Wat zijn Annex A-beheersmaatregelen in ISO 27001:2022?
Overzicht
Annex A-beheersmaatregelen (Annex A controls) zijn de 93 informatiebeveiligingsmaatregelen die worden vermeld in bijlage A van ISO 27001:2022. Organisaties kunnen hieruit maatregelen selecteren om geïdentificeerde informatiebeveiligingsrisico's aan te pakken. Ze vertegenwoordigen internationaal erkende 'best practices' op het gebied van beveiliging, onderverdeeld in vier thema's: Organisatorisch, Mensen, Fysiek en Technologisch.
Wat het in de praktijk betekent
Zie Annex A als een uitgebreid menu met beveiligingsmaatregelen. Op basis van uw risicobeoordeling selecteert u welke maatregelen uit dit menu u wilt implementeren. U bent niet verplicht om alle 93 maatregelen toe te passen - alleen de maatregelen die risico's aanpakken welke in uw specifieke context zijn geïdentificeerd.
Praktijkvoorbeeld: Als uit uw risicobeoordeling blijkt dat misbruik van gegevens door medewerkers een risico vormt, kunt u A.5.10 (Beleid voor acceptabel gebruik), A.6.3 (Bewustzijnstraining over informatiebeveiliging) en A.8.15 (Logboekregistratie en monitoring) selecteren. Als u een 'cloud-only' organisatie bent, kunt u A.7.1-A.7.14 (Fysieke maatregelen) uitsluiten als niet van toepassing op uw infrastructuur.
De vier thema's van beheersmaatregelen
Organisatorische maatregelen (A.5.1 - A.5.37) - 37 maatregelen
Maatregelen op managementniveau voor governance, beleid, risicobeheer, activabeheer, beveiliging van leveranciers, incidentbeheer, bedrijfscontinuïteit en naleving.
Belangrijke voorbeelden:
A.5.1 - Beleid voor informatiebeveiliging
A.5.7 - Dreigingsinformatie
A.5.9 - Inventarisatie van informatie en activa
A.5.19 - Informatiebeveiliging in leveranciersrelaties
A.5.24 - Planning voor het beheer van informatiebeveiligingsincidenten
Maatregelen met betrekking tot mensen (A.6.1 - A.6.8) - 8 maatregelen
Maatregelen die menselijke beveiligingsrisico's beheren gedurende de gehele loopbaan van een medewerker, van aanname tot uitdiensttreding.
Belangrijke voorbeelden:
A.6.1 - Screening (antecedentenonderzoek)
A.6.3 - Informatiebeveiligingsbewustzijn, opleiding en training
A.6.7 - Werken op afstand
A.6.8 - Melding van informatiebeveiligingsgebeurtenissen
Fysieke maatregelen (A.7.1 - A.7.14) - 14 maatregelen
Maatregelen die de fysieke omgeving beschermen waar informatiebronnen worden opgeslagen of verwerkt.
Belangrijke voorbeelden:
A.7.1 - Fysieke beveiligingszones
A.7.2 - Fysieke toegangsbeveiliging
A.7.4 - Fysieke beveiligingsbewaking
A.7.10 - Beheer van opslagmedia
Technologische maatregelen (A.8.1 - A.8.34) - 34 maatregelen
Technische en IT-beveiligingsmaatregelen, waaronder toegangsbeheer, cryptografie, netwerkbeveiliging, veilige ontwikkeling en kwetsbaarheidsbeheer.
Belangrijke voorbeelden:
A.8.2 - Geprivilegieerde toegangsrechten
A.8.5 - Veilige authenticatie
A.8.8 - Beheer van technische kwetsbaarheden
A.8.13 - Back-up van informatie
A.8.16 - Monitoring-activiteiten
Distributie van maatregelen: De meeste organisaties implementeren 40-70 maatregelen, afhankelijk van hun grootte, complexiteit en risicoprofiel. Kleine cloud-native startups kunnen minder fysieke maatregelen implementeren, terwijl gereguleerde bedrijven doorgaans 80+ maatregelen implementeren.
Wijzigingen ten opzichte van ISO 27001:2013
Geherstructureerd en geconsolideerd
De 2022-versie heeft de 114 maatregelen over 14 domeinen teruggebracht naar 93 maatregelen in 4 thema's, waardoor het framework overzichtelijker en logischer is geworden.
11 nieuwe maatregelen voor moderne dreigingen
A.5.7 - Dreigingsinformatie
A.5.23 - Informatiebeveiliging voor het gebruik van clouddiensten
A.8.9 - Configuratiebeheer
A.8.10 - Verwijderen van informatie
A.8.11 - Datamaskering
A.8.12 - Preventie van datalekken
A.8.16 - Monitoring-activiteiten
A.8.23 - Webfiltering
A.8.28 - Veilig programmeren
A.7.4 - Fysieke beveiligingsbewaking
A.8.9 - Configuratiebeheer
24 maatregelen samengevoegd
Gerelateerde maatregelen uit 2013 zijn samengevoegd om duplicatie te verminderen. Meerdere eisen voor toegangsbeheer zijn bijvoorbeeld gecombineerd tot gestroomlijnde maatregelen.
Aandachtspunt voor transitie: Als u gecertificeerd bent volgens ISO 27001:2013, moet u uiterlijk op 31 oktober 2025 overgestapt zijn op de controlestructuur van 2022. Dit vereist het opnieuw mappen van uw Verklaring van Toepasselijkheid (SoA) aan de nieuwe nummering en het aanpakken van nieuwe maatregelen die relevant zijn voor uw risico's.
Hoe selecteert u maatregelen?
Stap 1: Voltooi de risicobeoordeling
Identificeer de informatiebeveiligingsrisico's waar uw organisatie mee te maken heeft. Maatregelen worden geselecteerd om deze risico's aan te pakken, niet willekeurig geïmplementeerd.
Stap 2: Bepaal de toepasbaarheid van maatregelen
Bekijk voor elk geïdentificeerd risico Annex A om maatregelen te vinden die het risico tot een acceptabel niveau verlagen.
Stap 3: Overweeg opties voor risicobehandeling
U kunt risico's behandelen via:
Implementatie van maatregelen: Annex A-maatregelen toepassen om risico's te verminderen
Risicovermijding: Het beëindigen van de risicovolle activiteit
Risico-overdracht: Verzekeringen afsluiten of uitbesteden aan derden
Risico-acceptatie: Formeel risico's accepteren die onder uw drempelwaarde liggen
Stap 4: Vastleggen in de Verklaring van Toepasselijkheid (SoA)
Maak uw SoA waarin u alle 93 maatregelen vermeldt met hun status (wel/niet van toepassing) en onderbouwing op basis van de risicobeoordeling.
Stap 5: Implementeer de geselecteerde maatregelen
Voer de opgenomen maatregelen uit met de juiste reikwijdte, timing en middelen op basis van risicoprioriteit.
Selectietip: Begin met fundamentele maatregelen die andere maatregelen mogelijk maken: beleid (A.5.1), inventarisatie van activa (A.5.9), toegangsbeheer (A.5.15), back-up (A.8.13) en monitoring (A.8.16). Deze vormen de basis voor andere maatregelen.
Richtsnoeren voor implementatie
ISO 27002:2022 als begeleidende norm
Waar ISO 27001 de doelstellingen van de maatregelen noemt, biedt ISO 27002 gedetailleerde richtlijnen voor de implementatie van elke maatregel, inclusief doel, implementatieadvies en gerelateerde informatie.
Attributen van maatregelen in ISO 27002
De 2022-versie introduceerde attributen voor maatregelen om u te helpen begrijpen:
Type maatregel: Preventief, detectief of correctief
Informatiebeveiligingseigenschappen: Vertrouwelijkheid, integriteit, beschikbaarheid
Cyberbeveiligingsconcepten: Identificeren, beschermen, detecteren, reageren, herstellen
Operationele capaciteiten: Welke beveiligingsfuncties de maatregel ondersteunt
Beveiligingsdomeinen: Governance, bescherming, verdediging, veerkracht
Maatregelen afstemmen op de context
ISO 27001 verwacht dat maatregelen proportioneel worden geïmplementeerd. De invulling van "veilig programmeren" (A.8.28) bij een startup van 10 personen zal verschillen van die van een bank, maar beide kunnen compliant zijn als het passend is voor hun risico en context.
Voorbeeld van proportionaliteit: Voor A.6.3 (Bewustzijnstraining) kan een kleine organisatie maandelijkse 'lunch-en-learn' sessies houden, terwijl een grote onderneming een leerbeheersysteem inzet met rolgebaseerde curricula, driemaandelijkse phishingsimulaties en certificeringsprogramma's. Beiden voldoen aan de maatregel als deze passend is voor de omvang en het risico.
Veelvoorkomende patronen bij implementatie
Maatregelen met hoge prioriteit voor de meeste organisaties
Op basis van algemene risicoprofielen worden deze maatregelen meestal opgenomen:
Organisatorisch: A.5.1 (Beleid), A.5.9 (Inventarisatie activa), A.5.15 (Toegangsbeheer), A.5.24 (Incidentbeheer)
Mensen: A.6.3 (Training), A.6.8 (Incidentmelding)
Technologisch: A.8.2 (Geprivilegieerde toegang), A.8.5 (Authenticatie), A.8.8 (Kwetsbaarheidsbeheer), A.8.13 (Back-up), A.8.16 (Monitoring)
Maatregelen die vaak worden uitgesloten
Afhankelijk van de context sluiten organisaties vaak het volgende uit:
Fysieke maatregelen (A.7.x): Cloud-only organisaties zonder eigen datacenters
Ontwikkelingsmaatregelen (A.8.25-A.8.34): Organisaties die geen software ontwikkelen
Maatregelen voor leveranciers (A.5.19-A.5.22): Organisaties met minimale afhankelijkheden van derden
Controle op uitsluitingen: Auditoren onderzoeken uitsluitingen nauwkeurig. Algemene motiveringen zoals "niet van toepassing" of "niet relevant" zijn onvoldoende. Verwijs naar specifieke bevindingen uit de risicobeoordeling of organisatorische kenmerken (bijv. "Cloud-only architectuur gevalideerd in risicobeoordeling RA-2024-001").
Diepe duik in organisatorische maatregelen (A.5.x)
Beleid voor informatiebeveiliging (A.5.1 - A.5.4)
A.5.1 - Beleid voor informatiebeveiliging
A.5.2 - Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
A.5.3 - Functiescheiding
A.5.4 - Verantwoordelijkheden van het management
Contactbeheer (A.5.5 - A.5.6)
A.5.5 - Contact met autoriteiten
A.5.6 - Contact met speciale belangengroepen
Dreigings- en projectbeheer (A.5.7 - A.5.8)
A.5.7 - Dreigingsinformatie
A.5.8 - Informatiebeveiliging bij projectmanagement
Activabeheer (A.5.9 - A.5.14)
A.5.9 - Inventarisatie van informatie en andere bijbehorende activa
A.5.10 - Acceptabel gebruik van informatie en andere bijbehorende activa
A.5.11 - Teruggave van activa
A.5.12 - Classificatie van informatie
A.5.13 - Labeling van informatie
A.5.14 - Informatieoverdracht
Toegangsbeheer (A.5.15 - A.5.18)
A.5.15 - Toegangsbeheer
A.5.16 - Identiteitsbeheer
A.5.17 - Authenticatie-informatie
A.5.18 - Toegangsrechten
Leveranciersrelaties (A.5.19 - A.5.23)
A.5.19 - Informatiebeveiliging in leveranciersrelaties
A.5.20 - Informatiebeveiliging in overeenkomsten met leveranciers aanpakken
A.5.21 - Beheer van informatiebeveiliging in de ICT-toeleveringsketen
A.5.22 - Monitoring, beoordeling en wijzigingsbeheer van diensten van leveranciers
A.5.23 - Informatiebeveiliging voor het gebruik van clouddiensten (NIEUW in 2022)
Incidentbeheer (A.5.24 - A.5.28)
A.5.24 - Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
A.5.25 - Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
A.5.26 - Reactie op informatiebeveiligingsincidenten
A.5.27 - Leren van informatiebeveiligingsincidenten
A.5.28 - Verzamelen van bewijsmateriaal
Bedrijfscontinuïteit (A.5.29 - A.5.30)
A.5.29 - Informatiebeveiliging tijdens verstoringen
A.5.30 - ICT-gereedheid voor bedrijfscontinuïteit
Naleving/Compliance (A.5.31 - A.5.37)
A.5.31 - Wettelijke, statutaire, reglementaire en contractuele eisen
A.5.32 - Intellectuele eigendomsrechten
A.5.33 - Bescherming van records
A.5.34 - Privacy en bescherming van PII (persoonsgegevens)
A.5.35 - Onafhankelijke beoordeling van informatiebeveiliging
A.5.36 - Naleving van beleid en standaarden voor informatiebeveiliging
A.5.37 - Gedocumenteerde operationele procedures
Bewijslasteisen voor maatregelen
Wat auditors verifiëren
Voor elke opgenomen maatregel vragen auditors om bewijs dat:
De maatregel bestaat: Gedocumenteerd beleid, procedures of configuraties
De maatregel werkt: Records, logs of outputs die een voortdurende werking aantonen
De maatregel effectief is: Resultaten tonen risicovermindering aan (bijv. kwetsbaarheidsscans tonen de effectiviteit van het patchbeheer aan)
Bewijsvoorbeelden per type maatregel
Beleidsmaatregelen: Goedgekeurde beleidsdocumenten, verslagen van kennisneming
Procesmaatregelen: Proceduredocumenten, checklists, workflow-tickets
Technische maatregelen: Screenshots van configuraties, systeemlogs, scanrapporten
Trainingsmaatregelen: Bewijzen van voltooide trainingen, testscores, presentielijsten
Strategie voor bewijsverzameling: Wacht niet tot de audit met het verzamelen van bewijs. Implementeer systematische bewijsverzameling als onderdeel van de uitvoering - driemaandelijkse toegangsbeoordelingen genereren bewijs voor A.5.18, logboeken van back-up-taken leveren bewijs voor A.8.13, en rapportages van afgeronde trainingen ondersteunen A.6.3.
Aanvullende maatregelen buiten Annex A
Wanneer Annex A niet voldoende is
Als uw risicobeoordeling risico's identificeert die niet afdoende worden aangepakt door de 93 standaardmaatregelen, kunt u aanvullende maatregelen implementeren die specifiek zijn voor uw context.
Aanvullende maatregelen documenteren
Vermeld aanvullende maatregelen in uw Verklaring van Toepasselijkheid of houd een aanvullend register van maatregelen bij. Koppel deze duidelijk aan de specifieke risico's die ze aanpakken.
Voorbeelden van aanvullende maatregelen
Sector-specifieke maatregelen (PCI DSS-eisen voor betalingsverwerkers)
Wettelijke vereisten (HIPAA-controles voor de gezondheidszorg)
Maatregelen voor opkomende technologie (AI/ML-beveiliging die niet volledig gedekt wordt in de standaard)
Organisatiespecifieke risico's (unieke operationele of geografische risico's)
Gerelateerde concepten
Verklaring van Toepasselijkheid (SoA) - Document waarin staat welke maatregelen u implementeert
Risicobeoordeling - Proces dat bepaalt welke maatregelen moeten worden geïmplementeerd
Beheersmaatregel - Beveiligingsmaatregel om risico's te verminderen
ISO 27001:2022 - De norm die de Annex A-maatregelen definieert
Hoe u ISO 27001 Annex A-maatregelen implementeert met behulp van AI
Hulp krijgen
Versnel de selectie en implementatie van maatregelen met ISMS Copilot. Ontvang advies over welke maatregelen uw specifieke risico's aanpakken, genereer implementatiedocumentatie en stel plannen op voor bewijsverzameling ter voorbereiding op audits.