U hebt ongetwijfeld al eens de termen “ISO/IEC 27001”, “ISO27001” of “ISO 7k” horen vallen wanneer u op zoek gaat naar adviezen m.b.t. cybersecurity.

Maar wat is “ISO 27001” nu eigenlijk en waarom kan het interessant zijn voor uw organisatie om hier meer over te leren?

 

Deze korte reeks van vier artikels behandelt de:

• betekenis en het doel van ISMS en ISO 27001 (artikel 1 van 4)
• inhoud van ISO 27001 (artikel 2 van 4)
• inhoud van ISO 27002 (artikel 3 van 4)
• betekenis en het doel van de IEC 62443-standaard (artikel 4 van 4)

Waarvoor staat en wat is het doel van ISO 27001?

De ISO/IEC 27001-standaard maakt deel uit van de zogehete ISO 27000-reeks of ISO 27k-reeks, een steeds groeiende lijst van informatiebeveiligingsnormen. De serie geeft de beste praktijkaanbevelingen m.b.t. het beheer van informatiebeveiliging door middel van informatiebeveiligingscontroles in het kader van een algemeen systeem voor informatie-beveiligingsbeheer of “Information Security Management System” (ISMS). Deze ISMS is vergelijkbaar met het managementsysteem voor kwaliteitsborging en gerelateerde normen (ook gekend als de ISO 9000-serie).

De ISO 27000-reeks, opgesteld en gepubliceerd door het International Organization for Standardization (ISO) en het International Electrotechnical Commission (IEC), is opzettelijk breed en bevat meer dan alleen aanbevelingen over privacy, vertrouwelijkheid, en IT-gerelateerde (cyber security) risico’s. Het is van toepassing op organisaties van alle vormen en maten.

In een steeds complexer wordende IT-omgeving waarin de cyberbedreiging alleen maar toeneemt, worden alle organisaties met aandrang aangemoedigd hun informatierisico's te beoordelen en - volgens je organisatie haar behoeften - gebruik te maken van informatiebeveiligingscontroles, met behulp van de richtlijnen en suggesties waar relevant. Hiervoor kan de ISO/IEC 27001-standaard als referentie gebruikt worden.

De ISO/IEC 27001-standaard (volledige naam: “ISO/IEC 27001:2013 — Information technology — Security techniques — Information security management systems — Requirements”) heeft als doel om organisaties – van eender welke grootorde en binnen eender welke sector – een kader te bieden om op een systematische en kostenefficiënte manier informatiebeveiliging te organiseren door middel van het opzetten van een “Information Security Management System” (ISMS). 

Daarnaast vereist het ISMS-concept dat, gegeven de dynamische aard van informatierisico's en informatieveiligheid, recurrente feedback- en verbeteringsactiviteiten om te reageren op veranderingen in de bedreigingen, kwetsbaarheden, en gevolgen van incidenten voorzien worden. Deze methode van continue verbetering is beter gekend als de Plan-Do-Check-Act (PDCA) methode.

De ISO/IEC 27001-standaard schrijft voor dat de organisatie een structurele aanpak van de informatiebeveiligingsrisico’s moet definiëren en toepassen, en verwijst hiervoor naar Bijlage A dat een uitgebreide lijst van beheersdoelstellingen en beheersmaatregelen omvat. Deze doelstellingen en maatregelen worden vervolgens verder uitgewerkt in de standaard ISO/IEC 27002 “Code of practice for information security controls” die uitgebreide richtlijnen en algemene principes bevat voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in uw organisatie. De ISO/IEC 27002 is momenteel onder herziening en de nieuwe versie wordt verwacht in het najaar van 2021.

In 2019 werd ook een aanvullende privacy gerelateerde standaard uitgebracht, zijnde “ISO/IEC 27701 — Information technology - Security Techniques - Information security management systems — Privacy Information Management System (PIMS)”. ISO 27701 heeft als doel om het bestaande informatiebeveiligingsbeheersysteem (ref. ISO 27001) te verbeteren met aanvullende controles inzake privacy te implementeren, te onderhouden en continu te verbeteren. De vereisten zoals opgesomd in de ISO 27701-standaard, staat los van de ISO 27001- & ISO 27002-standaard en de eventuele certifiëring tegen de ISO27001-standaard.

Wat is een Information Security Management System (ISMS)?

Een Information Security Management System (of Algemeen Systeem voor Informatiebeveiligingsbeheer) is een verzameling van regels in de vorm van uitgeschreven policies (beleidslijnen) en procedures, of gevestigde processen en technologieën. Deze worden gebruikt om:

• te bepalen wie de stakeholders zijn en wat hun verwachtingen zijn op vlak van informatiebeveiliging binnen de organisatie;
• te bepalen welke risico’s er bestaan m.b.t. informatiebeveiliging binnen de organisatie;
• controles en risicobeperkende maatregelen op te zetten om aan bovengenoemde verwachtingen te voldoen en de risico’s te beperken;
• duidelijke objectieven voor het informatiebeveiligingstraject te bepalen;
• voortdurend te meten of de uitgevoerde controles aan de verwachtingen voldoen; en
• voortdurende verbeteringen door te voeren om het ISMS beter te laten functioneren.

De ISO 27001- en ISO 27002-standaard helpen uw organisatie bij het opstellen van deze ISMS-regels en bepalen welke structuren en documenten er hiervoor minimum minimori aanwezig dienen te zijn.

Het uiteindelijke doel hiervan is het beschermen van drie aspecten van informatie, de zgn. “CIA-triad”:

• Vertrouwelijkheid (confidentiality): alleen geautoriseerde personen hebben het recht op toegang tot informatie;
• Integriteit (integrity): alleen bevoegde personen kunnen de informatie wijzigen;
• Beschikbaarheid (availability): de informatie moet toegankelijk zijn voor geautoriseerde personen wanneer zij nodig is.

Waarom zou je een ISMS opzetten?

Er zijn verschillende redenen waarom je (als organisatie) voordeel kan halen bij het opzetten van een algemeen systeem voor informatiebeveiligingsbeheer (ISMS), waaronder:

1. Professionalisering
   Terwijl de organisatie groeit, worden nieuwe processen en technologieën geïmplementeerd. Hier wordt echter (vaak) weinig van gedocumenteerd. De implementatie van ISO 27001 zet de organisatie er tot aan om haar (belangrijkste) processen te documenteren. Dit zorgt ervoor dat iedereen binnen de organisatie weet wat er dient te gebeuren, wanneer en door wie. Uw organisatie gaat als gevolg professioneler te werk, en uw bedrijfsprocessen verlopen efficiënter en sneller.
2. Kosten drukken
   ISO 27001 is bedoeld als een proactieve manier van informatiebeveiliging voorzien. Incidenten – ongeacht hun grootte – kosten tijd en geld. Door proactieve maatregelen te nemen om incidenten te voorkomen, bespaart u mogelijks veel geld. De implementatie van ISO 27001 is zo een zeer kostenbesparende investering.
3. Competitief voordeel
   Een ISO 27001-implementatie (al dan niet gekoppeld aan een ISO27001-certificering) helpt het professionalisme van uw organisatie op het vlak van informatiebeveiliging aan te tonen. Dit kan een competitief voordeel opleveren ten aanzien van concullega’s.
4. Wettelijke vereisten
   De ISO27001-implementatie (al dan niet gekoppeld aan een ISO27001-certificering) is meestal geen wettelijke verplichting, maar steeds meer wetten, reguleringen, aanbestedingen, contracten, enz. leggen de implementatie van ISO 27001/ISO 27002 als een minimumvoorwaarde op aan organisaties om als betrouwbare partner (op het vlak van informatiebeveiliging) beschouwd te worden. Bovendien verwijst de vrij recente Europese NIS-richtlijn – welke omgezet werd in Belgische wetgeving – naar ISO 27001 als referentie-standaard om te voldoen aan deze wetgeving.

Is ISO 27001 ook geschikt om naast IT ook OT af te dekken?

De ISO 27001-standaard heeft tot doel het implementeren van een informatiebeveiligings-beheersysteem dat zowel IT (“Information Technology”) als OT (“Operations Technology”) van uw organisatie afdekt. Het moet echter gezegd worden dat IT-standaarden zoals ISO 27001 niet volledig geschikt zijn voor IACS en andere OT-omgevingen (operationele technologie). IASC en OT-omgevingen hebben bijvoorbeeld verschillende prestatie- en beschikbaarheidseisen m.b.t de levensduur van de apparatuur.

Daarom wordt er in industriële omgevingen - naast de ISO 27001-standaard - vaak complementair teruggevallen op de IEC 62443-standaard. IEC 62443 richt zich op het implementeren van elektronisch beveiligde industriële automatiserings- en controlesystemen (IACS).

Beide - ISO 27001 en IEC 62443 - kunnen samen worden gebruikt in die zin dat ISO 27001-praktijken helpen bij het beschermen van de informatie die wordt gebruikt om IACS te implementeren en om ervoor te zorgen dat het ontwikkelingsproces effectief is bij het implementeren van de beveiligingspraktijken die zijn gedefinieerd door IEC 62443.

Conclusie

Het opzetten van een algemeen systeem voor informatiebeveiligingsbeheer (ISMS) zorgt voor een algemene professionalisering van de organisatie. Deze proactieve manier om informatie-beveiliging in uw organisatie te bevorderen is een investering met een hoge Return-on-Investment.

In de volgende artikels gaan we dieper in op de bouwstenen van respectievelijk de ISO/IEC 27001-standaard en de inhoud van ISO 27002. Het artikel over de IEC 62443-standaard vormt het sluitstuk van dit onderwerp.

Heeft u vragen over de ISO 27001-, ISO 27002- of IEC 62443-standaard? Wenst u meer informatie over hoe het pragmatisch opzetten van een ISMS op maat van uw organisatie in zijn werk gaat? Of wil u meer te weten komen over informatiebeveiliging op maat van uw organisatie in het algemeen? Neem dan zeker contact met ons op via de website, per telefoon (+32 3 361 66 31) of per e-mail (cyber@clipeum.be)!

 

Frederik Vervoort – 27/07/2021