4.8 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=======================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
Beheersmaatregel
Bedrijfsmiddelen buiten het gebouw en/of terrein behoren te worden beschermd.
Doel
Verlies, schade, diefstal of compromittering van bedrijfsmiddelen buiten het gebouw en/of terrein en onderbreking van de bedrijfsvoering van de organisatie voorkomen.
Richtlijn
Het is nodig apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt (bijven mobiel apparaat), met inbegrip van apparaten die eigendom zijn van de organisatie en apparaten die particulier eigendom zijn en gebruikt worden namens de organisatie ['bring your own device (BYOD)'], te beschermenet gebruik van deze apparaten behoort door het management te worden goedgekeurd.
Met de volgende richtlijnen behoort rekening te worden gehouden voor het beschermen van apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt:
a) apparatuur en opslagmedia die buiten het gebouw en/of terrein worden gebracht niet onbewaakt
op openbare en niet-beveiligde plekken achterlaten;
b) voorschriften van de fabrikant voor het beschermen van de apparatuur te allen tijde in acht nemen (bijvescherming tegen blootstelling aan sterke elektromagnetische velden, water, hitte, vocht, stof);
c) als apparatuur buiten het gebouw en/of terrein tussen verschillende personen of belanghebbenden
wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de apparatuur
definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht;
d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5.33);
e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon
of laptop in het openbaar vervoer, en de risico's die verbonden zijn aan meekijken);
f) locatiebepaling voor apparaten en de mogelijkheid om apparaten op afstand schoon te vegen
implementeren.
Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie:
a) fysiek monitoren van de beveiliging (zie 7.4)
b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7.5)
c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan;
d) logische toegangsbeveiligingsmaatregelen.
Overige informatie
Meer informatie over andere aspecten van de bescherming van apparatuur waarop informatie wordt opgeslagen en verwerkt, en 'endpoint devices' van gebruikers is te vinden in 8en 6