Herziening van ISO27002 beïnvloedt zowel inhoud als structuur

Nu beginnen we echt. Zoals gezegd waren wij aanwezig bij het webinar begin dit jaar en we kunnen je vertellen dat de herziening van ISO27002 gevolgen heeft voor zowel de structuur als ook de inhoud van de beheersmaatregelen. Wanneer we kijken naar de huidige versie van ISO27002 worden de beheersmaatregelen uiteengezet in maar liefst 14 hoofdstukken. In de nieuwe versie, zoals besproken tijdens het webinar, is deze overvloed aan hoofdstukken verleden tijd. In plaats daarvan zal er gebruik worden gemaakt van vier zogenaamde control thema’s:

• Mens
• Fysiek
• Technologie
• Organisatie

Dit betekent niet dat er per definitie heel veel beheersmaatregelen zijn komen te vervallen. Sterker nog, in de herziene versie worden maar liefst dertien nieuwe beheersmaatregelen geïntroduceerd. We hebben echter wel het idee dat, deels, het doel van deze herziening het creëren van meer overzicht is geweest. Alle beheersmaatregelen zijn in de herziene versie namelijk keurig onderverdeeld in de bovenstaande thema’s. Daarnaast zijn ook diverse beheersmaatregelen toegevoegd tot één beheersmaatregel. Dit zorgt ervoor dat het aantal beheersmaatregelen redelijk gelijk is gebleven.

Nieuwe attributen toegevoegd per beheersmaatregel

Een andere toevoeging welke geïntroduceerd is bij de herziening van ISO27002 is dat de volgende attributen zijn toegevoegd per beheersmaatregel:

• Controletypes: Dit houdt in dat er wordt aangegeven of het gaat om een preventive, detective of corrective Hierdoor kunnen maatregelen binnen het ISMS concreter en passender binnen de context van de organisatie worden geïmplementeerd;
• Information security properties: Hiermee wordt bedoeld dat informatiebeveiligingseigenschap(pen), gebaseerd op de CIA-classificatie (Confidentiality, Integrity, Availability), toegekend zijn aan de maatregel;
• Cybersecurity concepts: Per maatregel zijn concept(en) vanuit cybersecurity (Identify, Protect, Detect, Respond en Recover) Hierdoor kan een maatregel geplot worden op andere erkende normen (bijvoorbeeld het NIST-cybersecurity framework);
• Operational capabilities: Hiermee wordt er aangegeven waar de maatregel specifiek betrekking op heeft met betrekking tot operationele implementatie in relatie tot de huidige versie van de ISO 27002 (bijvoorbeeld Governance, Asset Management, Legal and Compliance).

Wat dat betreft heeft deze herziening wel voor een soort van modernisatieslag gezorgd. Het zal dankzij het toevoegen van deze vier attributen namelijk makkelijker zijn de juiste maatregelen op te zoeken. Ter illustratie: Uit de risicoanalyse blijkt dat er meer preventieve maatregelen nodig zijn op het gebied van netwerkbeveiliging. Er kan nu heel gemakkelijk en snel gezocht worden op #Preventive en #System and Network Security. Et voila, alle maatregelen die deze beide attributen bevatten komen omhoog. Zo is het voor de uitvoerende partij gemakkelijker om de juiste maatregel te vinden die het gevonden risico effectief mitigeert.

Wat dat betreft is de aanpassing op het lijf van Beschermheren geschreven. Informatiebeveiliging is geen project maar een proces, dat roepen we al jaren. Het beste resultaat wordt behaald wanneer IB in het DNA van de betreffende organisatie wordt geadopteerd. Dankzij de aanpassingen worden zaken een stuk duidelijker en bovendien toepasbaar om door te voeren. Zo nemen we afstand van het aloude afvinklijstje en is er, wat ons betreft, sprake van een kwaliteitsslag binnen de processen.

Is mijn ‘oude’ certificaat nog geldig?

Nu kunnen wij ons zo voorstellen dat je dit leest en je zorgen maakt over jullie ‘oude certificaat’. Het is niet nodig om je hier druk over te maken, het certificaat op de oude versie blijft namelijk 100% geldig. Bij de herziening van normen is er namelijk altijd sprake van een overgangsperiode. Dit betekent dat het huidige certificaat geldig blijft totdat het tijd is voor een nieuwe certificering. Tegen die tijd zal dat gebeuren op basis van de nieuwe norm. In de tussentijd raden wij aan om bezig te gaan met het in lijn brengen van de bestaande ISMS conform de nieuwe norm.

Op moment van schrijven is de verwachting dat de nieuwe versie van ISO27002 in de loop van oktober 2021 zal worden gepubliceerd. Natuurlijk houden wij van Beschermheren de boel nauwlettend in de gaten. In het geval er nieuws te melden is dan zal dat zeker hier te lezen zijn. Heb je in de tussentijd nog vragen? Neem dan vooral contact met ons op.

Wil je meer weten over hoe informatiebeveiliging in het voordeel van jouw organisatie kan worden ingericht? Beschermheer en huidig interim CISO bij het RIVM Ad Dollevoet vertelt je er graag meer over tijdens ons gratis webinar aanstaande 18 maart om 10:00. Dit wil je niet missen! Schrijf je dus vandaag nog hier in.