Herziening van ISO27002
Wist je dat 5 mei gedurende lustrumjaren, ofwel eenmaal per vijf jaar, een officiële vrije dag is? Als je al wat langer werkzaam bent dan zal je dit zeker weten. Je zult zelfs mogelijk de dagen turven in je agenda totdat het weer zover is. Veel mensen zijn hier echter niet van op de hoogte. Wat nog minder mensen weten is dat ook de normen met betrekking tot informatiebeveiliging elke vijf jaar worden herzien. Dit jaar, in 2021, is het de beurt aan de ISO27002. Dé norm die beheersmaatregelen weergeeft voor de implementatie en het onderhoud van een Information Security Management System. Ofwel, ISMS. Begin dit jaar was het webinar over deze geplande herziening en natuurlijk was Beschermheren hierbij aanwezig.
Alvorens we van start gaan met de inhoudelijke wijzigingen willen we toch graag nog even het volgende benadrukken. ISO27001 en ISO27002 zijn niet hetzelfde. Benieuwd wat nou echt de verschillen zijn? In dit artikel leggen we je uit hoe ze verschillen en hoe ze elkaar (kunnen) complimenteren.
Herziening van ISO27002 beïnvloedt zowel inhoud als structuur
Nu beginnen we echt. Zoals gezegd waren wij aanwezig bij het webinar begin dit jaar en we kunnen je vertellen dat de herziening van ISO27002 gevolgen heeft voor zowel de structuur als ook de inhoud van de beheersmaatregelen. Wanneer we kijken naar de huidige versie van ISO27002 worden de beheersmaatregelen uiteengezet in maar liefst 14 hoofdstukken. In de nieuwe versie, zoals besproken tijdens het webinar, is deze overvloed aan hoofdstukken verleden tijd. In plaats daarvan zal er gebruik worden gemaakt van vier zogenaamde control thema’s:
- Mens
- Fysiek
- Technologie
- Organisatie
Dit betekent niet dat er per definitie heel veel beheersmaatregelen zijn komen te vervallen. Sterker nog, in de herziene versie worden maar liefst dertien nieuwe beheersmaatregelen geïntroduceerd. We hebben echter wel het idee dat, deels, het doel van deze herziening het creëren van meer overzicht is geweest. Alle beheersmaatregelen zijn in de herziene versie namelijk keurig onderverdeeld in de bovenstaande thema’s. Daarnaast zijn ook diverse beheersmaatregelen toegevoegd tot één beheersmaatregel. Dit zorgt ervoor dat het aantal beheersmaatregelen redelijk gelijk is gebleven.
Nieuwe attributen toegevoegd per beheersmaatregel
Een andere toevoeging welke geïntroduceerd is bij de herziening van ISO27002 is dat de volgende attributen zijn toegevoegd per beheersmaatregel:
- Controletypes: Dit houdt in dat er wordt aangegeven of het gaat om een preventive, detective of corrective Hierdoor kunnen maatregelen binnen het ISMS concreter en passender binnen de context van de organisatie worden geïmplementeerd;
- Information security properties: Hiermee wordt bedoeld dat informatiebeveiligingseigenschap(pen), gebaseerd op de CIA-classificatie (Confidentiality, Integrity, Availability), toegekend zijn aan de maatregel;
- Cybersecurity concepts: Per maatregel zijn concept(en) vanuit cybersecurity (Identify, Protect, Detect, Respond en Recover) Hierdoor kan een maatregel geplot worden op andere erkende normen (bijvoorbeeld het NIST-cybersecurity framework);
- Operational capabilities: Hiermee wordt er aangegeven waar de maatregel specifiek betrekking op heeft met betrekking tot operationele implementatie in relatie tot de huidige versie van de ISO 27002 (bijvoorbeeld Governance, Asset Management, Legal and Compliance).
Wat dat betreft heeft deze herziening wel voor een soort van modernisatieslag gezorgd. Het zal dankzij het toevoegen van deze vier attributen namelijk makkelijker zijn de juiste maatregelen op te zoeken. Ter illustratie: Uit de risicoanalyse blijkt dat er meer preventieve maatregelen nodig zijn op het gebied van netwerkbeveiliging. Er kan nu heel gemakkelijk en snel gezocht worden op #Preventive en #System and Network Security. Et voila, alle maatregelen die deze beide attributen bevatten komen omhoog. Zo is het voor de uitvoerende partij gemakkelijker om de juiste maatregel te vinden die het gevonden risico effectief mitigeert.
Wat dat betreft is de aanpassing op het lijf van Beschermheren geschreven. Informatiebeveiliging is geen project maar een proces, dat roepen we al jaren. Het beste resultaat wordt behaald wanneer IB in het DNA van de betreffende organisatie wordt geadopteerd. Dankzij de aanpassingen worden zaken een stuk duidelijker en bovendien toepasbaar om door te voeren. Zo nemen we afstand van het aloude afvinklijstje en is er, wat ons betreft, sprake van een kwaliteitsslag binnen de processen.
Is mijn ‘oude’ certificaat nog geldig?
Nu kunnen wij ons zo voorstellen dat je dit leest en je zorgen maakt over jullie ‘oude certificaat’. Het is niet nodig om je hier druk over te maken, het certificaat op de oude versie blijft namelijk 100% geldig. Bij de herziening van normen is er namelijk altijd sprake van een overgangsperiode. Dit betekent dat het huidige certificaat geldig blijft totdat het tijd is voor een nieuwe certificering. Tegen die tijd zal dat gebeuren op basis van de nieuwe norm. In de tussentijd raden wij aan om bezig te gaan met het in lijn brengen van de bestaande ISMS conform de nieuwe norm.
Op moment van schrijven is de verwachting dat de nieuwe versie van ISO27002 in de loop van oktober 2021 zal worden gepubliceerd. Natuurlijk houden wij van Beschermheren de boel nauwlettend in de gaten. In het geval er nieuws te melden is dan zal dat zeker hier te lezen zijn. Heb je in de tussentijd nog vragen? Neem dan vooral contact met ons op.
Wil je meer weten over hoe informatiebeveiliging in het voordeel van jouw organisatie kan worden ingericht? Beschermheer en huidig interim CISO bij het RIVM Ad Dollevoet vertelt je er graag meer over tijdens ons gratis webinar aanstaande 18 maart om 10:00. Dit wil je niet missen! Schrijf je dus vandaag nog hier in.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein