Nadat het vorige artikel u de inhoud van ISO 27001 toelichtte, leert dit artikel u meer over de inhoud van de ISO 27002-standaard.

De principes van deze standaard bieden uw onderneming een houvast tijdens het initiëren, implementeren, handhaven en verbeteren van informatiebeveiliging.

 

Om ISO 27001-conform te zijn, dient uw organisatie de controles in Annex A (oplijsting van de ISO/IEC 27002-controles) te implementeren voor zoverre deze in de Verklaring van Toepasselijkheid (Statement of Applicability) werden aangeduid als zijnde van toepassing voor uw organisatie. Weet echter dat in de meeste gevallen zo goed als alle controles van toepassing zijn. Deze ISO/IEC 27002-standaard licht in detail de aan te raden controles toe die moeten bijdragen tot het minimaliseren van informatiebeveiligingsrisico’s tot een aanvaardbaar niveau.

Inhoud van ISO 27001

De huidige versie van de ISO/IEC 27002-standaard dateert van 2013 en is opgedeeld in 14 controle-domeinen, genummerd van A.5 t.e.m. A.18. In totaal omvatten deze domeinen 35 paragrafen met 114 controles:

A.5: Informatiebeveiligingsbeleid
Deze controles beschrijven hoe om te gaan met de informatiebeveiligingsbeleidslijnen.

A.6: Organiseren van informatiebeveiliging
Deze controles voorzien in de basis voor de implementatie en werking van het informatie-beveiligingsbeleid door het definiëren van de interne rollen & verantwoordelijkheden en organisatorische aspecten zoals projectmanagement. Daarnaast worden – eerder verrassend - ook de controles m.b.t. het gebruik van mobiele toestellen (laptop, smartphone, tablet, …) en telewerken in dit domein besproken.

A.7: HR Informatiebeveiligingsaspecten
Deze controles zorgen ervoor dat de beheersmaatregelen rond aanwerving, training, personeelsbeheer en beëindiging van samenwerking afdoende zijn op het vlak van informatiebeveiliging.

A.8: Beheer van bedrijfsmiddelen
Deze controles zorgen ervoor dat alle bedrijfsmiddelen of “assets” (d.w.z. hardware, software, infrastructuur, informatie en human capital) worden geïdentificeerd, verantwoordelijkheden naar beveiliging van de bedrijfsmiddelen worden toegekend, en dat men op de hoogte is van hoe er volgens welke classificatie-niveaus er met informatie omgegaan dient te worden.

A.9: Toegangsbeheer
Deze controles hebben als doel om logische en fysieke toegangen tot informatie en bedrijfsmiddelen te beperken in overeenstemming met de reële noden van de organisatie.

A.10: Cryptografie
Deze controles voorzien in de basis voor het correct gebruik van encryptietechnologieën in functie van het beschermen van de vertrouwelijkheid, authenticiteit en/of integriteit van de informatie.

A.11: Fysieke beveiliging en beveiliging van de omgeving
Deze controles dienen om ongeautoriseerde toegang tot fysieke zones te voorkomen, en om bedrijfsmiddelen en -locaties te beschermen tegen misbruik of beschadiging door acties van personen of natuurfenomenen.

A.12: Beveiliging van bedrijfsoperaties
Deze controles zorgen ervoor dat IT-systemen, incl. besturingssystemen en software, afdoende veilig zijn en beschermd worden tegen verlies van informatie of gegevens. Daarbovenop schrijven de controles in dit domein voor dat acties worden gelogd en bewijsmateriaal wordt bijgehouden, dat er op regelmatige basis een kwetsbaarheidsanalyse wordt uitgevoerd en dat er voorzorgsmaatregelen worden getroffen om ervoor te zorgen dat deze auditactiviteiten geen impact hebben op de activiteiten van de organisatie.

A.13: Communicatiebeveiliging
Deze controles dienen ter bescherming van de netwerkinfrastructuur en de datastromen die er doorheen lopen.

A.14: Verkrijging, ontwikkeling en onderhoud van informatiesystemen
Deze controles zorgen ervoor dat er rekening wordt gehouden met informatiebeveiliging tijdens de ontwikkeling of aankoop van nieuwe (of het onderhoud van bestaande) systemen.

A.15: Leveranciersrelaties
Deze controles zorgen ervoor dat activiteiten uitgevoerd door leveranciers en business partners ook voldoen aan de vereiste informatiebeveiligingscontroles van uw onderneming, en ze beschrijven hoe het beveiligingsniveau van deze derde partijen dient te worden opgevolgd.

A.16: Beheer van informatiebeveiligingsincidenten
Deze controles creëren een kader voor het voorzien van de nodige communicatie en het behandelen van informatiebeveiligingsincidenten zodat deze vlot en efficiënt kunnen worden afgehandeld. Ze beschrijven ook hoe bewijsmateriaal moet worden bewaard en hoe u lessen trekt om gelijkaardige incidenten in de toekomst te vermijden.

A.17: Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Het betreft een overzicht van controles die kunnen bijdragen aan de continuïteit van het informatiebeveiligingsbeleid gedurende onderbrekingen en de beschikbaarheid van de onderneming haar informatiesystemen.

A.18: Naleving
Deze controles voorzien hoofdzakelijk in een kader om inbreuken op de geldende wet- en regelgeving m.b.t. informatiebeveiliging (vb. intellectueel eigendom) en contracten (personeel, klanten, leveranciers) te voorkomen.

Zoals u uit bovenstaande domeinen kan afleiden, omvat het beheer van informatiebeveiliging niet enkel IT-beveiliging (o.a. firewall, antivirus, enz.), maar ook het beheer van processen, HR-aspecten, fysieke beveiliging, enz.

Nieuwe ISO 27002-standaard

Eind 2021 zal de nieuwe ISO 27002-standaard – die momenteel in “final draft” status is, gepubliceerd worden die de bestaande 2013 ISO 27002-standaard vervangt.
Na het bekijken van deze “final draft”, vallen hoofdzakelijk volgende veranderingen op:

1. Het aantal controles daalt aanzienlijk van 114 naar 93.
2. De controles worden op een andere manier gegroepeerd. Er is niet langer sprake van 14 controledomeinen, maar van 4 controlecategorieën: organisatorische controles (37), HR/people controles (8), fysieke controles (14) en technologische controles (34).
3. Er zijn een aantal “nieuwe” controles die geintroduceerd worden in functie van de evoluerende digitale wereld (vb. 5.23 Information security for use of cloud services of 8.11 data masking). Sommige “nieuwe” controles zijn effectief nieuw, anderen zijn eerder een uitdieping van de huidige ISO27002-controles.
4. Er zijn een aantal bestaande controles die inhoudelijk ietwat verschillen van de huidige ISO27002-standaard.

Eens het duidelijk is dat de “final draft” van de ISO/IEC 27002: 2021-standaard effectief de finale versie zal worden, zullen we dieper ingaan op hoe organisaties die de ISO/IEC 27002: 2013 gebruikt hebben bij hun ISO27001-certifiëring zich moeten aligneren met de ISO/IEC 27002: 2021-standaard.

Conclusie

De ISO/IEC 27002-standaard voorziet – in uitbreiding van de ISO27001-standaard - in een kader van algemene principes voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in uw organisatie.

Zoals eerder gezegd, kan de hoeveelheid vereisten op het eerste zicht overdonderend zijn. Maar uw organisatie zal snel merken dat de ISO 27002-controles een goede houvast bieden om de organisatie verder te professionaliseren en bijgevolg een meerwaarde leveren voor uw organisatie.

Heeft u vragen over de ISO 27001-, de (oude en nieuwe) ISO 27002- of de IEC 62443-standaard? Wenst u meer informatie over hoe het pragmatisch opzetten van een ISMS op maat van uw organisatie in zijn werk gaat? Of wil u meer te weten komen over informatiebeveiliging op maat van uw organisatie in het algemeen? Neem dan zeker contact met ons op via de website, per telefoon ( +32 3 361 66 31 ) of per e-mail (cyber@clipeum.be)!

 

Frederik Vervoort – 30/08/2021