Slaan oor na inhoud
ISMS.aanlyn

ISO 27002:2022 – Beheer 8.9 – Konfigurasiebestuur

ISO 27002 Beheer 8.9 (Konfigurasiebestuur) beklemtoon die behoefte vir organisasies om beleide daar te stel en af ​​te dwing om stelselkonfigurasies veilig te bestuur, om operasionele integriteit te verseker en sekuriteitsrisiko's te verminder. Dit beklemtoon standaardisering, monitering en beheerde toegang om ongemagtigde veranderinge te voorkom.

skrywer
Toby Cane
Opgedateer Julie 25, 2025
4/5 sterre

Doel van beheer 8.9

Konfigurasies – of dit nou optree as 'n enkele konfigurasielêer, of 'n groep konfigurasies wat aan mekaar gekoppel is – is die onderliggende parameters wat bepaal hoe hardeware, sagteware en selfs hele netwerke bestuur word.

As 'n voorbeeld sal 'n firewall se konfigurasielêer die basislynkenmerke bevat wat die toestel gebruik om verkeer na en van 'n organisasie se netwerk te bestuur, insluitend bloklyste, poortaanstuur, virtuele LAN's en VPN-inligting.

Konfigurasiebestuur is 'n integrale deel van 'n organisasie se breër batebestuursoperasie. Konfigurasies is die sleutel om te verseker dat 'n netwerk nie net werk soos dit moet wees nie, maar ook om toestelle teen ongemagtigde veranderinge of verkeerde wysigings aan die kant van instandhoudingspersoneel en/of verskaffers te beveilig.

Eienskappe Tabel van beheer 8.9

Beheer 8.9 is a voorkomende beheer dit risiko handhaaf deur 'n reeks beleide daar te stel wat bepaal hoe 'n organisasie die gebruik van konfigurasies oor sy hele netwerk dokumenteer, implementeer, moniteer en hersien.

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm # Veilige konfigurasie #Beskerming
#Integriteit
#Beskikbaarheid

Eienaarskap van beheer 8.9

Konfigurasiebestuur is slegs 'n administratiewe taak wat handel oor die instandhouding en monitering van batekant-inligting en data wat op 'n wye reeks toestelle en toepassings voorkom. As sodanig moet eienaarskap by die IT-hoof, of organisatoriese ekwivalent, berus.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Algemene riglyne oor nakoming

Oor die algemeen, organisasie se behoefte om konfigurasiebestuurbeleide op te stel en te implementeer vir beide nuwe stelsels en hardeware, en enige wat reeds in gebruik is. Interne beheermaatreëls moet besigheidskritiese elemente soos sekuriteitkonfigurasies, alle hardeware wat 'n konfigurasielêer bevat en enige relevante sagtewaretoepassings of -stelsels insluit.

Beheer 8.9 vra organisasies om alle relevante rolle en verantwoordelikhede te oorweeg wanneer 'n konfigurasiebeleid geïmplementeer word, insluitend die gedelegeerde eienaarskap van konfigurasies op 'n toestel-vir-toestel, of toepassing-vir-toepassing basis.

Leiding – Standaard Sjablone

Waar moontlik, moet organisasies gestandaardiseerde sjablone gebruik om alle hardeware, sagteware en stelsels te beveilig. Sjablone moet:

  1. Probeer om publieke beskikbare, verskafferspesifieke en/of oopbronleiding te gebruik oor hoe om hardeware- en sagtewarebates die beste op te stel.
  2. Voldoen aan minimum sekuriteitsvereistes vir die toestel, toepassing of stelsel waarop dit van toepassing is.
  3. Werk in harmonie met die organisasie se breër inligtingsekuriteitspogings, insluitend alle relevante ISO-kontroles.
  4. Hou die organisasie se unieke besigheidsvereistes in gedagte – veral waar sekuriteitkonfigurasies ter sprake is – insluitend hoe haalbaar dit is om 'n sjabloon op enige gegewe tydstip toe te pas of te bestuur.
  5. Word met gepaste tussenposes hersien om voorsiening te maak vir stelsel- en/of hardeware-opdaterings, of enige heersende sekuriteitsbedreigings.

Leiding – Sekuriteitskontroles

Sekuriteit is uiters belangrik wanneer opstellingsjablone toegepas word, of bestaande sjablone in ooreenstemming met bogenoemde riglyne gewysig word.

Wanneer standaardsjablone vir gebruik regoor die organisasie oorweeg word, moet organisasies om enige inligtingsekuriteitsrisiko's tot die minimum te beperk:

  1. Beperk die aantal gebruikers met administrateurregte tot 'n minimum.
  2. Deaktiveer enige ongebruikte of onnodige identiteite.
  3. Monitor toegang tot instandhoudingsprogramme, nutstoepassings en interne instellings noukeurig.
  4. Maak seker dat horlosies gesinchroniseer is om die konfigurasie korrek aan te teken, en help met enige toekomstige ondersoeke.
  5. Verander onmiddellik enige verstekwagwoorde of versteksekuriteitinstellings wat by enige toestel, diens of toepassing voorsien word.
  6. Implementeer 'n verstek afmeldperiode vir enige toestelle, stelsels of toepassings wat vir 'n bepaalde tydperk dormant gelaat is.
  7. Maak seker dat aan alle lisensievereistes voldoen is (sien Kontrole 5.32).


ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Leiding – Bestuur en monitering van konfigurasies

'n Organisasie het 'n verantwoordelikheid om konfigurasies in stand te hou en te stoor, insluitend die hou van 'n ouditspoor van enige wysigings of nuwe installasies, in lyn met 'n gepubliseerde veranderingsbestuurproses (sien Beheer 8.32).

Logs moet inligting bevat wat uiteensit:

  1. Wie besit die bate.
  2. 'n Tydstempel vir die jongste konfigurasieverandering.
  3. Die huidige weergawe van die konfigurasie sjabloon.
  4. Enige relevante inligting wat die batesverwantskap met konfigurasies wat op ander toestelle of stelsels gehou word, verduidelik.

Organisasies moet 'n wye reeks tegnieke gebruik om die werking van konfigurasielêers oor hul netwerk te monitor, insluitend:

  1. Outomatisering.
  2. Gespesialiseerde konfigurasie instandhoudingsprogramme.
  3. Afstandondersteuningsnutsgoed wat opstellinginligting outomaties op 'n toestel-vir-toestel basis invul.
  4. Ondernemingstoestel- en sagtewarebestuurhulpmiddels wat ontwerp is om groot hoeveelhede konfigurasiedata op een slag te monitor.
  5. BUDR-sagteware wat konfigurasies outomaties rugsteun na 'n veilige plek, en sjablone óf op afstand óf ter plaatse herstel na gekompromitteerde en/of wanfunksionele toestelle.

Organisasies moet gespesialiseerde sagteware opstel om enige veranderinge in 'n toestel se opstelling na te spoor, en toepaslike stappe te neem om die wysiging so gou moontlik aan te spreek, hetsy deur die verandering te bekragtig of die opstelling terug te keer na sy oorspronklike toestand.

Ondersteunende riglyne

  • 5.32
  • 8.32


ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge en verskille vanaf ISO 27002:2013

Geen. Beheer 8.9 het geen presedent in ISO 27002:2013 nie, aangesien dit nuut is.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.Online is 'n volledige oplossing vir ISO 27002 implementering.

Dit is 'n webgebaseerde stelsel wat jou toelaat om te wys dat jou inligtingsekuriteitbestuurstelsel (ISMS) aan die goedgekeurde standaarde voldoen deur weldeurdagte prosesse en prosedures en kontrolelyste te gebruik.

Kontak vandag nog om bespreek 'n demo.

Toby Cane

Vennoot Kliëntesuksesbestuurder

Toby Cane is die Senior Vennoot Suksesbestuurder vir ISMS.online. Hy werk al vir byna 4 jaar vir die maatskappy en het 'n reeks rolle vervul, insluitend die aanbied van hul webinare. Voordat hy in SaaS gewerk het, was Toby 'n hoërskoolonderwyser.

LinkedIn

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platformdashboard vol op kristal

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Herfs 2025
Hoëpresteerder, Klein Besigheid - Herfs 2025 VK
Streekleier - Herfs 2025 Europa
Streekleier - Herfs 2025 EMEA
Streekleier - Herfs 2025 VK
Hoë Presteerder - Herfs 2025 Europa Middelmark

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.