Tekengebied 1@2x
Nieuws

De vernieuwde ISO 27002

Wat verandert er en wat moet u ermee?

In dit artikel leert u waarom er wijzigingen komen in de ISO 27002 norm. We leggen de samenhang uit met de ISO 27001 en beschrijven wat de grootste veranderingen zijn. Hiermee kunt u direct zelf aan de slag om voor te bereiden op de (her)certificering, maar u kunt natuurlijk ook vrijblijvend contact met ons opnemen, zodat wij u verder kunnen helpen.

Direct contact opnemen

Waarom verandert de ISO 27002?

Elke 5 jaar wordt een norm geëvalueerd en wordt bekeken of hij nog actueel is. De huidige ISO 27001 (de certificeerbare norm voor informatiebeveiliging en cyber security) stamt uit 2013 en in 2018 is besloten dat er een revisie nodig was. In de wereld van ICT gaat vooruitgang immers zo snel, dat er steeds domeinen bijkomen waarbij rekening gehouden moet worden met de beveiliging ervan. Denk bijvoorbeeld aan Cloud diensten, die nu veel meer voorkomen dan 5 jaar geleden. Of aan het feit dat sinds Corona veel meer mensen thuiswerken. Deze manieren van werken brengen nieuwe risico’s met zich mee en dit wordt meegenomen in de vernieuwing van de norm.

Samenhang tussen ISO 27001 en ISO 27002

De bekendste certificeerbare norm voor cyber security is de ISO 27001. Deze norm bevat voornamelijk criteria over het management van de processen rondom cyber security. ISO 27002 bevat een serie handreikingen over de implementatie van maatregelen rondom cyber security. De ISO 27002 is zelf niet certificeerbaar, maar werkt als een verzameling Best Practices voor hoe je de cyber security nu werkelijk goed optuigt. Ook werkt de ISO 27002 ondersteunend bij het implementeren van een ISMS (Information Security Management System) en geeft het je goede mogelijkheden om het systeem te onderhouden. De structuur van de vernieuwde ISO 27002 helpt enorm bij het inschatten van de mogelijke impact van wijzigingen in de organisatie.

whitepaper-iso27001-downloaden

Download de gratis Whitepaper

Wij schreven ook een Whitepaper ‘Implementeren ISO 27001 anno 2022’. Wilt u meer weten, kunt u hem hier gratis downloaden.

Naar de Download pagina

Wat verandert er aan de maatregelen in ISO 27002

Categorieën

In de nieuwe ISO 27002 zijn de maatregelen gebundeld in 4 categorieën: Mensen, Organisatorisch, Technologisch en Fysiek. Voorheen waren dit nog 14 (!) categorieën en door deze nieuwe aanpak is het veel duidelijker waar de verantwoordelijkheden voor bepaalde maatregelen liggen:

 

  • Mensen: bijvoorbeeld een gedragscode over remote werken.
  • Organisatorisch: bijvoorbeeld een goed overzicht van (soorten) informatie en tools.
  • Fysiek: denk aan de toegang tot het pand of de serverruimte.
  • Technologisch: denk aan het uitvoeren van een pentest of security monitoring.

Door de nieuwe indeling van de controls wordt het eenvoudiger om eigenaarschap te beleggen. De beleidsbepalers, bestuurders of projectmanagers krijgen de organisatorische controls toegewezen, terwijl de softwareontwikkelaars, systeembeheerders en -operators zich bezig kunnen houden met de technische controls. Hiermee is het eenvoudiger om medewerkers op basis van hun eigen kennis een effectieve rol te laten spelen binnen Cyber Security.  

 

Cyber Security is zo niet langer het ‘feestje van de CISO’, maar een gezamenlijke inspanning. Dan gaat de norm echt leven binnen je organisatie. Uiteindelijk wil je na de certificering namelijk nog een stap verder: naar compliance!

Compliant zijn is niet hetzelfde als simpelweg voldoen aan de externe normering, zoals ISO of NEN. Dat heet namelijk gewoon ‘gecertificeerd’. Bij compliance betrek je ook interne afspraken, waarden en doelen. Of denk aan regelgeving vanuit brancheverenigingen. Wanneer je als organisatie compliant bent, ben je structureel bezig met het verbeteren van je kwaliteit, als onderdeel van je dagelijkse proces. Zelfs voorbij de externe normering zoals een ISO of NEN. Wil je meer weten over het verschil tussen gecertificeerd en compliant?

Neem contact op

Attributen

Een andere opvallende wijziging, is dat er aan maatregelen in de nieuwe ISO 27002 ‘attributen’ zijn gekoppeld. Zo zijn maatregelen getypeerd als Preventief of Correctief en wordt gedefinieerd of ze invloed hebben op de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Attributen zoals deze vallen onder de noemer Meta-data en vanuit de norm worden organisaties aangespoord om daar ook zelf gebruik van te maken; bijvoorbeeld door aan te haken op het Cyber Security Framework van NIST.

 

Deze attributen en meta-data zijn bedoeld om maatregelen te kunnen filteren, selecteren, groeperen, etc. Als bijvoorbeeld uit een risicoanalyse blijkt dat er meer focus gelegd moet worden op preventieve maatregelen op het gebied van Network Security, kan eenvoudig worden gezocht op #Preventive en #System. Dit geeft direct een overzicht van de maatregelen die hierbij horen, zodat het voor de uitvoerende partij gemakkelijker wordt om het risico te mitigeren. Daarbij moeten attributen en meta-data ertoe bijdragen dat er meer vanuit context naar het doel van de maatregel wordt gekeken en niet alleen de gangbare uitvoering van de maatregel. Maatregelen nemen wordt zo geen simpele checklist, maar een proces waarbij effectiviteit en efficiency voorop staan.

Nieuwe en samengevoegde maatregelen

Naast de structuurwijzigingen zijn er maatregelen samengevoegd en zijn er nieuwe maatregelen bijgekomen. In het kort zijn dit de nieuwe of vernieuwde maatregelen uit ISO 27002:

 

  • Threat Intelligence
  • Identity Management
  • Information Security for use of cloud services
  • Information Security during disruption
  • ICT Readiness for Business Continuity
  • Physical Security Monitoring
  • Configuration Management
  • Information Deletion
  • Data Masking
  • Data Leakage Prevention
  • Monitoring activities
  • Web Filtering
  • Secure Coding

Invloed op andere normen

Zoals de ISO 27002 invloed heeft op de ISO 27001, heeft deze ook zijn invloed op normen die gebaseerd zijn op de ISO 27001-2. Denk hierbij aan:

  • NEN 7510 (informatiebeveiliging voor de zorg)
  • BIO (Baseline Informatiebeveiliging Overheid)
  • BIC (Baseline Informatiebeveiliging (woning-)Corporaties)

De betreffende brancheorganisaties zullen aan de slag moeten om hun norm aangesloten te houden bij de ISO 27001-2.

Nieuwe norm verouderd zodra hij uitkomt?

Het lijkt erop dat de ISO-organisatie moeite heeft om de snel veranderende IT-wereld bij te houden. Dit valt bijvoorbeeld op, omdat Leveranciersmanagement nog verrassend onderbelicht is en dat ze bij ISO niet inspelen op de trend dat veel organisaties tegenwoordig volledig ‘verSaaSen’. Leveranciersmanagement wordt hiermee steeds belangrijker. Wij zijn benieuwd hoe ISO hier een wending aan gaat geven. Het kan immers niet de bedoeling zijn dat een vernieuwde norm direct gedateerde maatregelen bevat…

Lees ook de blog Leveranciersmanagement

Hoe nu verder?

U kunt natuurlijk op basis van deze informatie zelf verder met de wijzigingen, maar misschien is het veel efficiënter om eens met ons van gedachten te wisselen. We helpen u graag met de implementatie van de wijzigingen in uw (her-)certificeringstraject.

 

Onze experts kennen het klappen van de zweep en besparen u mogelijk veel tijd, geld en hoofdpijn…

Gerben den Dunnen

Gerben den Dunnen

Heeft u vragen over de vernieuwde ISO 27002 en wilt u weten wat de consequenties zijn voor uw organisatie? Wij helpen u graag verder. Neem gerust contact op met
Gerben den Dunnen, Commercieel Directeur bij Meridion.

Bel met Gerben
E-mail Gerben
Linkedin-in Twitter
Linkedin Twitter