ISO 27001:2022 Bylae A Beheer 8.22

Skeiding van netwerke

Bespreek 'n demo

shutterstock 1410209846 afgeskaal

Wanneer kubermisdadigers rekenaarstelsels, dienste of toestelle binnedring, beperk hulle hulself nie tot daardie bates alleen nie.

Hulle maak gebruik van die eerste infiltrasie om 'n maatskappy se hele netwerk binne te dring, toegang tot sensitiewe data te verkry, of om losprysware-aanvalle uit te voer.

Kuberskelms kan die aanmeldbesonderhede van HR-personeel by 'n hospitaal steel ná 'n suksesvolle uitvissing-aanval, wat hulle toegang tot HR-stelsels gee.

Deur hul toegangspunt te gebruik, kan die aanvallers die netwerk deurkruis en netwerke ontbloot wat vertroulike pasiëntdata bevat. Hierdie indringing kan lei tot die verlies van data, ontwrigting van bedrywighede veroorsaak, of selfs die deur oopmaak vir 'n losprysware-aanval.

Die hospitaal kan ongemagtigde toegang tot vertroulike data voorkom en die gevolge van 'n oortreding verminder deur netwerksegmenteringstegnieke soos brandmure, virtuele netwerke of bedienerisolasie te gebruik.

ISO 27001:2022 Bylae A 8.22 beskryf hoe maatskappye geskikte netwerksegregasiemetodes kan toepas en bewaar om risiko's vir die beskikbaarheid, integriteit en vertroulikheid van inligtingsbates te voorkom.

Doel van ISO 27001:2022 Bylae A 8.22

ISO 27001:2022 Bylae A 8.22 laat organisasies toe om hul IT-netwerke in subnetwerke te verdeel, afhangende van die mate van sensitiwiteit en belangrikheid, en om die oordrag van inligting tussen daardie verskillende subnetwerke te beperk.

Organisasies kan dit gebruik om te keer dat wanware en virusse van besmette netwerke na dié wat sensitiewe data bevat, beweeg.

Dit waarborg dit organisasies beveilig die vertroulikheid, integriteit en toeganklikheid van databates wat op noodsaaklike subnetwerke gestoor word.

Eienaarskap van Bylae A 8.22

Die Inligtingssekerheidsbeampte moet verantwoordelik gehou word vir die nakoming van ISO 27001:2022 Bylae A 8.22, wat die segmentering van netwerke, toestelle en stelsels volgens risiko's en die toepassing van netwerksegregasietegnieke en -prosedures vereis.

Spring na Onderwerp
Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Algemene riglyne oor ISO 27001:2022 Bylae A 8.22 Voldoening

Organisasies moet daarna streef om ewewig tussen operasionele behoeftes en sekuriteitsbekommernisse te bereik wanneer hulle netwerksegregasieregulasies instel.

Die ISO 27001: 2022 Aanhangsel A Beheer 8.22 verskaf drie aanbevelings om in ag te neem wanneer netwerksegregasie opgestel word.

Hoe om die netwerk in kleiner subnetwerke te skei

Wanneer die netwerk in kleiner sub-domeine verdeel word, moet organisasies die sensitiwiteit en belangrikheid van elke netwerkdomein in ag neem. Afhangende van hierdie assessering, kan netwerksubdomeine gemerk word as 'publieke domeine', 'rekenaardomeine', 'bedienerdomeine' of 'hoërisikostelsels'.

Organisasies moet sakedepartemente soos HR, bemarking en finansies in ag neem in die proses om hul netwerk te segmenteer.

Organisasies kan ook hierdie twee kriteria saamvoeg, deur netwerksubdomeine in kategorieë toe te ken, soos "bedienerdomein wat na die verkoopsafdeling koppel".

Sekuriteitsperimeters en toegangsbeheer

Organisasies moet die grense van elke netwerksubdomein eksplisiet afbaken. As daar toegang tussen twee verskillende netwerkdomeine moet wees, moet hierdie verbinding op die perimetriese vlak beperk word deur die gebruik van poorte soos firewalls of filterroeteerders.

Organisasies moet die sekuriteitsbehoeftes vir elke domein evalueer wanneer hulle netwerkskeiding vestig en wanneer toegang deur poorte verleen word.

Hierdie assessering moet uitgevoer word in ooreenstemming met die toegangsbeheerbeleid wat deur ISO 27001:2022 Bylae A 5.15 opdrag gegee word, met inagneming van die volgende:

  • Die klassifikasie wat aan inligtingsbates toegeken word, is op watter vlak.

  • Die belangrikheid van die inligting is uiters belangrik.

  • Koste en praktiese gebruik is belangrike faktore wanneer besluit word watter poorttegnologie om te gebruik.

Draadlose netwerke

Die ISO 27001: 2022 Bylae A 8.22 beveel aan dat organisasies die volgende praktyke nakom wanneer hulle netwerksekuriteitsparameters vir draadlose netwerke skep:

  • Evalueer die gebruik van metodes vir aanpassing van radiodekking om draadlose netwerke te verdeel.

  • Vir delikate netwerke kan organisasies alle draadlose toegangspogings as eksterne verbindings neem en toegang tot interne netwerke verbied totdat die poortbeheer goedkeuring verleen.

  • Personeel moet slegs hul eie toestelle gebruik in ooreenstemming met die organisasie se beleid; die netwerktoegang wat aan personeel en gaste verskaf word, moet apart gehou word.

  • Besoekers moet onderhewig wees aan dieselfde regulasies met betrekking tot Wi-Fi-gebruik as spanlede.

Aanvullende leiding oor ISO 27001:2022 Bylae A 8.22

Organisasies moet verseker dat alle sakevennootskappe onderhewig is aan toepaslike sekuriteitsmaatreëls. Bylae A 8.22 raai organisasies aan om maatreëls te implementeer om hul netwerk, IT-toestelle en ander inligtingsfasiliteite te beskerm wanneer hulle met sakevennote skakel.

Netwerke wat sensitief is, kan aan 'n verhoogde risiko van ongemagtigde toegang blootgestel word. Om hierteen te beskerm, moet organisasies die toepaslike stappe neem.

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 8.22 vervang ISO 27001:2013 Bylae A 13.1.3 in die jongste ISO-hersiening.

In vergelyking met ISO 27001:2013, vereis die ISO 27001:2022-hersiening die volgende van draadlose netwerke:

  • Indien personeel by die organisasie se beleid hou en slegs hul eie toestelle gebruik, moet die draadlose netwerktoegang wat vir personeel en besoekers verskaf word apart gehou word.

  • Gaste moet onderhewig wees aan dieselfde beperkings en kontroles rakende Wi-Fi as personeel.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online Help

ISMS.Online fasiliteer jou om:

  • Dokument prosesse maklik met hierdie gebruikersvriendelike koppelvlak. Geen sagteware-installasie word op jou rekenaar of netwerk vereis nie.

  • Stroomlyn jou risiko-evalueringsprosedure deur dit te outomatiseer.

  • Bereik nakoming met gemak deur aanlynverslae en kontrolelyste te gebruik.

  • Hou 'n rekord van jou vordering terwyl jy na sertifisering werk.

ISMS.online bied 'n omvattende stel funksies om organisasies en besighede te help om die industrie te ontmoet ISO 27002 en/of ISO 27001:2022 ISMS-standaard.

Kom in kontak met ons om 'n demonstrasie te reël.

Kyk hoe ons jou kan help

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

100% ISO 27001 sukses

Jou eenvoudige, praktiese, tydbesparende pad na die eerste keer nakoming of sertifisering van ISO 27001

Bespreek jou demo
Metode van versekerde resultate

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind