ISO27001
De Norm zelf - Bijlage A
title: De Norm zelf - Bijlage A sidebar_position: 4
Bijlage A bevat 93 maatregelen die je al dan niet moet implementeren
De ISO 27001-norm komt met een Bijlage die een lijst bevat van 93 waarborgen (maatregelen) die kunnen worden geïmplementeerd om risico's te verminderen en te voldoen aan beveiligingsvereisten van belanghebbenden.
Er staat niets in clausules 4 tot 10 dat zegt dat deze beveiligingsmaatregelen (allemaal) moeten worden geïmplementeerd. Dus wat doe je met deze maatregelen?
Nou, Clausule 6.1.3c stelt dat je de maatregelen die je als verplicht hebt bepaald, moet vergelijken met de maatregelen die in Bijlage A worden geboden en moet verifiëren dat er geen noodzakelijke maatregelen zijn weggelaten. Je documenteert deze evaluatie in de Verklaring van Toepasselijkheid, die deel uitmaakt van de documentatie die je moet bijhouden. Ze hebben dus een duidelijk en belangrijk doel.
Tidal maakt het zeer eenvoudig om aan deze vereiste te voldoen. Zodra je je risicobeoordeling hebt voltooid, selecteren we al maatregelen uit de Tidal-bibliotheek die waarschijnlijk voldoen aan de vereiste risicobeperking. De Tidal-maatregelen zijn ook al gekoppeld aan toepasselijke maatregelen uit de Bijlage, en alle maatregelen uit de Bijlage zijn in kaart gebracht, waardoor wordt gegarandeerd dat aan de vereisten van de norm wordt voldaan. Zorg ervoor dat je alles nakijkt en aanpast aan je behoeften.
Structuur van Bijlage A
Bijlage A volgt een vooraf gedefinieerde structuur:
- Hoofdstuk 1: Reikwijdte (van het Bijlage A-document zelf)
- Hoofdstuk 2: Normatieve referenties (leeg hoofdstuk)
- Hoofdstuk 3: Termen, definities en afgekorte termen
- Hoofdstuk 4: Structuur van dit document
- Hoofdstuk 5: Organisatorische Maatregelen (37 maatregelen)
- Hoofdstuk 6: Personele Maatregelen (8 maatregelen)
- Hoofdstuk 7: Fysieke Maatregelen (14 maatregelen)
- Hoofdstuk 8: Technologische Maatregelen (34 maatregelen)
:::tip Alle onderstaande maatregelen zijn ook te vinden, met richtlijnen, in het Tidal-platform (pagina Frameworks). :::
Hoofdstuk 5: Organisatorische Maatregelen
- 5.1 Beleid voor informatiebeveiliging
- 5.2 Rollen en verantwoordelijkheden voor informatiebeveiliging
- 5.3 Scheiding van taken
- 5.4 Managementverantwoordelijkheden
- 5.5 Contact met autoriteiten
- 5.6 Contact met speciale belangengroepen
- 5.7 Dreigingsinformatie
- 5.8 Informatiebeveiliging in projectmanagement
- 5.9 Inventaris van informatie en andere bijbehorende activa
- 5.10 Acceptabel gebruik van informatie en andere bijbehorende activa
- 5.11 Retourneren van activa
- 5.12 Classificatie van informatie
- 5.13 Labelen van informatie
- 5.14 Informatieoverdracht
- 5.15 Toegangscontrole
- 5.16 Identiteitsbeheer
- 5.17 Authenticatie-informatie
- 5.18 Toegangsrechten
- 5.19 Informatiebeveiliging in leveranciersrelaties
- 5.20 Aanpak van informatiebeveiliging binnen leveranciersovereenkomsten
- 5.21 Beheer van informatiebeveiliging in de ICT-toeleveringsketen
- 5.22 Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
- 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
- 5.24 Planning en voorbereiding van informatiebeveiligingsincidentenbeheer
- 5.25 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
- 5.26 Reactie op informatiebeveiligingsincidenten
- 5.27 Leren van informatiebeveiligingsincidenten
- 5.28 Verzamelen van bewijs
- 5.29 Informatiebeveiliging tijdens verstoring
- 5.30 ICT-gereedheid voor bedrijfscontinuïteit
- 5.31 Wettelijke, statutaire, regelgevende en contractuele vereisten
- 5.32 Intellectuele eigendomsrechten
- 5.33 Bescherming van gegevens
- 5.34 Privacy en bescherming van PII
- 5.35 Onafhankelijke beoordeling van informatiebeveiliging
- 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
- 5.37 Gedocumenteerde bedrijfsprocedures
Hoofdstuk 6: Personele maatregelen
- 6.1 Screening
- 6.2 Arbeidsvoorwaarden
- 6.3 Bewustzijn, onderwijs en training op het gebied van informatiebeveiliging
- 6.4 Disciplinair proces
- 6.5 Verantwoordelijkheden na beëindiging of wijziging van dienstverband
- 6.6 Geheimhoudings- of niet-openbaarmakingsovereenkomsten
- 6.7 Werken op afstand
- 6.8 Rapportage van informatiebeveiligingsgebeurtenissen
Hoofdstuk 7: Fysieke maatregelen
- 7.1 Fysieke beveiligingsperimeters
- 7.2 Fysieke toegang
- 7.3 Beveiliging van kantoren, ruimtes en faciliteiten
- 7.4 Fysieke beveiligingsmonitoring
- 7.5 Bescherming tegen fysieke en omgevingsbedreigingen
- 7.6 Werken in beveiligde gebieden
- 7.7 Opgeruimd bureau en opgeruimd scherm
- 7.8 Plaatsing en bescherming van apparatuur
- 7.9 Beveiliging van activa buiten het terrein
- 7.10 Opslagmedia
- 7.11 Ondersteunende nutsvoorzieningen
- 7.12 Kabelbeveiliging
- 7.13 Onderhoud van apparatuur
- 7.14 Veilige verwijdering of hergebruik van apparatuur
Hoofdstuk 8: Technologische maatregelen
- 8.1 Eindgebruikersapparaten
- 8.2 Geprivilegieerde toegangsrechten
- 8.3 Beperking van informatietoegang
- 8.4 Toegang tot broncode
- 8.5 Veilige authenticatie
- 8.6 Capaciteitsbeheer
- 8.7 Bescherming tegen malware
- 8.8 Beheer van technische kwetsbaarheden
- 8.9 Configuratiebeheer
- 8.10 Informatiedeletie
- 8.11 Gegevens maskeren
- 8.12 Preventie van gegevenslekken
- 8.13 Informatie back-up
- 8.14 Redundantie van informatieverwerkingsfaciliteiten
- 8.15 Logging
- 8.16 Monitoring van activiteiten
- 8.17 Klogsynchronisatie
- 8.18 Gebruik van geprivilegieerde hulpprogramma's
- 8.19 Installatie van software op operationele systemen
- 8.20 Netwerkbeveiliging
- 8.21 Beveiliging van netwerkdiensten
- 8.22 Scheiding van netwerken
- 8.23 Webfiltering
- 8.24 Gebruik van cryptografie
- 8.25 Veilige ontwikkelingslevenscyclus
- 8.26 Applicatiebeveiligingsvereisten
- 8.27 Veilige systeemarchitectuur en engineeringprincipes
- 8.28 Veilige codering
- 8.29 Beveiligingstesten in ontwikkeling en acceptatie
- 8.30 Uitbestede ontwikkeling
- 8.31 Scheiding van ontwikkelings-, test- en productieomgevingen
- 8.32 Wijzigingsbeheer
- 8.33 Testinformatie
- 8.34 Bescherming van informatiesystemen tijdens audittesten
- Vorige
- De Norm zelf - Clausules