6.8 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+===================================================================================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescher- ming #Fysieke_beveiliging #Systeem-_en_net- werkbeveiliging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
Beheersmaatregel
Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen.
Doel
De beveiliging van informatie waarborgen wanneer personeel op afstand werkt.
Richtlijn
Er is sprake van werken op afstand telkens wanneer personeel van de organisatie vanaf een locatie buiten het gebouw en/of terrein van de organisatie werkt en toegang maakt tot informatie, hetzij in gedrukte vorm of elektronisch via ICT-apparatuurmgevingen voor werken op afstand zijn onder andere omgevingen die worden aangeduid als 'telewerken', 'teleforenzen', 'flexibele werkplek', 'virtuele werkomgevingen' en 'onderhoud op afstand'.
OPMERKING Het is mogelijk dat niet alle aanbevelingen in deze richtlijn kunnen worden toegepast als gevolg
van lokale wet- en regelgeving in verschillende rechtsgebieden.
Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerpspecifiek beleid inzake werken op afstand uit te vaardigen waarin de desbetreffende voorwaarden en beperkingen worden gedefinieerdaar van toepassing geacht, behoort rekening te worden gehouden met de volgende zaken:
a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt;
b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6.8)
c) de verwachte fysieke werkomgevingen op afstand;
d) de beveiligingseisen die voor communicatie gelden, waarbij rekening wordt gehouden met de behoefte aan toegang op afstand tot de systemen van de organisatie, de gevoeligheid van de informatie die wordt ingezien en via de communicatiekoppeling wordt doorgegeven, en de gevoeligheid van de systemen en toepassingen;
e) het gebruik van toegang op afstand zoals virtuele desktoptoegang die verwerking en opslag van
informatie op privéapparatuur ondersteunt;
f) de dreiging van onbevoegde toegang tot informatie of middelen van andere gebruikers op de locatie
vanwaaraf op afstand wordt gewerkt (bijvamilie en vrienden);
g) de dreiging van onbevoegde toegang tot informatie of middelen door andere personen op openbare
plekken;
h) het gebruik van thuisnetwerken en openbare netwerken en de eisen of beperkingen van de
configuratie van draadloze netwerkdiensten;
i) het gebruik van beveiligingsmaatregelen, zoals firewalls en bescherming tegen malware;
j) beveiligde mechanismen voor het op afstand inzetten en initialiseren van systemen;
k) beveiligde mechanismen voor het authenticeren en inschakelen van speciale toegangsrechten, rekening houdend met de kwetsbaarheid van eenfactorauthenticatiemechanismen waarbij toegang tot het netwerk van de organisatie vanaf een externe locatie is toegestaan.
De in acht te nemen richtlijnen en maatregelen behoren te omvatten:
a) het beschikbaar stellen van passende apparatuur en opbergmeubelen voor de activiteiten van het werken op afstand, waarbij het gebruik van privéapparatuur die niet onder het beheer van de organisatie staat, niet is toegelaten;
b) een definitie van geoorloofde werkzaamheden, de classificatie van informatie waarover men kan beschikken en de interne systemen en diensten waartoe de persoon die werkt op afstand, bevoegde toegang heeft;
c) het voorzien in training voor personeel dat werkt op afstand en personeel dat ondersteuning biedt.
Dit behoort ook in te gaan op hoe men veilig kan zakendoen tijdens het werken op afstand;
d) het voorzien in passende communicatieapparatuur, met inbegrip van methoden voor het beveiligen van toegang op afstand, zoals eisen inzake schermvergrendeling en inactiviteitstimers; de mogelijkheid om de locatie van apparaten te traceren; de installatie van mogelijkheden om apparaten op afstand schoon te vegen;
e) fysieke beveiliging;
f) regels en richtlijnen voor toegang voor familie en bezoekers tot apparatuur en informatie;
g) het beschikbaar stellen van ondersteuning en onderhoud van hardware en software;
h) het regelen van de verzekering;
i) de procedures voor de back-up en de bedrijfscontinuïteit;
j) audit en monitoren van de beveiliging;
k) intrekking van bevoegdheid en toegangsrechten en het inleveren van apparatuur na beëindiging
van de werkactiviteiten op afstand.
Overige informatie Geen overige informatie.