ISO 27002 wijzigingen

Als je al wat langer meeloopt in ISO- en managementsystemenland, dan heb je het al eens eerder meegemaakt: een update aan een norm. In principe wordt elke vijf jaar besloten of een norm wordt geactualiseerd. De huidige ISO 27002 norm is uit 2013 en in 2018 is besloten deze te actualiseren. Als alles soepel loopt, leidt dit eind 2021 tot het van kracht worden van de nieuwe norm. Wat betekent dat inhoudelijk voor de norm en in de praktijk voor jouw organisatie? In dit artikel bespreken we de belangrijkste ISO 27002 wijzigingen.

Managementsamenvatting

De 27002 norm bevat de praktische beheersmaatregelen voor informatiebeveiliging en verandert inhoudelijk door samenvoeging en uitbreiding met 13 maatregelen. De ISO 27001 norm, die gaat over management van informatiebeveiliging, verandert alleen door de koppelingen naar 27002 in bijlage A en de verklaring van toepasselijkheid.

Lees ook het artikel: Wat is ISO 27001?

Meer weten over ISO 27001 & ISO 27002? [Whitepaper]

Wil je meer informatie over ISO 27001 & ISO 27001? Download dan gratis de handige ‘Informatiegids ISO 27001’ met daarin een complete uitleg van de normen en de mogelijkheden.

DOWNLOAD INFORMATIEGIDS


Informatiegids ISO 27001

Er geldt een overgangsperiode, na eind 2021, van drie jaar. Tenzij je organisatie op dit moment start met de invoering van een managementsysteem volgens ISO 27001 en je in dit project nog een risicoanalyse moet uitvoeren, kun je als je al een draaiend managementsysteem hebt naar verwachting wachten tot je eerstvolgende periodieke update van de risicoanalyse om deze verandering in te zetten.

Meer weten over de risicoanalyse in ISO 27001? Lees dan het artikel: De ISO 27001 risicoanalyse uitgelicht

Bekijk onderstaande video voor een korte toelichting op de vernieuwde norm!

*Transcriptie onderaan de pagina

Belangrijkste ISO 27002 wijzigingen op de inhoud

De 27002 is in ontwikkeling in het Engels, vandaar dat je hieronder wat Engelse termen terugvindt. Maar allereerst een aantal kerngetallen, onder klein voorbehoud dat de norm nog in ontwikkeling is.

Een belangrijke ISO 27002 wijziging: het aantal beheersmaatregelen gaat terug van 114 naar 95, door samenvoeging. Inhoudelijk is bij de samenvoeging niets geschrapt. Overigens wordt de tekst van de norm daarbij niet per se korter – de Engelse norm gaat van 80 naar 138+ pagina’s!

In die 95 controls zijn er 13 nieuwe (hieronder een niet-officiële vertaling):

Maatregel
Dreigingsinformatie
Informatiebeveiliging van clouddiensten
ICT voor bedrijfscontinuïteit
Monitoring van fysieke bewaking
Configuratie management
Informatie verwijderen
Data maskeren
Preventie van Data Leakage
Informatiebeveiliging d.m.v. technologie voor digitale rechten
Activiteiten t.b.v. monitoring
Disclosure van, en omgaan met, kwetsbaarheden bij de levering van ICT-producten en diensten
Web filtering
Veilig programmeren

Wat daarbij opvalt is slechts één nieuwe beheersmaatregel voor beveiliging van clouddiensten. Dat is beperkte aandacht te noemen voor deze moderne manier van werken. Voor meer detail met betrekking tot cloud wordt er geleund op de ISO 27017 norm, die ook groeit in populariteit (tenminste, bij de grotere aanbieders). Een meer structurele aandacht voor cloud in ISO 27002 komt wellicht over vijf of tien jaar aan bod. Wat niet wegneemt dat je met de huidige ISO 27002 ook uit de voeten kunt voor cloudsecurity.

Bekijk ook het artikel: ‘Het verschil tussen ISO 27001 en ISO 27002, hoe zit dat?’

Thema’s en attributen

Wat is een ISMS - ISO 27001De nieuwe norm bevat meer meta-informatie over de maatregelen en spoort de organisatie aan om daar zelf ook gebruik van te maken. Elke beheersmaatregel wordt bijvoorbeeld voorzien van “Attributes” zoals:

Lees ook het artikel: Dataclassificatie bij informatiebeveiliging: Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV)

Deze attributen kunnen ook worden ingezet om aan te haken bij andere frameworks, zoals NIST.

De intentie is daarbij dat er ook meer gekeken wordt naar het doel van de maatregel en niet de gangbare uitvoering van de maatregel. Bijvoorbeeld functiescheiding bij een eenmansorganisatie. Ook het oude, wellicht verwarrende ‘beveiligen van laad- en loslocaties’ komt niet meer onder die titel voor.

Daarnaast wordt elke maatregel, bijvoorbeeld ‘contact met autoriteiten’ gekoppeld aan één of meer “operational capability”. Dat laatste lijkt het meest op de huidige hoofdstukindeling van A.5 tot en met A.18.

Wat is er dan met die hoofdstukindeling gebeurd? Daar is met de komst van de ISO 27002 wijzigingen een grote verandering doorgevoerd: de beheersmaatregelen worden verdeeld in vier groepen (hieronder genummerd volgens de nieuwe hoofstukken / clauses en met het aantal maatregelen benoemd):

  • 5. Organisatorische maatregelen (37), bijvoorbeeld een inventaris van informatie en bijbehorende middelen;
  • 6. Mensen (8), bijvoorbeeld werken op afstand;
  • 7. Fysieke maatregelen (14), bijvoorbeeld toegang tot de serverruimte;
  • 8. Technologische maatregelen (36), bijvoorbeeld testen.

Dit maakt het in principe iets eenvoudiger om in te schatten wie de eigenaar wordt van een beheersmaatregel. Bijvoorbeeld HRM voor Mensen, de Security Officer voor Organisatorisch. Uiteraard mag er nog geschoven worden.

Meer weten over een Information Security Management Sytem? Lees dan: ‘Wat is een ISMS in de ISO 27001 norm?

(Hulp bij) transitie n.a.v. de ISO 27002 wijzigingen

Als de nieuwe norm inderdaad eind 2021 komt (in theorie kan dit nog vertragen), dan geldt er een overgangsperiode van drie jaar. Als jouw organisatie al gecertificeerd is, dan is het verstandig om te kijken in welk jaar je hercertificeringsaudit valt. Als dit qua planning lukt, dan is het prettig om met je certificerende instelling af te stemmen om tegen de nieuwe norm geauditeerd te worden. Dat voorkomt hopelijk aanvullende bezoeken.

Hoe moet die transitie dan gemaakt worden? Het meest praktische is dat bij de eerstvolgende revisie van de risicoanalyse te doen. Als die nog lang op zich laat wachten, dan kun je er uiteraard één extra plannen. Daarbij kijk je op basis van de nieuwe indeling of er bij je huidige risicoanalyse toch niet iets gemist is. Mogelijk is dat niet eens zo: in dat geval is het een kwestie van duidelijk zichtbaar maken dat je ook onder de nieuwe indeling, je zaken op orde hebt.

Bekijk ook: Gratis hulpmiddel bij ISO 27001? De PDCA duidelijker en beter toepasbaar!

Het werk is omvangrijker wanneer je jouw managementsysteem sterk gekoppeld hebt (of ingedeeld hebt volgens) annex A paragraafnummers. Veel (jongere) systemen kennen een dergelijke inrichting.

Wat is ISO 27002De nieuwe norm bevat een bijlage met een mapping van de 2013 versie naar de 2021 versie, die je voor een zoek- en vervang exercitie kan gebruiken. Nuttiger is om de focus op de norm los te laten, zeker als je systeem al een tijd goed draait. Je processen werken dan immers goed en je hebt de ‘kruk’ van de normdetails steeds minder nodig om de relevante maatregelen te treffen en goed te houden. Uiteraard maak je de koppeling tussen je systeem en norm nog wel (in risicoanalyse en verklaring van toepasselijkheid), maar deze mag naar de achtergrond. Dat is ook goed voor het draagvlak en de effectiviteit in je organisatie. En je voorkomt dat je bij een toekomstige update aan de norm vast zit aan het framework.

Wat je ook doet: neem bij je eerstvolgende directiebeoordeling (of overleg tussen Security Officer en directie) deze ontwikkeling op basis van de ISO 27002 wijzigingen alvast mee.

Joris Geelhoed (SO bij Vecos): “Het is erg prettig als je met een partner samenwerkt die net zo pragmatisch denkt en handelt als wij zelf doen. We hebben veel aan CAN te danken. Zij hebben ons waardevolle input gegeven gedurende het hele traject.” – Benieuwd naar de hele ervaring rondom ISO 27001 implementatie van onze klant Vecos? Bekijk de klantcase.

Gekoppelde normen

Een aantal normen zijn afhankelijk van of gekoppeld aan ISO 27002, zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510, de norm voor de zorg. Daarnaast zijn er verbanden of overlap met ABDO, TISAX en ISAE.

De NEN 7510 norm zal de nieuwe normindeling overnemen, de planning is alleen nog niet bekend. Of de BIO deze norm overneemt was bij de NEN-werkgroep recent nog niet bekend: dit is aan de overheid. Onze verwachting is dat dit wel zal worden gedaan, maar een lange(re) doorlooptijd zal kennen.

Hoe nu verder met betrekking tot de ISO 27002 wijzigingen?

Als je al contact hebt met één van onze adviseurs (of Security Officers as a Service), dan kan hij je hierbij verder helpen. Heb je nog geen contact met één van onze collega’s, dan helpen wij je uiteraard ook graag met deze transitie: wij hebben ervaring met de begeleiding bij dit soort transities. Neem gerust contact met ons op. We vertellen je graag meer!


Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl

Transcriptie video
ISO 27002 WIJZIGINGEN: dit gaat in 2021 veranderen

Eind dit jaar krijgen we een nieuwe ISO 27002 norm. Misschien met nog een klein beetje uitloop, maar laten we van dit jaar uitgaan. Wat betekent dat dan? De 27002 norm is eigenlijk de opsomming van dingen waar je rekening mee moet houden als je informatiebeveiliging formeel gaat proberen te beheersen in je bedrijf. De norm is wat verouderd en is daarom opgefrist. Er zijn een aantal maatregelen samengevoegd die anno nu niet meer los hoeven te zijn en er zijn een aantal nieuwe maatregelen bij gekomen. Inhoudelijk kun je op diverse plekken nalezen wat dat precies inhoudt. Interessanter op hoofdlijnen is dat er van 14 inhoudelijke thema’s naar 4 hoofdcategorieën van maatregelen wordt gegaan. Maatregelen die met mensen te maken hebben, maatregelen met organisatorische processen, technische maatregelen en fysieke maatregelen. (Het slot op je deur.) Dat maakt het ook iets logischer om te kijken waar een maatregel normaliter in een organisatie neergelegd wordt en wie daar verantwoordelijkheid voor neemt. Die maatregelen pak je op. Ze zijn voor het gemak ook voorzien van een aantal nieuwe attributen zoals of een maatregel impact heeft op de beschikbaarheid van informatie of de vertrouwelijkheid van informatie bijvoorbeeld. Dit ga je verwerken als organisatie in je eigen managementsysteem door op een gegeven moment een nieuwe risicoanalyse te doen. En dan ergens in een periode van 3 jaar na de formele publicatie van de norm, kies je in overleg met je certificerende instelling voor het formele moment dat je overgaat. Tijdig eraan beginnen is natuurlijk belangrijk om dat een soepel schakelmoment te laten zijn, maar je kan daar best prima zelf nog in sturen als je op tijd begint. Wil je meer weten over de 27002 norm en hoe zo’n transitie traject normaliter gaat? Je bent van harte welkom om contact met ons op te nemen. Wij helpen organisaties hier graag bij.