg hoe om jou maatskappy se data en inligting teen kuberaanvalle en ander risiko's te beskerm.
Dit is noodsaaklik om kuberrisiko's ernstig op te neem en dit te bestuur as deel van die algehele sakeplan, eerder as om dit net as 'n probleem vir IT- of sekuriteitsdepartemente te beskou.
Die ISMS.aanlyn platform help met elke faset van ISO 27001:2022-implementering, van die uitvoer van risiko-evalueringsaktiwiteite tot die ontwerp van beleide, prosedures en voorskrifte om aan die standaard se spesifikasies te voldoen.
ISMS.online bied 'n platform om bevindinge met kollegas te dokumenteer en te deel. Verder stel dit jou in staat om kontrolelyste van al die nodige take vir ISO 27001-implementering te genereer en te berg, wat jou in staat stel om jou organisasie se sekuriteitsmaatreëls gerieflik te monitor.
Ons voorsien organisasies van 'n stel outomatiese nutsmiddels om voldoening aan ISO 27001 eenvoudig te maak.
Kontak ons nou om bespreek 'n demonstrasie.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo