Herziening van ISO 27002 - dit zijn de wijzigingen

• ISO 27002 en ISO 27001
• Nieuwe structuur en nieuwe onderwerpen
• Nieuwe beveiligingsmaatregelen
• Attributen en attribuutwaarden
• Veranderingen in 27002: Een conclusie
• Wat de update betekent voor uw certificering
• DQS: Simply leveraging Quality.

ISO 27002 en ISO 27001

ISO 27002 definieert een brede catalogus van algemene beveiligingsmaatregelen die bedrijven moeten ondersteunen bij het implementeren van de vereisten uit Annex A van ISO 27001 - en heeft zich in veel IT- en beveiligingsafdelingen gevestigd als een praktische standaardgids. Begin 2022 werd ISO 27002 uitgebreid herzien en bijgewerkt - een stap die volgens veel deskundigen te laat kwam, gezien de dynamische ontwikkeling in de IT van de afgelopen jaren en wetende dat normen om de 5 jaar op actualiteit worden herzien.

Voor bedrijven met een ISO 27001-certificaat - of bedrijven die in de nabije toekomst de certificering willen aanpakken - zijn de vernieuwingen die nu zijn ingevoerd in twee opzichten relevant: Ten eerste met betrekking tot noodzakelijke updates van de eigen beveiligingsmaatregelen; maar ten tweede omdat deze wijzigingen gevolgen zullen hebben voor de update van ISO 27001 die aan het eind van het jaar wordt verwacht en dus relevant zal zijn voor alle toekomstige certificeringen en hercertificeringen. Reden genoeg dus om de nieuwe ISO 27002 onder de loep te nemen.

Nieuwe structuur en nieuwe onderwerpen

De eerste duidelijke verandering in ISO 27002:2022 is de bijgewerkte en aanzienlijk gestroomlijnde structuur van de norm: in plaats van de vroegere 114 beveiligingsmaatregelen (controles) in 14 secties, omvat de referentieset van de bijgewerkte versie ISO 27002 nu 93 controles, die duidelijk zijn onderverdeeld en samengevat in 4 onderwerpen:

• 37 beveiligingsmaatregelen op het gebied van "Organisatorische controles"
• 8 beveiligingsmaatregelen op het gebied van "Mensencontroles".
• 14 beveiligingsmaatregelen op het gebied van "Fysieke controles".
• 34 beveiligingsmaatregelen op het gebied van "Technologische controles".

Ondanks het verminderde aantal beveiligingsmaatregelen is alleen de controle "Verwijdering van activa" geschrapt. De stroomlijning is het gevolg van het feit dat 24 beveiligingsmaatregelen van bestaande controles werden gecombineerd en geherstructureerd om gerichter aan de beschermingsdoelstellingen te voldoen. Nog eens 58 beveiligingsmaatregelen werden herzien en aangepast aan de hedendaagse eisen.

Nieuwe beveiligingsmaatregelen

Verder - en dit is waarschijnlijk het spannendste deel van de update - is ISO 27002 in de nieuwe versie uitgebreid met 11 extra beveiligingsmaatregelen. Geen van deze maatregelen zal als een verrassing komen voor beveiligingsdeskundigen, maar samen geven ze een sterk signaal af en helpen ze bedrijven om hun organisatiestructuren en beveiligingsarchitectuur tijdig te wapenen tegen huidige en toekomstige bedreigingsscenario's.

De nieuwe maatregelen zijn:

Informatie over bedreigingen

Het vastleggen, consolideren en analyseren van actuele dreigingsinformatie stelt organisaties in staat actueel te blijven in een steeds dynamischere en veranderende dreigingsomgeving. In de toekomst zal op feiten gebaseerde analyse van aanvalsinformatie een sleutelrol spelen in de informatiebeveiliging om de best mogelijke verdedigingsstrategieën te ontwikkelen.

Informatiebeveiliging voor het gebruik van clouddiensten

Veel organisaties maken tegenwoordig gebruik van clouddiensten. Dit gaat gepaard met nieuwe aanvalsvectoren en bijbehorende veranderingen en aanzienlijk grotere aanvalsoppervlakken. In de toekomst zullen bedrijven moeten nadenken over passende beschermingsmaatregelen voor de invoering, het gebruik en het beheer ervan en deze bindend moeten maken in hun contractuele regels met aanbieders van clouddiensten.

ICT-paraatheid voor bedrijfscontinuïteit

De beschikbaarheid van informatie- en communicatietechnologie (ICT) en de bijbehorende infrastructuren is essentieel voor de lopende bedrijfsvoering in bedrijven. De basis voor veerkrachtige organisaties zijn geplande bedrijfscontinuïteitsdoelstellingen en daaruit afgeleide, geïmplementeerde en geverifieerde ICT-continuïteitseisen. De eisen voor het tijdige, technische herstel van ICT na een storing stellen levensvatbare bedrijfscontinuïteitsconcepten vast.

Bewaking van fysieke beveiliging

Inbraken waarbij gevoelige gegevens of gegevensdragers uit het bedrijf worden gestolen of gecompromitteerd, vormen een aanzienlijk risico voor bedrijven. Technische controles en bewakingssystemen zijn doeltreffend gebleken om potentiële indringers af te schrikken of hun inbraak onmiddellijk te detecteren. In de toekomst zullen dit standaardcomponenten zijn van holistische beveiligingsconcepten voor het opsporen en afschrikken van ongeoorloofde fysieke toegang.

Configuratiebeheer

Onjuist geconfigureerde systemen kunnen door aanvallers worden misbruikt om toegang te krijgen tot kritieke hulpbronnen. Terwijl het voorheen ondervertegenwoordigd was als onderdeel van wijzigingsbeheer, wordt systematisch configuratiebeheer nu beschouwd als een op zichzelf staande beveiligingsmaatregel. Het vereist dat organisaties de juiste configuratie van hardware, software, diensten en netwerken bewaken en hun systemen naar behoren verharden.

Verwijdering van informatie

Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming moeten organisaties over passende mechanismen beschikken om persoonsgegevens op verzoek te wissen en ervoor te zorgen dat deze niet langer dan nodig worden bewaard. Deze eis wordt in ISO 27002 uitgebreid tot alle informatie. Gevoelige informatie mag niet langer dan nodig worden bewaard om het risico van ongewenste openbaarmaking te voorkomen.

Maskering van gegevens

Het doel van deze beveiligingsmaatregel is het beschermen van gevoelige gegevens of gegevenselementen (bijvoorbeeld persoonsgegevens) door middel van maskering, pseudonimisering of anonimisering. Het kader voor de passende uitvoering van deze technische maatregelen wordt geboden door wettelijke, statutaire, regelgevende en contractuele vereisten.

Preventie van gegevenslekken

Preventieve beveiligingsmaatregelen zijn nodig om het risico van ongeoorloofde openbaarmaking en extractie van gevoelige gegevens uit systemen, netwerken en andere apparaten te beperken. Potentiële kanalen voor ongecontroleerd lekken van deze geïdentificeerde en gerubriceerde gegevens (bijv. e-mail, bestandsoverdracht, mobiele apparatuur en draagbare opslagmedia) moeten worden bewaakt en, indien nodig, technisch worden ondersteund door actieve preventiemaatregelen (bijv. quarantaine van e-mail).

Bewakingsactiviteiten

Systemen voor de bewaking van anomalieën in netwerken, systemen en toepassingen behoren thans tot het standaardrepertoire van IT-afdelingen. Ook de eis om systemen te gebruiken voor het opsporen van aanvallen heeft zijn intrede gedaan in de huidige wettelijke en bestuursrechtelijke voorschriften. Continue monitoring, automatische verzameling en evaluatie van relevante parameters en kenmerken van lopende IT-activiteiten zijn een must voor proactieve cyberdefensie en zullen de drijvende kracht blijven achter technologieën op dit gebied.

Webfiltering

Veel niet-vertrouwde websites infecteren bezoekers met malware of lezen hun persoonlijke gegevens. Met geavanceerde URL-filtering kunnen potentieel gevaarlijke websites automatisch worden gefilterd om eindgebruikers te beschermen. Beveiligingsmaatregelen en oplossingen om te beschermen tegen kwaadaardige inhoud op externe websites zijn essentieel in een wereldwijd verbonden zakenwereld.

Veilige codering

Kwetsbaarheden in intern ontwikkelde code of open source componenten vormen een gevaarlijk aanvalspunt, waardoor cybercriminelen gemakkelijk toegang kunnen krijgen tot kritieke gegevens en systemen. Up-to-date richtlijnen voor softwareontwikkeling, geautomatiseerde testprocedures, vrijgaveprocedures voor codewijzigingen, kennisbeheer voor ontwikkelaars, maar ook goed doordachte patch- en updatestrategieën verhogen het beschermingsniveau aanzienlijk.

Attributen en attribuutwaarden

Een andere innovatie werd voor het eerst in ISO 27002:2022 geïntroduceerd om beveiligingsmanagers te helpen navigeren door de brede mix van maatregelen: In bijlage A van de norm worden voor elke controle vijf attributen met bijbehorende attribuutwaarden opgeslagen.

De attributen en attribuutwaarden zijn:

Controletypes

• Controletype is een attribuut voor de kijk op controles vanuit het oogpunt van wanneer en hoe een controle het risico met betrekking tot het optreden van een informatiebeveiligingsincident verandert.
• #preventief #detectief #correctief

Eigenschappen voor informatiebeveiliging

• Informatiebeveiligingseigenschappen zijn een kenmerk dat kan worden gebruikt om controles te bekijken vanuit het perspectief van het beschermingsdoel dat de controle moet ondersteunen.
• #Vertrouwelijkheid #Integriteit #Beschikbaarheid

Cyberbeveiligingsconcepten

• Cyberbeveiligingsconcepten bekijken controles vanuit het perspectief van het in kaart brengen van controles in het cyberbeveiligingskader beschreven in ISO/IEC TS 27110.
• #Identificeren # Beschermen # Opsporen # Beantwoorden # Herstellen

Operationele capaciteiten

• Bijoperationele capaciteiten worden controles bekeken vanuit het perspectief van hun operationele informatiebeveiligingsmogelijkheden en wordt een praktische gebruikersvisie op de controles ondersteund.
• #Beveiliging van toepassingen #Vermogensbeheer #Continuïteit #Data protection #Governance #Human resource security #Identity and access management #Information security event management #Legal and compliance #Physical security #Secure configuration #Security assurance #Supplier relationships security #System and network security #Threat and vulnerability management.

Beveiligingsdomeinen

• Beveiligingsdomeinen zijn een attribuut dat kan worden gebruikt om controles te bekijken binnen het perspectief van vier informatiebeveiligingsdomeinen
• #Governance_and_Ecosystem #Protection #Defence #Resilience

De met hashtags gemarkeerde attribuutwaarden zijn bedoeld om het voor beveiligingsmanagers gemakkelijker te maken hun weg te vinden in de brede catalogus van maatregelen in de standaardgids en deze gericht te doorzoeken en te evalueren.

Veranderingen in ISO 27002: Een conclusie

De nieuwe editie van ISO 27002 biedt managers van informatiebeveiliging een precieze kijk op de veranderingen die met de nieuwe editie van ISO 27001 de nieuwe certificeringsnorm zullen worden. Tegelijkertijd blijven de vernieuwingen binnen een beheersbaar kader: De herstructurering van de catalogus van maatregelen maakt de norm transparanter en is ongetwijfeld een stap in de goede richting met het oog op de toenemende complexiteit en afnemende transparantie van beveiligingsarchitecturen. De nieuw opgenomen maatregelen zullen ook ervaren beveiligingsdeskundigen niet verbazen en moderniseren de verouderde ISO-norm aanzienlijk.

Wat de update betekent voor uw certificering

Bedrijven die gecertificeerd zijn volgens ISO 27001 hoeven niet bang te zijn voor de volgende audits voor certificering of hercertificering: In de kern blijft de vertrouwde norm intact, en veel van de nieuwe maatregelen zijn waarschijnlijk toch al ingebed in de best practices van bedrijven. Niettemin doen teams er goed aan om, net als bij elke andere certificering, voldoende van tevoren te plannen en zich zorgvuldig voor te bereiden op de audit van het beheersysteem voor informatiebeveiliging (ISMS). Er is geen tijdsdruk: nadat de norm is gepubliceerd (naar verwachting in het vierde kwartaal van 2022), zijn er 36 maanden om over te stappen op de nieuwe ISO 27001:2022.

DQS: Simply leveraging Quality.

Onze certificeringsaudits verschaffen u duidelijkheid. De holistische, neutrale blik van buitenaf op mensen, processen, systemen en resultaten laat zien hoe effectief uw managementsysteem is, hoe het wordt geïmplementeerd en beheerst. Het is voor ons belangrijk dat u onze audit niet ziet als een test, maar als een verrijking van uw managementsysteem.

Onze claim begint altijd waar audit checklists eindigen. Wij vragen specifiek "waarom", omdat wij de motieven willen begrijpen die u ertoe gebracht hebben een bepaalde manier van implementeren te kiezen. Wij richten ons op het potentieel voor verbetering en moedigen een verandering van perspectief aan. Op deze manier kunt u handelingsopties identificeren waarmee u uw managementsysteem voortdurend kunt verbeteren.