Het naleven van strenge normen voor it-beveiliging is onverminderd belangrijk voor bedrijven in sterk gereguleerde sectoren. Het is daarom verstandig om goed op de hoogte te blijven van de nieuwste normen. Zo heeft de informatiebeveiligingsnorm ISO/IEC 27002 onlangs een aantal updates gekregen die it-beveiligingsteams nu moeten implementeren om aan de eisen van informatiebeveiliging te blijven voldoen.
Het voldoen aan de normen vraagt om inzicht in operationele risico’s en het aantoonbaar beveiligen van gegevens. Dat is niet alleen belangrijk voor het behalen van een certificaat, maar ook voor het binnenhalen van nieuwe klanten. Want wie de gegevensbeveiliging aantoonbaar goed op orde heeft, heeft een streepje voor in de aanbesteding.
ISO 27002 is een toelichting op de ISO 27001 norm die richtlijnen geeft over het procesmatig inrichten van informatiebeveiliging. In de recente update van ISO 27002 zijn veel nieuwe controles beschreven die ervoor zorgen dat bedrijven zich aanpassen aan de nieuwe vraagstukken voor it-beveiliging. De adoptie van de cloud leidde bijvoorbeeld tot de noodzaak om controles te implementeren rond ‘Informatiebeveiliging voor het gebruik van clouddiensten (5.2.3)’. Het voorkomen van het lekken van gegevens (8.12) en het maskeren van gegevens (8.11) zijn ook een directe reactie op recente aanvallen.
Wat betekenen deze wijzigingen voor bedrijven en hoe kunnen zij aan de bijgewerkte norm voldoen?
Laten we beginnen met de veranderingen. De belangrijkste herzieningen in de nieuwste standaard zijn:
- De term ‘Code of Practice’ is verdwenen uit de titel van ISO/IEC 27002. Dit is om duidelijk te maken dat het gaat om een ISO/IEC 27001-referentie voor de beschrijving en toepassing van controles.
- Het aantal controles is teruggebracht van 114 naar 93, waarbij de resterende clausules zijn gegroepeerd in vier duidelijke secties: Organisatorisch, Mensen, Fysiek en Technologisch. Ook zijn in totaal 23 controles hernoemd, zodat ze gemakkelijker kunnen worden begrepen en toegepast.
- Er zijn 11 nieuwe controles toegevoegd die het veranderende beveiligingslandschap weerspiegelen. Het gaat onder meer om threat intelligence, informatiebeveiliging voor het gebruik van clouddiensten, data masking en secure coding.
Deze wijzigingen betreffen zowel de controles zelf als de manier waarop ze moeten worden gebruikt en georganiseerd. Door het risicobeheerproces van het Information Security Management System (ISMS) kunnen organisaties naar wens en overal controles selecteren om het risico van de organisatie te beperken. Vanzelfsprekend ligt de nadruk op de beheersingsmaatregelen die in ISO/IEC 27002 zijn opgenomen. Als een organisatie controles selecteert uit andere bronnen dan ISO/IEC 27002, moeten deze vergeleken worden met ISO/IEC 27002 en moeten eventuele afwijkingen gemotiveerd en gedocumenteerd worden.
Elke organisatie die momenteel gecertificeerd is volgens ISO/IEC 27001:2013 kan blijven verwijzen naar en kiezen voor de beheersingsmaatregelen in de huidige ISO/IEC 27002:2013. Zij kunnen ook gebruikmaken van de controlemaatregelen in de nieuwe versie (als onderdeel van het proces voor de beoordeling van de informatiebeveiliging). Zoals bij elke update van een norm is er een overgangsperiode. In dit geval is die periode twee jaar, die ingaat op de datum waarop de bijgewerkte ISO/IEC 27001 wordt uitgebracht – er is dus ruim voldoende tijd om te plannen.
De update beheren als gecertificeerde organisatie
Tijdens de overgang moeten gecertificeerde organisaties de risicobehandeling beoordelen om er zeker van te zijn dat deze in overeenstemming is met de documentstructuur en de nieuwe controlenummering. Ze zullen ook hun verklaring van toepasselijkheid moeten aanpassen om ervoor te zorgen dat de nieuwe controles nauwkeurig worden vermeld, en de ISMS-documentatie moeten herzien en dienovereenkomstig aanpassen/bijwerken om de wijzigingen weer te geven. Er kunnen ook documenten zijn die nog niet bestaan en die moeten worden opgesteld en geïmplementeerd.
ISO/IEC 27001 bevat al veel documenten, dus dit is het gebied dat waarschijnlijk de meeste inspanning zal vergen. De nieuwe ISO/IEC 27002 bevat een bijlage waarin de norm van 2013 wordt geïdentificeerd, om het proces van invoering van de nieuwe versie te vergemakkelijken.
Zorgen voor een succesvolle overgang
Het is essentieel om deze overgang in goede banen te leiden. Dat geldt zowel voor een organisatie die voor certificering kiest om inzicht te krijgen in de risico’s, als voor organisaties die willen voldoen aan de eisen van externe audits. De complexiteit van ISO/IEC 27002 kan er echter al snel toe leiden dat organisaties niet meer aan de eisen voldoen. Daarom is het verstandig om een derde partij in te schakelen die de expertise heeft om taken uit te voeren zoals reikwijdtebeoordelingen, kloofanalyse, training in gebruikersbewustzijn of gewoon het creëren van de documentatie. Hierdoor verloopt het implementatieproces veel beter.
Een effectieve implementatie van deze normen helpt organisaties om geschikte en proportionele beveiligingscontroles te identificeren binnen het proces van het opzetten van een ISMS. Het ondersteunt hen ook in het realiseren van best practices in informatiebeveiligingsbeheer. Het helpt bij het voldoen aan alle wettelijke, statutaire, regelgevende en contractuele vereisten met betrekking tot informatiebeveiliging. Maar bovenal kunnen zij met deze normen het risicobeheer versterken en de kans op inbreuken op de informatiebeveiliging verkleinen.
