Eind 2021 verschijnt de nieuwe ISO 27002. Die gaat er heel anders uitzien. Wat betekent dat voor u?

Wat het voor u betekent is dat u, als u in uw bedrijf ISO 27002 als uitgangspunt hebt genomen voor uw Information Security Management System (ISMS) en u misschien ook nog ISO 27001 gecertificeerd bent, uw ISMS herzien moet worden. Er gaan maatregelen af. Er komen nieuwe maatregelen bij en het meest belangrijke is dat de hoofdstukken volledig herzien worden. Alles komt in andere volgordes te staan. Alles wordt anders gegroepeerd. Wat wel blijf zijn de afzonderlijke hoofdstukken voor fysieke beveiliging en HR gerelateerde zaken.

Aanleiding

Voor elke norm/standaard moet elke vijf jaar worden vastgesteld of de norm:

  • Overbodig is geworden en dus wordt ingetrokken
  • De norm voldoet: ongewijzigde voortzetting
  • De norm aangepast moet worden: voortzetting met aanpassingen (oftewel herziening)

Hierbij wordt voorde ingewijde in het jargon, de PDCA-Cyclus dus keurig gevolgd

De huidige ISO 27002 is uit 2013 en in 2018 is besloten tot herziening

Los van technische ontwikkelingen de afgelopen jaren waarin de huidige ISO 27002 tekort schiet, was het bezwaar dat de huidige 27002 te veel werd gebruikt als checklist en het te weinig uitnodigde tot zelf nadenken

Verschil tussen de 2013 versie en de 2021 versie

De huidige versie (2013) omvat na 4 inleidende hoofdstukken een 14-tal hoofdstukken die gelijk opgaan met de Bijlage A van de ISO 27001:2013. In de nieuwe ISO 27002 blijven na vijf inleidende hoofdstukken nog maar 4 thema's over:

De inhoud van ISO 27002:2021 ziet er als volgt uit:

  • 0 Introductie
  • 1 Scope
  • 2 Normatieve referenties
  • 3 Termen, definities en afkortingen
  • 4 Structuur van dit document
  • 5 Organisatorische maatregelen
  • 6 Mensen
  • 7 Fysieke beveiliging
  • Technologische maatregelen

Iedere maatregel krijgt een gelijke opbouw:

  • Control: korte naam van de maatregel
  • Attribuut: Een tabel met de waarde van ieder attribuut (zie hieronder)
  • (nogmaals) control: nu de volledige beschrijving van de maatregel
  • Doel: Tekstuele uitleg wat we met de maatregel willen bereiken
  • Guidance: Implementatie advies
  • Overige informatie: Verdere uitleg waar nodig, referenties naar andere maatregelen en gerelateerde documenten

Attributen

Nieuw zijn attributen die aan een maatregel toegekend worden.

Die bedoeling is dat de organisatie eerst nadenkt over de vraag hoe zij haar ISMS in wil richten, daarna ga je je pas verdiepen in de controls

Maatregelen kunnen op verschillende manieren gegroepeerd worden en dit zorgt er voor dat de organisatie op een andere manier naar haar beveiliging kan kijken.

In 2018 werd de ISO 27103 geïntroduceerd, die beveiliging al op een andere manier aanvliegt, maar nog steeds qua maatregelen in gebaseerd op ISO 27001 en ISO 27002.

Deze afwijkende aanpak komt nu terug in de 2021 versie van ISO 27002.

Je kunt beveiligingsmaatregelen nu onderverdelen (logisch in de hoofdstuk volgorde die hierboven staat... ;-) maar ook:

Maatregelen die

  • Preventief
  • Detectief
  • Correctief

zijn

Maatregelen die gebaseerd zijn op de bescherming van

  • Beschikbaarheid
  • Integriteit
  • Vertrouwelijkheid

Maatregelen die gebaseerd zijn op ISO 27103 (=NIST Cyber Security Framework):

  • Identify
  • Protect
  • Detect
  • Respond
  • Recover

Of maatregelen die gebaseerd zijn op Operational Capabilities:

  • Governance​
  • Asset management​
  • Information protection​
  • Human resource security​
  • Physical security​
  • System and network security​
  • Application security​
  • Secure configuration​
  • Identity and access management​
  • Threat and vulnerability management​
  • Continuity​
  • Supplier relationships security​
  • Legal and compliance​
  • Information security event management​
  • Security assurance​

 

Er veranderd dus veel. Het ISMS zal volledig herzien moeten worden. De gelegenheid om een van de bovenstaande lijstejes met attributen goed te bestuderen en te bepalen welke aanpak voor uw organisatie beste lijkt te zijn.

Tip 1: Kijk vooral naar de logische opbouw van ISO 27103

Tip 2: Zet alle maatregelen en hun attributen in een spreadsheet, door middel van filteren op een attribuut zie je snel welke maatregelen daar onder vallen