ISO 27001:2022 Bylae A Beheer 8.9

Konfigurasiebestuur

Bespreek 'n demo

naby, op, beeld, afrikaans, manlik, hande, tik, op, skootrekenaar, sleutelbord.

Doel van ISO 27001:2022 Bylae A 8.9

Konfigurasies, hetsy as 'n individuele konfigurasielêer of 'n versameling konfigurasies wat aan mekaar gekoppel is, bepaal hoe hardeware, sagteware en netwerke bestuur word.

As 'n voorbeeld sal 'n firewall se konfigurasielêer die basislyn-kenmerke bevat wat die toestel gebruik om die verkeer wat 'n organisasie se netwerk binnekom en verlaat, te bestuur, soos bloklyste, poortaanstuur, virtuele LAN's en VPN-inligting.

Konfigurasiebestuur vorm 'n noodsaaklike deel van enige organisasie s'n Batebestuur strategie. Konfigurasies is van kardinale belang om seker te maak dat 'n netwerk werk soos dit moet, en om toestelle te beskerm teen ongoedgekeurde veranderinge of onvanpaste veranderings deur instandhoudingspersoneel en/of verskaffers.

Eienaarskap van Bylae A 8.9

Konfigurasiebestuur is 'n administratiewe plig wat toegewy is aan die instandhouding en waarneming van bateverwante data en inligting wat op verskeie toestelle en toepassings teenwoordig is. Daarom moet eienaarskap in die hande van die Hoof van IT of die ekwivalent.

Spring na Onderwerp

Riglyne oor ISO 27001:2022 Bylae A 8.9 Voldoening

Organisasies moet konfigurasiebestuurbeleide vir beide nuwe en bestaande stelsels en hardeware opstel en uitvoer. Interne kontroles moet sleutelelemente soos sekuriteitkonfigurasies, hardeware met konfigurasielêers en enige toepaslike sagteware of stelsels insluit.

Die ISO 27001: 2022 Bylae A 8.9 vereis van organisasies om alle relevante rolle en pligte te oorweeg wanneer 'n konfigurasiebeleid daargestel word, insluitend die toekenning van eienaarskap van konfigurasies op 'n toestel-vir-toestel of toepassing-vir-toepassing basis.

Leiding oor standaardsjablone

Organisasies moet daarna streef om gestandaardiseerde sjablone te gebruik om alle hardeware, sagteware en stelsels te beveilig wanneer dit ook al prakties is. Hierdie sjablone moet:

  • Probeer om vrylik beskikbare verkoperspesifieke en oopbroninstruksies te gebruik om hardeware- en sagtewarebates optimaal op te stel.

  • Maak seker dat die toestel, toepassing of stelsel aan die minimum sekuriteitsvereistes voldoen.

  • Werk saam met die maatskappy se groter inligting-sekuriteit aktiwiteite, insluitend alle toepaslike ISO-regulasies.

  • Neem die spesiale besigheidsbehoeftes van die organisasie in ag – veral met betrekking tot sekuriteitsinstellings – sowel as die moontlikheid om 'n sjabloon op enige gegewe tydstip toe te pas of te bestuur.

  • Hersien met gereelde tussenposes die stelsel- en hardeware-opdaterings, en enige huidige sekuriteitsbedreigings, om optimale werkverrigting te verseker.

Riglyne oor sekuriteitskontroles

Sekuriteit is van uiterste belang wanneer opstellingsjablone toegepas word of bestaandes verander word in ooreenstemming met die riglyne hierbo genoem.

Wanneer sjablone oorweeg word wat deur die maatskappy geïmplementeer moet word, moet organisasies daarna streef om potensiële inligtingsekuriteitsgevare te verminder deur:

  • Beperk die hoeveelheid personeel met administratiewe gesag tot die minste moontlike hoeveelheid.

  • Deaktiveer enige identiteite wat nie gebruik word nie of nie nodig is nie.

  • Volg toegang tot instandhoudingsprogramme, nutsprogramme en interne instellings noukeurig.

  • Maak seker dat horlosies gekoördineer is om konfigurasie akkuraat aan te teken en enige toekomstige probes te help.

  • Verander dadelik enige verstekwagwoorde of veiligheidsinstellings wat by enige toestel, diens of program voorsien word.

  • Implementeer 'n voorafbepaalde afmeldperiode vir enige toestelle, stelsels of toepassings wat vir 'n voorafbepaalde tydraamwerk onaktief was.

  • Verseker voldoening aan ISO 27001:2022 Bylae A 5.32 om te verseker dat aan alle lisensievereistes voldoen is.

Leiding oor die bestuur en monitering van konfigurasies

Die organisasie is verplig om konfigurasies te behou en aan te teken, tesame met 'n geskiedenis van enige veranderinge of nuwe opstellings, in ooreenstemming met die ISO 27001:2022 Bylae A 8.32 Veranderingsbestuurproses.

Logs moet inligting insluit wat besonderhede bevat:

  • Wie hou die bate.

  • Teken die tyd van die jongste konfigurasieverandering aan.

  • Hierdie weergawe van die opstellingsjabloon wat in werking is.

  • Verduidelik enige data wat relevant is tot die bate se assosiasie met konfigurasies op ander toestelle/stelsels.

Organisasies moet 'n wye spektrum van metodes gebruik om die funksionering van konfigurasielêers oor hul netwerk dop te hou, soos:

  • Outomatisering.

  • Gespesialiseerde konfigurasie-instandhoudingsprogramme is beskikbaar vir gebruik. Hierdie programme maak doeltreffende en effektiewe bestuur van instellings moontlik.

  • Afstandondersteuningsnutsgoed wat outomaties konfigurasiedata vir elke toestel invul.

  • Ondernemingstoestel- en sagtewarebestuurnutsmiddels word geskep om groot hoeveelhede konfigurasiedata gelyktydig waar te neem.

  • Die BUDR-sagteware verskaf outomatiese rugsteun van konfigurasies na 'n veilige plek, en kan sjablone op 'n afstand of op die perseel herstel na wanfunksionele of gekompromitteerde toestelle.

Organisasies moet gespesialiseerde sagteware gebruik om enige veranderinge aan 'n toestel se konfigurasie te monitor, en vinnig op te tree om die transformasie óf goed te keur óf terug te keer na sy aanvanklike status.

Bygaande Bylae A Kontroles

  • ISO 27001:2022 Bylae A 5.32

  • ISO 27001:2022 Bylae A 8.32

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 8.9 is nie teenwoordig in ISO 27001:2013 nie, aangesien dit 'n nuwe toevoeging in die 2022-hersiening is.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 vind Aanhangsel A Beheer.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online Help

ISMS.Online bied 'n omvattende benadering tot ISO 27001 implementering. Dit bied 'n volledige dienspakket wat verseker dat die hele proses vinnig en doeltreffend hanteer word. Dit verskaf al die nodige gereedskap, hulpbronne en leiding om organisasies in staat te stel om die standaard met selfvertroue te implementeer.

Hierdie webgebaseerde stelsel laat jou toe om te demonstreer dat jou Inligtingsekuriteitbestuurstelsel (ISMS) voldoen aan die aanvaarde standaarde, met weldeurdagte prosesse, prosedures en kontrolelyste.

Kontak ons ​​nou om reël 'n demonstrasie.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind