5.9 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=======================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
Beheersmaatregel
Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie.
Doel
Uitsluitend geoorloofde openbaarmaking, wijziging, verwijdering of vernietiging van informatie op opslagmedia bewerkstelligen.
Richtlijn
Verwijderbare opslagmedia
Voor het beheren van verwijderbare opslagmedia behoren de volgende richtlijnen te worden overwogen:
a) onderwerpspecifiek beleid inzake het beheer van verwijderbare opslagmedia vaststellen en dit onderwerpspecifieke beleid communiceren aan iedereen die verwijderbare opslagmedia gebruikt of hanteert;
b) indien nodig en haalbaar, goedkeuring vereisen om opslagmedia uit de organisatie te verwijderen
en een registratie van dergelijke verwijderingen bijhouden om een audittraject te onderhouden;
c) alle opslagmedia opslaan in een veilige, beveiligde omgeving overeenkomstig de desbetreffende informatieclassificatie en beschermen tegen dreigingen van buitenaf (zoals warmte, vocht, luchtvochtigheid, elektronische velden of veroudering), overeenkomstig de specificaties van de fabrikant;
d) indien vertrouwelijkheid of integriteit van informatie belangrijke overwegingen zijn,
cryptografische technieken gebruiken om informatie op verwijderbare media te beschermen;
e) om het risico te verkleinen dat opslagmedia in kwaliteit achteruitgaan terwijl de opgeslagen informatie nog nodig is, de informatie op nieuwe opslagmedia overbrengen voordat deze onleesbaar wordt;
f) van waardevolle informatie meerdere kopieën op afzonderlijke opslagmedia opslaan om het risico
op toevallige beschadiging of verlies van informatie verder te beperken;
g) verwijderbare opslagmedia registreren om de kans dat informatie verloren gaat, te beperken;
h) poorten voor verwijderbare opslagmedia (bijvD-kaartsleuven en USB-poorten) alleen
inschakelen indien er vanuit de organisatie een reden voor het gebruik ervan is;
i) als er behoefte is om verwijderbare opslagmedia te gebruiken, de overdracht van informatie op
dergelijke opslagmedia monitoren;
j) informatie kan tijdens fysiek transport gevoelig zijn voor onbevoegde toegang, misbruik of
beschadiging, bijvoorbeeld wanneer opslagmedia per post- of koeriersdienst worden verzonden.
In deze beheersmaatregel worden onder media ook papieren documenten verstaanas bij het transport van fysieke opslagmedia de beveiligingsmaatregelen van 5 toe.
Beveiligd hergebruiken of verwijderen
Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden:
a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8.10);
b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig
zijn (bijvoor ze te vernietigen, versnipperen of de inhoud ervan op beveiligde wijze te wissen);
c) procedures instellen om media te identificeren waarvan het nodig kan zijn ze veilig te verwijderen;
d) veel organisaties bieden inzamelings- en verwijderingsdiensten aan voor opslagmediaen geschikte externe leverancier met toereikende beheersmaatregelen en ervaring behoort met zorg te worden gekozen;
e) de verwijdering van gevoelige zaken in een logbestand bijhouden om een audittraject te
onderhouden;
f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het aggregatie-effect,
waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden.
Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7.14).
Overige informatie
Als vertrouwelijke informatie op opslagmedia niet versleuteld is, behoort aanvullende fysieke bescherming van de opslagmedia te worden overwogen.