Informatiebeveiligingsnorm ISO 27002 krijgt update
De internationale norm voor informatiebeveiliging ISO 27002 krijgt een update, zo laat het Nederlands Normalisatie-instituut (NEN) weten. ISO 27002 is een beveiligingsnorm van de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) met de titel "Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging."
De norm geeft praktische handvatten voor de implementatie van ISO 27001, een andere beveiligingsnorm. ISO 27001 beschrijft de vereisten van een Information Security Management Systeem (ISMS). Via deze norm kunnen organisaties hun informatiebeveiliging procesmatig inrichting. ISO 27002 is hier een verdieping op en beschrijft hoe in kaart gebracht risico's kunnen worden beperkt of verkleind.
"Om normen relevant en actueel te houden, worden ze periodiek herzien", aldus het NEN. Volgens het Normalisatie-instituut is het de verwachting dat erbij deze herziening aanzienlijke wijzigingen worden doorgevoerd, zowel in de structuur van het document als in de inhoud van de security controls die in de beveiligingsnorm worden genoemd. ISO moet nog over de herziene versie stemmen. Naar aanleiding van deze stemming kunnen nog meer herzieningen worden doorgevoerd. De definitieve versie van de herziene ISO-norm zou volgend jaar oktober moeten verschijnen.
Reacties (15)
Nadeel van al die normen is dat organisaties zo bezig zijn om aan de normen te voldoen dat ze vergeten dat sturen op risico's er ook gewoon bijhoort. Risk management is niet hetzelfde als aan noemen voldoen, want die geven je slechts een baseline als minimum. De rest moet je toch echt zelf over nadenken.
Door Anoniem: Nadeel van al die normen is dat organisaties zo bezig zijn om aan de normen te voldoen dat ze vergeten dat sturen op risico's er ook gewoon bijhoort. Risk management is niet hetzelfde als aan noemen voldoen, want die geven je slechts een baseline als minimum. De rest moet je toch echt zelf over nadenken.
Klopt,maar je server wel een basis mee.Door Anoniem: Nadeel van al die normen is dat organisaties zo bezig zijn om aan de normen te voldoen dat ze vergeten dat sturen op risico's er ook gewoon bijhoort. Risk management is niet hetzelfde als aan noemen voldoen, want die geven je slechts een baseline als minimum. De rest moet je toch echt zelf over nadenken.
Klopt.
Vandaar ook ISO27001, waarmee je je ISMS kunt inrichten. Hierin zit het risicomanagement opgenomen.
ISO27002 is 'slechts' een overzicht met mogelijke maatregelen. Als je die toepast ben je ongetwijfeld aardig op weg, maar mis je de risico's/maatregelen die juist voor jouw organisatie belangrijk zijn.
Door Anoniem: Nadeel van al die normen is dat organisaties zo bezig zijn om aan de normen te voldoen dat ze vergeten dat sturen op risico's er ook gewoon bijhoort. Risk management is niet hetzelfde als aan noemen voldoen, want die geven je slechts een baseline als minimum. De rest moet je toch echt zelf over nadenken.
Hear, hear.Het gaat zelfs zo ver dat sommigen denken dat als iets niet beschreven staat in de norm, het ook helemaal geen risico kan zijn waar rekening mee gehouden hoeft te worden.
Security gaat over het managen van risico’s die de bedrijfsvoering in gevaar brengen. Daar hoort ook bij dat je bepaalde risico’s accepteert en of helemaal niet wil lopen om wat voor reden dan ook. Als je een beeld hebt van de risico’s dan kun je daar maatregelen voor bedenken. Het is dan fijn als er een lijst is van mogelijke maatregelen zoals de 27002. Een ieder die probeert de norm te implementeren doet de bedrijfsvoering te kort. Security is geen lijstje wat je in kunt vullen.
Door Anoniem: Nadeel van al die normen is dat organisaties zo bezig zijn om aan de normen te voldoen dat ze vergeten dat sturen op risico's er ook gewoon bijhoort. Risk management is niet hetzelfde als aan noemen voldoen, want die geven je slechts een baseline als minimum. De rest moet je toch echt zelf over nadenken.
ISO 27k1 is een control framework en geeft je een manier om een ISMS op te zetten.
ISO 27k2 is een "Code of Practice",waarbij er over allerhande topics (teleworking, malware, ...) een aantal aanwijzigingen gegeven worden waar je aan kan denken om je te beveiligen, of guidelines die handig kunnen zijn.
Het zegt bijvoorbeeld NIET: "Encrypteer alle dataverkeer".
Het zegt wel: "Bij het gebruik van encryptie, denk aan de impact op security controls die afhankelijk zijn van content inspectie".
Het zegt dus niet doe "dit" of "dat", maar het stelt je in staat om aan de gevolgen te denken en dus een betere afweging te maken.
Als bedrijf dien je te beslissen over "de beste" manier om het beveiligingsrisico tot op een acceptabel niveau brengt.
En voor een start up, is dat nu eenmaal anders dan voor een financiële instelling.
Door Anoniem:
Het zegt dus niet doe "dit" of "dat", maar het stelt je in staat om aan de gevolgen te denken en dus een betere afweging te maken.
Daarvoor hebben we de AVG, artikel 32 vereist encryptie als passend niveau voor bescherming van persoonsgegevens https://www.privacy-regulation.eu/nl/artikel-32-beveiliging-van-de-verwerking-EU-AVG.htmHet zegt dus niet doe "dit" of "dat", maar het stelt je in staat om aan de gevolgen te denken en dus een betere afweging te maken.
De ISO27002 zegt dan weer Zorg voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid,
authenticiteit en/of integriteit van informatie te beschermen, dus dat is altijd de vraag die je je moet stellen als er weer ergens staat het is encrypted, dus het is veilig.
Wat niet iedereen weet, is dat de NEN7510 (Nederlandse Norm informatiebeveiliging in de zorg) deel-1 en -2 vrijwel volledig overeenkomen met de ISO27001 en ISO27002. Voordeel van de NEN norm is dat deze zonder kosten zijn te downloaden, want VWS heeft die toegang afgekocht.
https://www.nen.nl/NEN-Shop/Norm/NEN-751012017-nl.htm
Door Anoniem: Security gaat over het managen van risico’s die de bedrijfsvoering in gevaar brengen. Daar hoort ook bij dat je bepaalde risico’s accepteert en of helemaal niet wil lopen om wat voor reden dan ook. Als je een beeld hebt van de risico’s dan kun je daar maatregelen voor bedenken. Het is dan fijn als er een lijst is van mogelijke maatregelen zoals de 27002. Een ieder die probeert de norm te implementeren doet de bedrijfsvoering te kort. Security is geen lijstje wat je in kunt vullen.
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
06-08-2020, 08:34 door
jh81
Door Anoniem:
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Door Anoniem: Security gaat over het managen van risico’s die de bedrijfsvoering in gevaar brengen. Daar hoort ook bij dat je bepaalde risico’s accepteert en of helemaal niet wil lopen om wat voor reden dan ook. Als je een beeld hebt van de risico’s dan kun je daar maatregelen voor bedenken. Het is dan fijn als er een lijst is van mogelijke maatregelen zoals de 27002. Een ieder die probeert de norm te implementeren doet de bedrijfsvoering te kort. Security is geen lijstje wat je in kunt vullen.
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
En de helft van de tijd weten ze niet eens WAT ze afvinken.. ik heb ooit eens een keer moeten lullen als brugman, waren pas halverwege een implementatie toen we geaudit werden, en tadaaa.... alles goedgekeurd :S "U heeft de zaken goed voor elkaar!" uhuh.. op papier wel ja..
Door Anoniem:
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Door Anoniem: Security gaat over het managen van risico’s die de bedrijfsvoering in gevaar brengen. Daar hoort ook bij dat je bepaalde risico’s accepteert en of helemaal niet wil lopen om wat voor reden dan ook. Als je een beeld hebt van de risico’s dan kun je daar maatregelen voor bedenken. Het is dan fijn als er een lijst is van mogelijke maatregelen zoals de 27002. Een ieder die probeert de norm te implementeren doet de bedrijfsvoering te kort. Security is geen lijstje wat je in kunt vullen.
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Dan heb je nog nooit een echte 27001 audit meegemaakt. Ja, zij gebruiken de norm als baseline om te kijken of de organisatie 'in control' is. Wanneer je echter afwijkt van deze baseline en dit goed kunt motiveren is er niets aan de hand. Daarnaast zijn er altijd nog geaccepteerde risico's. Het gaat er bij het behalen van het certificaat vooral om dat een organisatie een goed risicomanagement framework (ISMS) in gebruik heeft en cyclisch aandacht besteedt aan het verbeteren van de informatiebeveiliging.
Door Anoniem:
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Door Anoniem: Security gaat over het managen van risico’s die de bedrijfsvoering in gevaar brengen. Daar hoort ook bij dat je bepaalde risico’s accepteert en of helemaal niet wil lopen om wat voor reden dan ook. Als je een beeld hebt van de risico’s dan kun je daar maatregelen voor bedenken. Het is dan fijn als er een lijst is van mogelijke maatregelen zoals de 27002. Een ieder die probeert de norm te implementeren doet de bedrijfsvoering te kort. Security is geen lijstje wat je in kunt vullen.
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Dat klopt, want dat is nu net wat een compliance audit inhoudt.
Het afchecken van de reële situatie aan hetgeen dat het bedrijf voorschrijft.
Een audit bepaalt niet of iets goed of slecht is, maar enkel of is volgens de opgestelde regels is of niet.
Als er geen regels zijn, kan je nooit falen voor een audit. (Tenzij er ergens een externe verplichting is om een regel te hebben.)
Trouwens, een audit en een certificatie hebeen steeds een scope.
Een bedrijf kan perfect ISO27k certificatie claimen terwijl de scope enkel het kassasysteem in het bedrijfsrestaurant is.
07-08-2020, 07:57 door
karma4
Door Anoniem:
Dat klopt, want dat is nu net wat een compliance audit inhoudt.
Het afchecken van de reële situatie aan hetgeen dat het bedrijf voorschrijft.
Een audit bepaalt niet of iets goed of slecht is, maar enkel of is volgens de opgestelde regels is of niet.
Als er geen regels zijn, kan je nooit falen voor een audit. (Tenzij er ergens een externe verplichting is om een regel te hebben.)
Trouwens, een audit en een certificatie hebben steeds een scope.
Een bedrijf kan perfect ISO27k certificatie claimen terwijl de scope enkel het kassasysteem in het bedrijfsrestaurant is.
Daarom is het weten wat de scope en de benoemde risico's belangrijk.Door Anoniem:
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Door Anoniem: Security gaat over het managen van risico’s die de bedrijfsvoering in gevaar brengen. Daar hoort ook bij dat je bepaalde risico’s accepteert en of helemaal niet wil lopen om wat voor reden dan ook. Als je een beeld hebt van de risico’s dan kun je daar maatregelen voor bedenken. Het is dan fijn als er een lijst is van mogelijke maatregelen zoals de 27002. Een ieder die probeert de norm te implementeren doet de bedrijfsvoering te kort. Security is geen lijstje wat je in kunt vullen.
ha zeg dat maar eens tegen die audit boys! tsss, die vinken echt wel excel sheets af hoor!
Dat klopt, want dat is nu net wat een compliance audit inhoudt.
Het afchecken van de reële situatie aan hetgeen dat het bedrijf voorschrijft.
Een audit bepaalt niet of iets goed of slecht is, maar enkel of is volgens de opgestelde regels is of niet.
Als er geen regels zijn, kan je nooit falen voor een audit. (Tenzij er ergens een externe verplichting is om een regel te hebben.)
Trouwens, een audit en een certificatie hebben steeds een scope.
Een bedrijf kan perfect ISO27k certificatie claimen terwijl de scope enkel het kassasysteem in het bedrijfsrestaurant is.
Voor de criticasters dat regelgeving zoals een iso27k reeks, er zijn er meerdere voor aparte onderwerpen, geen nut heeft.
Dat is hetzelfde is beweren dat wetten voor verkeersregels niets aan de verkeersveiligheid bijdragen omdat er toch figuren blijven bestaan die overal lak aan hebben dan wel alles beter denken te weten.
De iso27001 is voord de top van een organisatie waarbij de verantwoordelijkheid en regelmatige controle (audit) opgelegd wordt voor een gedegen onderbouwde aanpak (Strategie). Tactisch is het aan een lijst van aandachtspunten wat uitwerken. De detailinvulling is operationeel op de vloer deze moet voldoen aan wat strategisch en tactisch uitgezet is.
Het wordt een interessant gebeuren als de uitwerking op de vloer voldoet aan de geest van de strategie/taktiek maar niet wat als een detaillistische werkopdracht beschreven is.
De hoofdstuk indeling gaat er totaal anders uit zien
Het laatste plaatje op de volgende URL toont dat al.
https://www.iso27001security.com/html/27002.html
Het laatste plaatje op de volgende URL toont dat al.
https://www.iso27001security.com/html/27002.html
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
