Skip to Content
ISO 27001Annex A (93 maatregelen)

Annex A: De 93 beheersmaatregelen

Annex A van ISO/IEC 27001:2022  bevat een catalogus van 93 beheersmaatregelen, ook wel controls genoemd. De norm is verkrijgbaar via NEN  en ISO 27002  geeft gedetailleerde implementatierichtlijnen. Deze maatregelen vormen een referentielijst van mogelijke beveiligingsmaatregelen die je kunt implementeren om risico’s te mitigeren.

Een belangrijk misverstand is dat je alle 93 maatregelen moet implementeren. Dat is niet zo. Je selecteert de maatregelen die relevant zijn voor jouw risicoprofiel en documenteert je keuzes in het Statement of Applicability. Voor elke maatregel die je niet toepast, moet je onderbouwen waarom niet.

De versie uit 2022 heeft de maatregelen opnieuw georganiseerd ten opzichte van de versie uit 2013. Waar voorheen 114 controls in 14 categorieën stonden, zijn er nu 93 controls in vier categorieën. Sommige oude controls zijn samengevoegd, en er zijn nieuwe controls toegevoegd die inspelen op moderne dreigingen en technologieën.

ISO 27002:2022  geeft gedetailleerde implementatierichtlijnen voor elke maatregel. Als je diep wilt duiken in de praktische invulling, is die norm een waardevolle aanvulling.

De vier categorieën

De 93 maatregelen zijn verdeeld over vier categorieën die samen het volledige spectrum van informatiebeveiliging dekken.

Organisatorische maatregelen richten zich op beleid, processen, rollen en verantwoordelijkheden. Ze vormen het fundament waarop de andere maatregelen rusten. Zonder goed beleid en duidelijke procedures zijn technische maatregelen weinig effectief.

Organisatorische maatregelen (A.5)

De organisatorische maatregelen vormen de grootste categorie met 37 controls. Ze gaan over hoe je informatiebeveiliging als organisatie structureert en beheert.

A.5.1 Beleid voor informatiebeveiliging

Je moet een informatiebeveiligingsbeleid hebben dat is goedgekeurd door het management en gecommuniceerd naar alle relevante partijen. Dit beleid geeft de richting aan voor alle andere beveiligingsactiviteiten. Het moet periodiek worden herzien en geactualiseerd wanneer significante wijzigingen optreden.

A.5.2 Rollen en verantwoordelijkheden

Verantwoordelijkheden voor informatiebeveiliging moeten zijn gedefinieerd en toegewezen. Iedereen moet weten wat er van hem of haar verwacht wordt. Dit omvat niet alleen de security officer, maar iedereen wiens werk impact heeft op beveiliging.

A.5.3 Functiescheiding

Taken en verantwoordelijkheden die conflicteren, moeten worden gescheiden om het risico op fraude of fouten te verkleinen. Iemand die transacties kan initiëren, zou die niet ook moeten kunnen goedkeuren. De persoon die code schrijft, zou die niet ook in productie moeten kunnen zetten zonder review.

A.5.4 Managementverantwoordelijkheden

Het management moet actief het beleid ondersteunen en erop toezien dat medewerkers zich aan de regels houden. Dit is meer dan alleen een handtekening zetten; het vraagt zichtbare betrokkenheid.

A.5.5-5.6 Contact met autoriteiten en speciale groepen

Je moet contacten onderhouden met relevante autoriteiten, zoals het NCSC  of de Autoriteit Persoonsgegevens , en met speciale groepen die informatie delen over dreigingen en best practices.

A.5.7 Threat intelligence

Je moet informatie over dreigingen verzamelen en analyseren om je beveiligingsmaatregelen aan te passen aan actuele risico’s. Dit is een nieuwe control in de 2022-versie, die het belang van proactieve dreigingsanalyse onderstreept.

A.5.8 Informatiebeveiliging in projectmanagement

Informatiebeveiliging moet worden geïntegreerd in projectmanagement. Bij elk project moet je nadenken over de beveiligingsimplicaties, niet pas achteraf wanneer het systeem al is gebouwd.

A.5.9-5.14 Informatie-inventaris en classificatie

Je moet weten welke informatie je hebt, wie verantwoordelijk is voor die informatie, en hoe gevoelig die is. Op basis daarvan kun je passende beschermingsmaatregelen nemen. Gevoelige informatie verdient sterkere bescherming dan publieke informatie.

A.5.15-5.18 Identiteits- en toegangsbeheer

Dit cluster van maatregelen gaat over wie toegang heeft tot wat. Je moet een identiteitsbeheersproces hebben, toegangsrechten toekennen op basis van need-to-know, en regelmatig reviewen of toegangsrechten nog passend zijn.

A.5.19-5.23 Leveranciersbeheer

Leveranciers en partners kunnen een risico vormen voor je informatiebeveiliging. Je moet eisen stellen aan leveranciers, deze eisen vastleggen in overeenkomsten, en monitoren of leveranciers eraan voldoen. Dit is bijzonder relevant in een wereld waarin veel organisaties afhankelijk zijn van cloudproviders en andere externe dienstverleners.

A.5.24-5.28 Incidentmanagement

Je moet voorbereid zijn op beveiligingsincidenten. Dit omvat het hebben van een incidentresponsplan, het registreren van incidenten, het leren van incidenten, en het verzamelen van bewijsmateriaal voor eventueel juridisch vervolg.

A.5.29-5.30 Continuïteit en compliance

Informatiebeveiliging moet worden meegenomen in je bedrijfscontinuïteitsplanning. Daarnaast moet je identificeren welke wettelijke en contractuele eisen op je van toepassing zijn en zorgen dat je daaraan voldoet.

A.5.31-5.36 Intellectueel eigendom en privacy

Je moet het intellectueel eigendom van derden respecteren, persoonsgegevens beschermen conform de AVG , en zorgen dat je beveiligingspraktijken onafhankelijk worden beoordeeld.

A.5.37 Gedocumenteerde operationele procedures

Procedures voor informatieverwerkingsactiviteiten moeten gedocumenteerd en beschikbaar zijn voor medewerkers die ze nodig hebben.

Menselijke maatregelen (A.6)

De acht menselijke maatregelen erkennen dat beveiliging uiteindelijk draait om mensen. De beste technologie is waardeloos als medewerkers phishing-emails openen of hun wachtwoorden op een post-it schrijven.

A.6.1 Screening

Voordat je iemand aanneemt, moet je achtergrondcontroles uitvoeren die passend zijn bij de functie en de toegang die de persoon krijgt. Voor functies met toegang tot zeer gevoelige informatie zijn uitgebreidere controles gerechtvaardigd.

A.6.2 Arbeidsvoorwaarden

Contracten met medewerkers en contractors moeten hun verantwoordelijkheden voor informatiebeveiliging bevatten. Dit maakt duidelijk wat er verwacht wordt en creëert een juridische basis voor handhaving.

A.6.3 Security awareness en training

Alle medewerkers moeten passende awareness-training krijgen en regelmatig worden bijgepraat over actuele dreigingen en het beveiligingsbeleid. Een eenmalige training bij indiensttreding is niet voldoende; awareness moet continu worden onderhouden.

SANS , KnowBe4  en diverse Nederlandse aanbieders bieden awareness-programma’s aan, maar je kunt ook intern programma’s opzetten.

A.6.4 Disciplinaire procedure

Er moet een formele disciplinaire procedure zijn voor medewerkers die het beveiligingsbeleid schenden. Dit hoeft niet draconisch te zijn, maar er moeten consequenties zijn aan het negeren van de regels.

A.6.5 Verantwoordelijkheden bij beëindiging

Wanneer iemand de organisatie verlaat, moeten beveiligingsverantwoordelijkheden die na vertrek blijven bestaan worden gecommuniceerd, en moeten toegangsrechten tijdig worden ingetrokken.

A.6.6-6.7 Geheimhouding en werken op afstand

Geheimhoudingsovereenkomsten moeten worden gebruikt waar nodig. Voor werken op afstand moeten passende beveiligingsmaatregelen gelden, wat in het post-COVID tijdperk relevanter is dan ooit.

A.6.8 Melden van beveiligingsgebeurtenissen

Medewerkers moeten weten hoe ze beveiligingsgebeurtenissen kunnen melden, en moeten zich veilig voelen om dat te doen. Een cultuur waarin mensen problemen verzwijgen uit angst voor straf is een beveiligingsrisico.

Fysieke maatregelen (A.7)

De veertien fysieke maatregelen beschermen de tastbare aspecten van je informatieomgeving. In een wereld die steeds digitaler wordt, is fysieke beveiliging soms een blinde vlek.

A.7.1-7.4 Fysieke beveiligingsperimeters

Je moet fysieke grenzen definiëren rondom gevoelige gebieden, toegangscontroles implementeren, kantoren en faciliteiten beveiligen, en monitoren op fysieke bedreigingen. De mate van beveiliging hangt af van de gevoeligheid van wat je beschermt.

A.7.5-7.8 Beveiligde gebieden

Binnen fysieke perimeters kunnen er beveiligde gebieden zijn met extra maatregelen, zoals serverruimtes of datacenters. Deze gebieden moeten beschermd zijn tegen ongeautoriseerde toegang en tegen omgevingsrisico’s zoals brand of overstroming.

A.7.9-7.14 Apparatuur en media

Apparatuur moet fysiek worden beschermd, onderhouden, en veilig worden afgevoerd wanneer het niet meer wordt gebruikt. Opslagmedia met gevoelige informatie vragen bijzondere aandacht: je wilt niet dat oude harde schijven met klantgegevens op de vuilnisbelt belanden.

Technologische maatregelen (A.8)

De 34 technologische maatregelen vormen de digitale verdedigingslinie. Dit zijn de controls die de meeste mensen associëren met cybersecurity.

A.8.1-8.4 Endpoints en privileged access

Eindpunten (laptops, werkstations, mobiele apparaten) moeten worden beveiligd. Toegang tot geprivilegieerde accounts moet worden beperkt en gecontroleerd, en toegang tot broncode moet worden beheerst.

A.8.5-8.6 Authenticatie en capaciteitsmanagement

Veilige authenticatiemechanismen moeten worden gebruikt, waaronder sterke wachtwoorden en bij voorkeur multi-factor authenticatie. Daarnaast moet je de capaciteit van je systemen monitoren om beschikbaarheidsproblemen te voorkomen.

A.8.7-8.10 Malware, kwetsbaarheden en configuratie

Bescherming tegen malware is essentieel. Kwetsbaarheden moeten worden geïdentificeerd en tijdig worden gepatcht. Configuraties van systemen moeten worden vastgelegd, beheerst en gehard tegen aanvallen.

Het Center for Internet Security (CIS)  publiceert benchmarks voor het hardenen van veelgebruikte systemen. Het NCSC  biedt richtlijnen specifiek voor de Nederlandse context.

A.8.11-8.13 Gegevensbescherming

Gegevens moeten worden beschermd in opslag, tijdens transport en tijdens verwerking. Denk aan encryptie, data loss prevention, en veilige verwijdering van gegevens die niet meer nodig zijn.

A.8.14-8.16 Redundantie en logging

Kritieke systemen moeten redundantie hebben om beschikbaarheid te garanderen. Activiteiten moeten worden gelogd, logs moeten worden beschermd tegen manipulatie, en klokken van systemen moeten worden gesynchroniseerd voor betrouwbare tijdstempels.

A.8.17-8.19 Netwerken en webservices

Netwerken moeten worden beveiligd en gesegmenteerd. Webapplicaties en webservices verdienen bijzondere aandacht vanwege hun expositie aan het internet. De OWASP Top 10  is een waardevolle bron voor het begrijpen en mitigeren van veelvoorkomende webkwetsbaarheden.

A.8.20-8.24 Applicatiebeveiliging

Applicaties moeten veilig worden ontwikkeld, getest en geconfigureerd. Dit omvat secure coding practices, security testing, en het beveiligen van ontwikkel-, test- en productieomgevingen.

A.8.25-8.29 Verandermanagement en testen

Wijzigingen aan systemen moeten worden beheerst om te voorkomen dat updates nieuwe kwetsbaarheden introduceren. Beveiligingsmaatregelen moeten worden getest om te verifiëren dat ze werken zoals bedoeld.

A.8.30-8.34 Uitbesteding en scheiding

Wanneer je services uitbesteedt, moet je de beveiliging daarvan beheren. Ontwikkel-, test- en productieomgevingen moeten gescheiden zijn om te voorkomen dat fouten of kwade opzet in een testomgeving productiesystemen raken.

Nieuwe maatregelen in de 2022-versie

De versie uit 2022 introduceerde elf nieuwe controls die inspelen op ontwikkelingen sinds 2013:

  • A.5.7 Threat intelligence: Proactief verzamelen en gebruiken van informatie over dreigingen
  • A.5.23 Informatiebeveiliging voor cloudservices: Specifieke aandacht voor cloudomgevingen
  • A.5.30 ICT-gereedheid voor bedrijfscontinuïteit: IT-aspecten van continuïteitsplanning
  • A.7.4 Fysieke beveiligingsmonitoring: Monitoring van fysieke bedreigingen
  • A.8.9 Configuratiemanagement: Beheer van systeemconfiguraties
  • A.8.10 Verwijdering van informatie: Veilig wissen van gegevens
  • A.8.11 Datamaskering: Beschermen van gevoelige gegevens door maskering
  • A.8.12 Data leakage prevention: Voorkomen van ongeautoriseerde data-exfiltratie
  • A.8.16 Monitoring van activiteiten: Detectie van afwijkend gedrag
  • A.8.23 Webfiltering: Beperken van toegang tot schadelijke websites
  • A.8.28 Veilig coderen: Secure software development practices

Deze nieuwe controls reflecteren het veranderde dreigingslandschap en de verschuiving naar cloud computing en continue software development.

Het Statement of Applicability opstellen

Voor elke maatregel in Annex A moet je documenteren of je deze toepast of niet, en waarom. Dit document, het Statement of Applicability (SoA), is verplicht en vormt een centraal onderdeel van je ISMS.

Een goed SoA bevat voor elke control:

  • Of de control is geselecteerd (ja/nee)
  • De rechtvaardiging voor de keuze (waarom wel of niet)
  • De implementatiestatus (geïmplementeerd, in uitvoering, gepland)
  • Een verwijzing naar relevante documentatie

Het SoA is geen statisch document. Wanneer je risicoprofiel verandert, kunnen maatregelen relevant of irrelevant worden. Review het SoA regelmatig als onderdeel van je ISMS-onderhoud.

Een veelgemaakte fout is het kopiëren van een standaard SoA van internet. De auditor prikt hier doorheen. Je SoA moet reflecteren hoe jouw organisatie de norm heeft geïmplementeerd, niet hoe een standaardtemplate eruitziet.

Praktische tips

Begin niet bij Annex A. Start met de risicobeoordeling. Annex A is een gereedschapskist waaruit je selecteert op basis van je risico’s, niet een checklist die je van A tot Z afwerkt.

Documenteer wat je al doet. Veel organisaties hebben al maatregelen geïmplementeerd zonder ze zo te noemen. Een firewall, antivirussoftware, toegangsbeheer: je hebt waarschijnlijk meer dan je denkt.

Wees eerlijk over wat je niet doet. Als een maatregel niet relevant is voor je organisatie, zeg dat dan. Een kleine consultancybureau zonder eigen serverruimte hoeft geen fysieke beveiligingsmaatregelen voor datacenters te implementeren.

Gebruik bestaande bronnen. Het NCSC  biedt praktische richtlijnen. De CIS Controls  geven prioritering van technische maatregelen. ISO 27002  biedt gedetailleerde implementatieadviezen.

Meer informatie

Eisen van de normHet ISMS uitgelegd