Security Professionals
- ipfw add deny all from eindgebruikers to any
ISO 27001 Operational Capabilities attributes
10-04-2025, 11:48 door Anoniem, 7 reacties
De ISO 27002 introduceerde in de 2022 versie zogenaamde attributes, dat zijn die hashtags die je ziet bij elke control. Deze attributen kunnen worden gebruikt om de controls vanuit verschillende perspectieven te filteren, sorteren en toepassen.
Een van deze attributes zijn de Operational Capabilities, met termen als: Physical Security, Human Resource Security en Asset Management. Dat zijn natuurlijk vrij voor de hand liggende termen. Maar, is er een echt official ISO? definitie van deze 15 termen?
Ik heb naast natuurlijk Google ook gekeken in de 27000, 27001 en 27002, maar de definities staan daar niet in.
Een van deze attributes zijn de Operational Capabilities, met termen als: Physical Security, Human Resource Security en Asset Management. Dat zijn natuurlijk vrij voor de hand liggende termen. Maar, is er een echt official ISO? definitie van deze 15 termen?
Ik heb naast natuurlijk Google ook gekeken in de 27000, 27001 en 27002, maar de definities staan daar niet in.
Reacties (7)
10-04-2025, 12:25 door
Anoniem
Je observatie is volledig terecht en wordt gedeeld door veel security-experts die werken met ISO/IEC 27002:2022. De 15 Operational Capabilities die als één van de vijf sets attributes zijn toegevoegd in de 2022-versie van ISO 27002, worden inderdaad gebruikt om de context en toepasbaarheid van controls te duiden — maar wat betreft officiële definities zit je in een grijs gebied.
Conclusie (expert-level antwoord):
Nee, er bestaat geen officiële, normatief bindende ISO-definitie van de 15 Operational Capabilities in ISO/IEC 27002:2022. Ze zijn niet gespecificeerd of gedefinieerd in ISO/IEC 27000, 27001, noch volledig in 27002. De termen zijn bedoeld als taxonomisch hulpmiddel, niet als formele begrippen met een vaste definitie in de ISO-familie.
Achtergrond:
De attributen, inclusief de Operational Capabilities, zijn bedoeld om:
Controls te filteren of groeperen op basis van organisatorische behoeften,
Risicogebieden te koppelen aan relevante domeinen (zoals Physical Security),
En om automatisering of tooling (zoals GRC-software) te ondersteunen.
De 15 Operational Capabilities zijn:
Asset Management
Business Continuity
Compliance
Human Resource Security
Information Security Event Management
Information Transfer
Identity and Access Management
Physical Security
Secure Configuration
Supplier Relationships
System Acquisition, Development and Maintenance
Threat and Vulnerability Management
Use of Cloud Services
User Endpoint Devices
Workforce Planning
Wat zegt ISO er wél over?
De enige "semi-officiële" toelichting die ISO geeft, is te vinden in:
ISO/IEC 27002:2022 – Annex A, en
"ISO/IEC TS 27022" of ISO/IEC TR 27016 worden soms gebruikt als guidance, maar bevatten ook geen formele definities van deze attributen.
Wat doen experts en auditors dan?
In praktijk worden deze termen geïnterpreteerd op basis van gangbare security-praktijken (bijv. NIST, ENISA, ISACA).
Veel organisaties ontwikkelen eigen interpretatiekaders voor deze capabilities binnen hun ISMS/GRC-platform.
Er wordt vaak verwezen naar ISO/IEC 27005 (risicobeheer) voor context van toepassingsgebieden.
Conclusie (expert-level antwoord):
Nee, er bestaat geen officiële, normatief bindende ISO-definitie van de 15 Operational Capabilities in ISO/IEC 27002:2022. Ze zijn niet gespecificeerd of gedefinieerd in ISO/IEC 27000, 27001, noch volledig in 27002. De termen zijn bedoeld als taxonomisch hulpmiddel, niet als formele begrippen met een vaste definitie in de ISO-familie.
Achtergrond:
De attributen, inclusief de Operational Capabilities, zijn bedoeld om:
Controls te filteren of groeperen op basis van organisatorische behoeften,
Risicogebieden te koppelen aan relevante domeinen (zoals Physical Security),
En om automatisering of tooling (zoals GRC-software) te ondersteunen.
De 15 Operational Capabilities zijn:
Asset Management
Business Continuity
Compliance
Human Resource Security
Information Security Event Management
Information Transfer
Identity and Access Management
Physical Security
Secure Configuration
Supplier Relationships
System Acquisition, Development and Maintenance
Threat and Vulnerability Management
Use of Cloud Services
User Endpoint Devices
Workforce Planning
Wat zegt ISO er wél over?
De enige "semi-officiële" toelichting die ISO geeft, is te vinden in:
ISO/IEC 27002:2022 – Annex A, en
"ISO/IEC TS 27022" of ISO/IEC TR 27016 worden soms gebruikt als guidance, maar bevatten ook geen formele definities van deze attributen.
Wat doen experts en auditors dan?
In praktijk worden deze termen geïnterpreteerd op basis van gangbare security-praktijken (bijv. NIST, ENISA, ISACA).
Veel organisaties ontwikkelen eigen interpretatiekaders voor deze capabilities binnen hun ISMS/GRC-platform.
Er wordt vaak verwezen naar ISO/IEC 27005 (risicobeheer) voor context van toepassingsgebieden.
10-04-2025, 15:02 door
Anoniem
Dank voor je complete antwoord. Inderdaad niet het gehoopte antwoord, maar wel heel duidelijk en bevestigend van wat ik al dacht. Benieuwd of anderen hier nog anders tegen aankijken, of toevallig de bron voor "officiele" definities kennen.
27-11-2025, 17:42 door
Anoniem
Zijn dit de 15 Operationele Capaciteiten? Sure?
28-11-2025, 08:56 door
Anoniem
Dit lijken me zeer valide vragen, maar zoom eens een beetje uit, en kijk dan of deze zeer hoge theoretische graad je niet iets te ver af laten staan van de praktijk.
Je loopt het risico om je volledige management laag kwijt te raken als je het hebt over Operational Capabilities attributes, terwijl zij nog zitten te worstelen met wie er nu de baas is over een proces/procedure document, en hoe ze de medewerkers zo ver krijgen om ook eens een keer op te schrijven wat ze doen, en te doen wat er is opgeschreven.
Kwaliteitsmedewerkers zijn vaak in staat om zich ergens 4 cijfers achter de komma druk te maken over een norm-definitie, en of de Nederlandse vertaling wel recht doet aan de Amerikaanse text, maar krijgen het niet voor elkaar om naast opzet en bestaan, de werking een beetje vlot te trekken.
Ik denk dat je beter een matig systeem lekker kunt laten werken, dan een perfect systeem dat alleen tijdens de audit-week werkt.
Ow, en kwalitietsmedewerkers vinden altijd wel een reden om het met elkaar oneens te zijn, prove me wrong. :-)
Je loopt het risico om je volledige management laag kwijt te raken als je het hebt over Operational Capabilities attributes, terwijl zij nog zitten te worstelen met wie er nu de baas is over een proces/procedure document, en hoe ze de medewerkers zo ver krijgen om ook eens een keer op te schrijven wat ze doen, en te doen wat er is opgeschreven.
Kwaliteitsmedewerkers zijn vaak in staat om zich ergens 4 cijfers achter de komma druk te maken over een norm-definitie, en of de Nederlandse vertaling wel recht doet aan de Amerikaanse text, maar krijgen het niet voor elkaar om naast opzet en bestaan, de werking een beetje vlot te trekken.
Ik denk dat je beter een matig systeem lekker kunt laten werken, dan een perfect systeem dat alleen tijdens de audit-week werkt.
Ow, en kwalitietsmedewerkers vinden altijd wel een reden om het met elkaar oneens te zijn, prove me wrong. :-)
28-11-2025, 20:20 door
thegodthatfailed
Door Anoniem: Zijn dit de 15 Operationele Capaciteiten? Sure?
Ja. Zie paragraaf 4.2 van de ISO27002-2022:
d) Operationele capaciteiten
Operationele capaciteiten is een attribuut om beheersmaatregelen te bekijken vanuit het perspectief van beroepsbeoefenaren op informatiebeveiligingscapaciteiten. De attribuutwaarden bestaan uit #Governance, #Beheer_van_bedrijfsmiddelen, #Informatiebescherming, #Personeelsbeveiliging, #Fysieke_beveiliging, #Systeem-_en_netwerkbeveiliging, #Toepassingsbeveiliging, #Veilige_configuratie, #Identiteits-_en_toegangsbeheer, #Beheer_van_dreigingen_en_kwetsbaarheden, #Continuïteit, #Beveiliging_in_leveranciersrelaties, #Juridisch_en_compliance, #Beheer_van_informatiebeveiligingsgebeurtenissen en #Borging_van_informatiebeveiliging.
Operationele capaciteiten is een attribuut om beheersmaatregelen te bekijken vanuit het perspectief van beroepsbeoefenaren op informatiebeveiligingscapaciteiten. De attribuutwaarden bestaan uit #Governance, #Beheer_van_bedrijfsmiddelen, #Informatiebescherming, #Personeelsbeveiliging, #Fysieke_beveiliging, #Systeem-_en_netwerkbeveiliging, #Toepassingsbeveiliging, #Veilige_configuratie, #Identiteits-_en_toegangsbeheer, #Beheer_van_dreigingen_en_kwetsbaarheden, #Continuïteit, #Beveiliging_in_leveranciersrelaties, #Juridisch_en_compliance, #Beheer_van_informatiebeveiligingsgebeurtenissen en #Borging_van_informatiebeveiliging.
Alle beheersmaatregelen krijgen vervolgens een of meer van die capaciteiten toegewezen in de vervolghoofdstukken van het document, zoals:
5.13: Labelen van informatie -> #Informatiebescherming
6.4: Disciplinaire procedure -> #Personeelsbeveiliging
8.10: Wissen van informatie -> #Informatiebescherming, #Juridisch_en_compliance
28-11-2025, 20:31 door
Anoniem
Ow, en kwalitietsmedewerkers vinden altijd wel een reden om het met elkaar oneens te zijn, prove me wrong. :-)
Ik dacht nu juist dat kwaliteitsmedewerkers er allemaal van overtuigd zijn dat Management in de weg zit van lekker werken ?
:)
28-11-2025, 22:54 door
Anoniem
Het meest eenvoudige is om een control framework aan te leggen gebaseerd op deze 15 gebieden. Het voorzien dan de juiste labels is daarnaast handig wanneer je met meerdere certificedingen te maken hebt.
Wij hebben onze globale framework rond ISO ingericht en vanuit dit de diverse policies gedefinieerd. Sommige policy’s bevatt n meerdere gebieden maar dat is niet zo erg.
Hieruit krijg je een kapstok waar je weer onderliggende procedures aan kunt hangen en dagelijkse processen mee kunt beschrijven. Omdat policies ook de juiste RACI modellen bevatten kun je dan ook proces eigenaren verantwoordelijk maken voor hun proces omschrijving. En dan het mooie, je kan hierop gaan benchmarken en controles uitvoeren en met de juiste vertaling kan je ook heel snel naar SOC 2 type 1 en vervolgens naar type 2.
Wij hebben onze globale framework rond ISO ingericht en vanuit dit de diverse policies gedefinieerd. Sommige policy’s bevatt n meerdere gebieden maar dat is niet zo erg.
Hieruit krijg je een kapstok waar je weer onderliggende procedures aan kunt hangen en dagelijkse processen mee kunt beschrijven. Omdat policies ook de juiste RACI modellen bevatten kun je dan ook proces eigenaren verantwoordelijk maken voor hun proces omschrijving. En dan het mooie, je kan hierop gaan benchmarken en controles uitvoeren en met de juiste vertaling kan je ook heel snel naar SOC 2 type 1 en vervolgens naar type 2.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?