Cybercriminaliteit vormt een ernstige bedreiging voor bedrijven in alle sectoren en van alle groottes - dat is algemeen bekend. Het repertoire varieert van spionage tot sabotage tot chantage. Het gevaar komt echter niet alleen van het internet. Ook uw eigen werknemers kunnen een ernstige risicofactor vormen. Vooral als uw bedrijf geen passende maatregelen heeft genomen - kijk maar eens naar Annex A.7 van ISO 27001.
Een goed gestructureerd beheersysteem voor informatiebeveiliging (ISMS) volgens de ISO 27001-norm vormt de basis voor een effectieve implementatie van een holistische strategie voor informatiebeveiliging. De systematische aanpak helpt om vertrouwelijke bedrijfsgegevens te beschermen tegen verlies en misbruik en om potentiële risico's voor het bedrijf op betrouwbare wijze vast te stellen, te analyseren en beheersbaar te maken door middel van passende maatregelen. Daarbij gaat het om veel meer dan alleen de aspecten van IT-beveiliging. De uitvoering van de maatregelen in Annex A van de norm is bijzonder waardevol voor de praktijk
ISO/IEC 27001:2013 - Informatietechnologie - Beveiligingsprocedures - Informatiebeveiligingsmanagementsystemen - Eisen.
Annex A van de ISO-norm bevat naast het deel met managementsysteemgerichte eisen (hoofdstukken 4 tot en met 10) een uitgebreide lijst met 35 maatregeldoelen (controls) met 114 concrete maatregelen over een breed scala aan beveiligingsaspecten verdeeld over 14 hoofdstukken.
Opmerking: De verklaringen die in Annex A "maatregelen" worden genoemd, zijn in feite individuele doelstellingen (controles). Zij beschrijven hoe een normconform resultaat van geschikte (individuele) maatregelen eruit moet zien.
Bedrijven moeten deze beheersingsmaatregelen gebruiken als basis voor hun individuele, meer diepgaande structurering van hun informatiebeveiligingsbeleid. Met betrekking tot het onderwerp personeel is met name de doelstelling "Personeelsbeveiliging" in aanhangsel A.7 van belang.
"De maatregelen berusten niet op wantrouwen jegens werknemers, maar op duidelijk gestructureerde personeelsprocessen."
Personeelsprocessen zorgen er in alle fasen van het dienstverband voor dat verantwoordelijkheden en taken op het gebied van informatiebeveiliging worden toegewezen en dat op de naleving ervan wordt toegezien. Overtredingen van het informatiebeveiligingsbeleid - zowel bedoeld als onbedoeld - zijn daarmee niet onmogelijk, maar worden wel veel moeilijker gemaakt. En in het ergste geval voorziet een effectief ISMS de organisatie van passende mechanismen om de inbreuk aan te pakken.
Onze auditgids ISO 27001 - Annex A is gemaakt door vooraanstaande experts als een praktische implementatiehulp en is bij uitstek geschikt om geselecteerde normvereisten beter te begrijpen. De gids verwijst naar ISO 27001:2013 en zal binnenkort worden aangepast aan de herziene ISO 27001 die op 25 oktober 2022 is gepubliceerd.
Het is geenszins een kwestie van wantrouwen als een bedrijf passende richtlijnen uitvaardigt om ongeoorloofde toegang van binnenuit te bemoeilijken of, beter nog, helemaal te voorkomen. Eén ding is immers duidelijk: als een werknemer op korte termijn wordt ontslagen of dit al is aangekondigd, kan zijn of haar ontevredenheid leiden tot gerichte gegevensdiefstal. Dit gebeurt vooral wanneer de ontslagen werknemer denkt dat hij of zij eigendomsrechten op projectgegevens heeft. Omgekeerd kan een sollicitatie naar een bepaalde baan al zijn gedaan met de bedoeling een criminele daad te plegen.
Andere scenario's wijzen op grove nalatigheid of gewoon roekeloosheid, die even ernstige gevolgen kunnen hebben. Het komt bijvoorbeeld voor dat hele IT-afdelingen zich niet aan hun eigen regels houden - te omslachtig, te tijdrovend. Op kantoor is dat het onzorgvuldig omgaan met wachtwoorden of onbeveiligde smartphones. Maar ook het onzorgvuldig aansluiten van USB-sticks, open documenten op het scherm, geheime documenten in lege kantoren - de lijst van mogelijke omissies is lang.
Bedrijven die een informatiebeveiligingsmanagementsysteem (ISMS) hebben geïmplementeerd in overeenstemming met de ISO 27001-norm bevinden zich hier in een betere positie. Zij kennen de eisen en de praktijkrelevante annex A.7 van de internationaal erkende norm. Want ISO 27001 heeft hier veel te bieden: Hoewel de referentiemaatregelen direct verwijzen naar de normeisen, zijn ze altijd gericht op de directe bedrijfspraktijk.
Bedrijven met een effectief ISMS zijn bekend met de in A.7 genoemde doelstellingen, die met het oog op de veiligheid van het personeel moeten worden geïmplementeerd om volledig aan de norm te voldoen - in alle fasen van het dienstverband.
De organisatie moet zich ervan vergewissen dat een nieuwe werknemer zijn toekomstige verantwoordelijkheden begrijpt en geschikt is voor zijn rol voordat hij in dienst wordt genomen - volgens annex A.7.1. In het gedeelte over de eisen (hoofdstuk 7.2) heeft de norm het over "bekwaamheid".
Als doelgerichte referentiemaatregel krijgen sollicitanten voor een baan eerst een veiligheidsmachtiging die in overeenstemming is met ethische beginselen en toepasselijke wetten. Deze controle moet passend zijn in verhouding tot de zakelijke vereisten, de rubricering van de te verkrijgen informatie en de mogelijke risico's (A.7.1.1). Om dit te kunnen bereiken, moet onder meer het volgende aanwezig, gewaarborgd of geverifieerd zijn:
De volgende stap gaat over arbeids- en contractuele voorwaarden. Deze referentiemaatregel in annex A van ISO/IEC 27001 bestaat dus uit de contractuele afspraak over welke verantwoordelijkheden werknemers hebben ten opzichte van het bedrijf en vice versa (A.7.1.2). Een succesvolle implementatie van deze eis houdt onder andere in dat aan deze punten wordt voldaan:
Werknemers moeten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging. Dit is het doel van A.7.2, en wat nog belangrijker is, de werknemers moeten deze verantwoordelijkheden ook nakomen.
De eerste maatregel (A.7.2.1) is gericht op de verplichting van het management om zijn werknemers aan te moedigen informatiebeveiliging toe te passen in overeenstemming met het vastgestelde beleid en de vastgestelde procedures. Daartoe moeten ten minste de volgende punten worden geregeld:
In hoofdstuk 7.3 "Bewustzijn" vereist ISO 27001 dat personen die relevante activiteiten uitvoeren op de hoogte zijn van het volgende
Met name nieuwe werknemers moeten regelmatig over dit onderwerp worden geïnformeerd, bijvoorbeeld per e-mail of via het intranet, naast de verplichte briefing over informatiebeveiligingskwesties. Concrete opleidingen (met name over noodplannen en oefeningen), themaspecifieke workshops en bewustmakingscampagnes (bijvoorbeeld via posters) versterken het bewustzijn van het beheersysteem voor informatiebeveiliging.
Referentiemaatregel A.7.2.1 in annex A van ISO 27001 dient bijvoorbeeld ook om een passend bewustzijn van informatiebeveiliging te creëren. Organisaties moeten hun werknemers en, in voorkomend geval, hun contractanten opleiden en voorlichten over professioneel relevante onderwerpen. De bijbehorende beleidslijnen en procedures moeten regelmatig worden bijgewerkt. Er moet onder meer rekening worden gehouden met de volgende aspecten:
TIP: Zorg voor een goed functionerende communicatie met meerdere kanalen voor kennisoverdracht. De door de norm vereiste bekendheid met het ISMS en aanverwante aspecten hangt namelijk nauw samen met de overdracht van kennis.
Annex 7.2.3: Deze maatregel specificeert de wijze waarop de organisatie zal omgaan met berispingen in het geval van schendingen van de informatiebeveiliging. De basis hiervoor is een proces van corrigerende maatregelen. Het moet formeel worden gedefinieerd, vastgesteld en bekendgemaakt. Er moet voor het volgende worden gezorgd:
Annex A.7.3 van ISO 27001 specificeert als doelstelling een effectief beëindigings- of veranderingsproces om de belangen van de organisatie te beschermen. Deze doelstelling richt zich op de verantwoordelijkheden bij beëindiging of verandering van dienstverband. Dienovereenkomstig moeten informatiebeveiligingsgerelateerde verantwoordelijkheden en verplichtingen die blijven bestaan na beëindiging of verandering van dienstverband worden gedefinieerd, gecommuniceerd en gehandhaafd. Het is zinvol deze aspecten in overweging te nemen:
De dreiging van binnenuit is reëel - en de meeste bedrijven zijn zich daarvan bewust. Volgens een beveiligingsonderzoek (Balabit 2018) zijn vooral werknemers met verregaande toegangsrechten kwetsbaar voor aanvallen. En met werknemers die betrokken zijn bij 50 procent van alle inbreuken op de beveiliging, beschouwt 69 procent van de responderende IT-professionals een inbreuk op gegevens van insiders als het grootste risico. Toch wordt er weinig aan gedaan. In de praktijk is het vaak moeilijk om interne medewerkers aan te klagen. Vooral in kleine en middelgrote ondernemingen (KMO's), waar mensen elkaar kennen, wordt vaak een zeker vertrouwen gesteld - soms met onaangename gevolgen. Een goed gestructureerd beheer van de informatiebeveiliging vormt de basis voor het waarborgen van de veiligheid van informatie die bescherming behoeft.
Profiteer van uitstekende auditvragen en mogelijk bewijs voor geselecteerde acties. De richtlijn is gebaseerd op ISO/IEC 27001:2013.
Het is veel meer dan een checklist!
Gemaakt door onze experts uit de praktijk.
In Annex A.7 biedt ISO/IEC 27001:2013 referentiemaatregelen voor personeelsbeveiliging die moeten worden geïmplementeerd als onderdeel van de invoering van de norm. Bedrijven moeten deze maatregelen gebruiken als basis voor hun individuele, meer diepgaande ontwerp van hun informatiebeveiligingsbeleid. De maatregelen berusten niet op wantrouwen van werknemers, maar op duidelijk gestructureerde personeelsprocessen.
De ISO 27002-richtlijn definieert een brede catalogus van algemene beveiligingsmaatregelen om organisaties te ondersteunen bij de implementatie van de eisen uit Annex A van ISO 27001. Begin 2022 is de richtlijn uitgebreid herzien en geactualiseerd. De nieuwe editie biedt managers van informatiebeveiliging een nauwkeurige kijk op de te verwachten veranderingen bij de herziening van ISO 27001.
Gecertificeerde bedrijven waarderen managementsystemen als instrumenten voor het topmanagement die transparantie creëren, de complexiteit verminderen en veiligheid bieden. Managementsystemen doen echter nog meer: Beoordeeld en gecertificeerd door een neutrale en onafhankelijke derde partij zoals DQS , creëren ze vertrouwen bij geïnteresseerde partijen in de prestaties van uw bedrijf.
Veel organisaties ervaren certificering nog steeds als een compliance check. Onze klanten daarentegen zien het als een kans om zich te richten op succes-kritische factoren en de resultaten van hun managementsysteem. Want onze kerncompetenties liggen in het uitvoeren van certificeringsaudits en assessments. Dit maakt ons wereldwijd tot een van de toonaangevende aanbieders met de pretentie steeds nieuwe maatstaven te stellen op het gebied van betrouwbaarheid, kwaliteit en klantgerichtheid
Hoeveel werk moet u verrichten om uw beheersysteem voor informatiebeveiliging te laten certificeren volgens ISO 27001? Ontdek het gratis en zonder verplichting.
Let op: onze artikelen worden uitsluitend geschreven door onze interne experts op het gebied van managementsystemen en door auditors die al lange tijd werkzaam zijn. Als u vragen heeft voor onze auteurs over informatiebeveiliging (ISMS), neem dan contact met ons op. Wij verheugen ons op een gesprek met u.
Productmanager bij DQS voor informatiebeveiligingsmanagement. Als normenexpert op het gebied van informatiebeveiliging en IT-beveiligingscatalogus (kritieke infrastructuren) is André Säckel onder andere verantwoordelijk voor de volgende normen en branchespecifieke normen: ISO 27001, ISIS12, ISO 20000-1, KRITIS en TISAX (informatiebeveiliging in de automobielindustrie). Hij is ook lid van de werkgroep ISO/IEC JTC 1/SC 27/WG 1 als nationaal afgevaardigde van het Duitse normalisatie-instituut DIN.
