Informatiebeveiligingsnorm ISO 27002 krijgt update
De internationale norm voor informatiebeveiliging ISO 27002 krijgt een update, zo laat het Nederlands Normalisatie-instituut (NEN) weten. ISO 27002 is een beveiligingsnorm van de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) met de titel "Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging."
De norm geeft praktische handvatten voor de implementatie van ISO 27001, een andere beveiligingsnorm. ISO 27001 beschrijft de vereisten van een Information Security Management Systeem (ISMS). Via deze norm kunnen organisaties hun informatiebeveiliging procesmatig inrichting. ISO 27002 is hier een verdieping op en beschrijft hoe in kaart gebracht risico's kunnen worden beperkt of verkleind.
"Om normen relevant en actueel te houden, worden ze periodiek herzien", aldus het NEN. Volgens het Normalisatie-instituut is het de verwachting dat erbij deze herziening aanzienlijke wijzigingen worden doorgevoerd, zowel in de structuur van het document als in de inhoud van de security controls die in de beveiligingsnorm worden genoemd. ISO moet nog over de herziene versie stemmen. Naar aanleiding van deze stemming kunnen nog meer herzieningen worden doorgevoerd. De definitieve versie van de herziene ISO-norm zou volgend jaar oktober moeten verschijnen.
Klopt.
Vandaar ook ISO27001, waarmee je je ISMS kunt inrichten. Hierin zit het risicomanagement opgenomen.
ISO27002 is 'slechts' een overzicht met mogelijke maatregelen. Als je die toepast ben je ongetwijfeld aardig op weg, maar mis je de risico's/maatregelen die juist voor jouw organisatie belangrijk zijn.
Het gaat zelfs zo ver dat sommigen denken dat als iets niet beschreven staat in de norm, het ook helemaal geen risico kan zijn waar rekening mee gehouden hoeft te worden.
ISO 27k1 is een control framework en geeft je een manier om een ISMS op te zetten.
ISO 27k2 is een "Code of Practice",waarbij er over allerhande topics (teleworking, malware, ...) een aantal aanwijzigingen gegeven worden waar je aan kan denken om je te beveiligen, of guidelines die handig kunnen zijn.
Het zegt bijvoorbeeld NIET: "Encrypteer alle dataverkeer".
Het zegt wel: "Bij het gebruik van encryptie, denk aan de impact op security controls die afhankelijk zijn van content inspectie".
Het zegt dus niet doe "dit" of "dat", maar het stelt je in staat om aan de gevolgen te denken en dus een betere afweging te maken.
Als bedrijf dien je te beslissen over "de beste" manier om het beveiligingsrisico tot op een acceptabel niveau brengt.
En voor een start up, is dat nu eenmaal anders dan voor een financiële instelling.
Het zegt dus niet doe "dit" of "dat", maar het stelt je in staat om aan de gevolgen te denken en dus een betere afweging te maken.
De ISO27002 zegt dan weer Zorg voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid,
authenticiteit en/of integriteit van informatie te beschermen, dus dat is altijd de vraag die je je moet stellen als er weer ergens staat het is encrypted, dus het is veilig.
Wat niet iedereen weet, is dat de NEN7510 (Nederlandse Norm informatiebeveiliging in de zorg) deel-1 en -2 vrijwel volledig overeenkomen met de ISO27001 en ISO27002. Voordeel van de NEN norm is dat deze zonder kosten zijn te downloaden, want VWS heeft die toegang afgekocht.
https://www.nen.nl/NEN-Shop/Norm/NEN-751012017-nl.htm
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
En de helft van de tijd weten ze niet eens WAT ze afvinken.. ik heb ooit eens een keer moeten lullen als brugman, waren pas halverwege een implementatie toen we geaudit werden, en tadaaa.... alles goedgekeurd :S "U heeft de zaken goed voor elkaar!" uhuh.. op papier wel ja..
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Dan heb je nog nooit een echte 27001 audit meegemaakt. Ja, zij gebruiken de norm als baseline om te kijken of de organisatie 'in control' is. Wanneer je echter afwijkt van deze baseline en dit goed kunt motiveren is er niets aan de hand. Daarnaast zijn er altijd nog geaccepteerde risico's. Het gaat er bij het behalen van het certificaat vooral om dat een organisatie een goed risicomanagement framework (ISMS) in gebruik heeft en cyclisch aandacht besteedt aan het verbeteren van de informatiebeveiliging.
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Dat klopt, want dat is nu net wat een compliance audit inhoudt.
Het afchecken van de reële situatie aan hetgeen dat het bedrijf voorschrijft.
Een audit bepaalt niet of iets goed of slecht is, maar enkel of is volgens de opgestelde regels is of niet.
Als er geen regels zijn, kan je nooit falen voor een audit. (Tenzij er ergens een externe verplichting is om een regel te hebben.)
Trouwens, een audit en een certificatie hebeen steeds een scope.
Een bedrijf kan perfect ISO27k certificatie claimen terwijl de scope enkel het kassasysteem in het bedrijfsrestaurant is.
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Dat klopt, want dat is nu net wat een compliance audit inhoudt.
Het afchecken van de reële situatie aan hetgeen dat het bedrijf voorschrijft.
Een audit bepaalt niet of iets goed of slecht is, maar enkel of is volgens de opgestelde regels is of niet.
Als er geen regels zijn, kan je nooit falen voor een audit. (Tenzij er ergens een externe verplichting is om een regel te hebben.)
Trouwens, een audit en een certificatie hebben steeds een scope.
Een bedrijf kan perfect ISO27k certificatie claimen terwijl de scope enkel het kassasysteem in het bedrijfsrestaurant is.
Voor de criticasters dat regelgeving zoals een iso27k reeks, er zijn er meerdere voor aparte onderwerpen, geen nut heeft.
Dat is hetzelfde is beweren dat wetten voor verkeersregels niets aan de verkeersveiligheid bijdragen omdat er toch figuren blijven bestaan die overal lak aan hebben dan wel alles beter denken te weten.
De iso27001 is voord de top van een organisatie waarbij de verantwoordelijkheid en regelmatige controle (audit) opgelegd wordt voor een gedegen onderbouwde aanpak (Strategie). Tactisch is het aan een lijst van aandachtspunten wat uitwerken. De detailinvulling is operationeel op de vloer deze moet voldoen aan wat strategisch en tactisch uitgezet is.
Het wordt een interessant gebeuren als de uitwerking op de vloer voldoet aan de geest van de strategie/taktiek maar niet wat als een detaillistische werkopdracht beschreven is.
Het laatste plaatje op de volgende URL toont dat al.
https://www.iso27001security.com/html/27002.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.