Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ISO27001:2022 verschenen

03-11-2022, 20:12 door Anoniem, 13 reacties
Relevant voor degenen die er mee werken; begin dit jaar is ISO27002 vernieuwd. Dat is het document dat richtlijnen geeft bij een groot aantal maatregelen.

De revisie van ISO27001 kon niet achterblijven want deze bevat in de Annex dezelfde maatregelen maar dan normatief als eis zodat er tegen geauditeerd kan worden, bijvoorbeeld bij certificering.

Vorige week is ISO27001:2022 verschenen met de nieuwe Annex A. Er zijn echter ook kleine wijzigingen doorgevoerd in het beheersmodel waartegen organisaties gecertificeerd kunnen worden.

Het is de verwachting dat de Raad voor Accreditatie een overgangstermijn van drie jaar zal hanteren waarna gecertificeerde organisaties aan de nieuwe versie moeten voldoen. Waarschijnlijk zal (her)certificering binnen een kortere tijd al tegen de nieuwe versie noodzakelijk gesteld worden.

De nieuwe 27001 en 27002 zijn bij NEN (en bijvoorbeeld ISO) alleen nog in het Engels verkrijgbaar.

Afgeleide normen zoals de BIO, NEN7510, 27017, 27018 zullen ook de komende tijd aangepast (moeten) worden.
Reacties (13)
04-11-2022, 09:59 door Anoniem
Voor de goede orde; de iso27002 geeft invulling/handvatten om de richtlijnen uit de ISO27001 te kunnen invullen. Kaders en richtlijnen vindt je terug in de ISO27001.
04-11-2022, 14:41 door [Account Verwijderd]
Hartelijk dank voor de info!
11-11-2022, 08:47 door Anoniem
IDe nieuwe ISO 27001 gaat over Information security, Cybersecurity en Privacy protection, gebaseerd op een ISMS.
Maar voor Privacy Protection heb je de ISO 27701 die weer refereert naar de oude ISO 27001:2013

Welk certificaat moet je nu halen waar ook Privacy Protection bij in zit?
11-11-2022, 09:44 door Anoniem
Door Anoniem: IDe nieuwe ISO 27001 gaat over Information security, Cybersecurity en Privacy protection, gebaseerd op een ISMS.
Maar voor Privacy Protection heb je de ISO 27701 die weer refereert naar de oude ISO 27001:2013

Welk certificaat moet je nu halen waar ook Privacy Protection bij in zit?

ISO27001 heeft ook compliance van regelgeving als onderwerp. Daarmee wordt dus ook Privacy geborgd in de EU vanwege de eis om te voldoen aan de AVG.
08-02-2023, 10:20 door Anoniem
Door Anoniem:
Door Anoniem: IDe nieuwe ISO 27001 gaat over Information security, Cybersecurity en Privacy protection, gebaseerd op een ISMS.
Maar voor Privacy Protection heb je de ISO 27701 die weer refereert naar de oude ISO 27001:2013

Welk certificaat moet je nu halen waar ook Privacy Protection bij in zit?

ISO27001 heeft ook compliance van regelgeving als onderwerp. Daarmee wordt dus ook Privacy geborgd in de EU vanwege de eis om te voldoen aan de AVG.

Kan je dan wel voor de ISO27701 certificeren als deze nog refereert naar de 2015 norm?
09-02-2023, 10:17 door Anoniem
oeh ik hoor de excel sheet vinkjes auditors weer aan de deur rammelen :P

oftwel, in theorie goed bedoeld maar in de parktijk vele haken en ogen en onzinnig gedoe
09-02-2023, 10:31 door Anoniem
Door Anoniem: oeh ik hoor de excel sheet vinkjes auditors weer aan de deur rammelen :P

oftwel, in theorie goed bedoeld maar in de parktijk vele haken en ogen en onzinnig gedoe

Wellicht een verkeerde ervaring gehad?

Mijn ervaring met ISO27001-auditoren is erg goed. Geen 'vinkjes-controleur' maar goed een inhoudelijk gesprek aangaan met verschillende betrokkenen in de organisatie. Officiële auditoren zijn ook gecertificeerd en worden ook geauditeerd.
10-02-2023, 10:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: IDe nieuwe ISO 27001 gaat over Information security, Cybersecurity en Privacy protection, gebaseerd op een ISMS.
Maar voor Privacy Protection heb je de ISO 27701 die weer refereert naar de oude ISO 27001:2013

Welk certificaat moet je nu halen waar ook Privacy Protection bij in zit?

ISO27001 heeft ook compliance van regelgeving als onderwerp. Daarmee wordt dus ook Privacy geborgd in de EU vanwege de eis om te voldoen aan de AVG.

Kan je dan wel voor de ISO27701 certificeren als deze nog refereert naar de 2015 norm?

Je kunt je alleen certificeren tegen de 001 standaarden (27001, 14001, 9001, etc)
11-02-2023, 21:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: IDe nieuwe ISO 27001 gaat over Information security, Cybersecurity en Privacy protection, gebaseerd op een ISMS.
Maar voor Privacy Protection heb je de ISO 27701 die weer refereert naar de oude ISO 27001:2013

Welk certificaat moet je nu halen waar ook Privacy Protection bij in zit?

ISO27001 heeft ook compliance van regelgeving als onderwerp. Daarmee wordt dus ook Privacy geborgd in de EU vanwege de eis om te voldoen aan de AVG.

Kan je dan wel voor de ISO27701 certificeren als deze nog refereert naar de 2015 norm?

Je kunt je alleen certificeren tegen de 001 standaarden (27001, 14001, 9001, etc)

Nee hoor, ook 27017, 27018, 27701 certificering bestaat. Wel altijd in combi met 27001.
11-02-2023, 22:21 door Erik van Straten
Door Anoniem: Mijn ervaring met ISO27001-auditoren is erg goed. Geen 'vinkjes-controleur' maar goed een inhoudelijk gesprek aangaan met verschillende betrokkenen in de organisatie.
Als de auditor nog inhoudelijke gesprekken moet voeren (in plaats van vaststellen of er een fatsoenlijk ISMS is opgetuigd dat structureel wordt onderhouden en verbeterd, en security van hoog tot laag serieus wordt genomen), klinkt dat als een organisatie die in de eerste plaats zo'n certificaat wilde hebben. Vaak gaat het dan om een audit zoals hier afgebeeld: https://infosec.exchange/@omeraltundal/109675049183412204.

Maar sowieso is mijn ervaring met ISO2700x dat er meestal twee gescheiden werelden met weinig bruggen ontstaan, vooral zolang er leidinggevenden rondlopen die denken dat anderen het maar moeten oplossen. En ICT-techneuten het allemaal veel te abstract vinden - waarmee zij zeker een punt hebben, vooral als mensen met benen in (verstand van) beide werelden ontbreken. En, indien die mensen niet ontbreken, zij in de gelegenheid worden gesteld om de ontbrekende bruggen te bouwen en daarbij worden ondersteund in plaats van genegeerd of zelfs tegengewerkt ("wij doen dit al jaren zo en het ging altijd goed, bovendien hebben we er geen tijd voor. Richt het maar in, maar val ons er niet mee lastig").

Ik denk dat de effectieve mate van beveiliging middels een ISO 27001 certificering, in (mogelijk zeer) veel gevallen, enorm wordt overschat.
12-02-2023, 13:29 door Anoniem
Door Erik van Straten:
Door Anoniem: Mijn ervaring met ISO27001-auditoren is erg goed. Geen 'vinkjes-controleur' maar goed een inhoudelijk gesprek aangaan met verschillende betrokkenen in de organisatie.
Als de auditor nog inhoudelijke gesprekken moet voeren (in plaats van vaststellen of er een fatsoenlijk ISMS is opgetuigd dat structureel wordt onderhouden en verbeterd, en security van hoog tot laag serieus wordt genomen), klinkt dat als een organisatie die in de eerste plaats zo'n certificaat wilde hebben. Vaak gaat het dan om een audit zoals hier afgebeeld: https://infosec.exchange/@omeraltundal/109675049183412204.

Maar sowieso is mijn ervaring met ISO2700x dat er meestal twee gescheiden werelden met weinig bruggen ontstaan, vooral zolang er leidinggevenden rondlopen die denken dat anderen het maar moeten oplossen. En ICT-techneuten het allemaal veel te abstract vinden - waarmee zij zeker een punt hebben, vooral als mensen met benen in (verstand van) beide werelden ontbreken. En, indien die mensen niet ontbreken, zij in de gelegenheid worden gesteld om de ontbrekende bruggen te bouwen en daarbij worden ondersteund in plaats van genegeerd of zelfs tegengewerkt ("wij doen dit al jaren zo en het ging altijd goed, bovendien hebben we er geen tijd voor. Richt het maar in, maar val ons er niet mee lastig").

Ik denk dat de effectieve mate van beveiliging middels een ISO 27001 certificering, in (mogelijk zeer) veel gevallen, enorm wordt overschat.
Ik denk dat dit echt afhankelijk van de organisatie is. Als men voor het papiertje gaat en de auditor gaat hier in mee, ben ik het met je eens, Hetzelfde geldt voor het opvragen van het certificaat. Als je alleen het certificaat opvraagt zonder SoA en inhoudelijk gesprek met (C)ISO, heb je als afnemende partij nog steeds niets.
Gaat natuurlijk veel verder, lees maar eens een audit rapport: Als eerste neemt de auditor geen enkele verantwoordelijkheid. Ten tweede is de scope van de audit vaak (te) beperkt. 3) Als de intent er van de audited partij er niet is, klopt je plaatje precies.
12-02-2023, 14:20 door Anoniem
Door Anoniem: oeh ik hoor de excel sheet vinkjes auditors weer aan de deur rammelen :P

oftwel, in theorie goed bedoeld maar in de parktijk vele haken en ogen en onzinnig gedoe

Dan heb je echt een slechte auditor gehad, of een compleet verkeerd beeld van hoe dit soort middelen in te zetten...
13-02-2023, 15:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: IDe nieuwe ISO 27001 gaat over Information security, Cybersecurity en Privacy protection, gebaseerd op een ISMS.
Maar voor Privacy Protection heb je de ISO 27701 die weer refereert naar de oude ISO 27001:2013

Welk certificaat moet je nu halen waar ook Privacy Protection bij in zit?

ISO27001 heeft ook compliance van regelgeving als onderwerp. Daarmee wordt dus ook Privacy geborgd in de EU vanwege de eis om te voldoen aan de AVG.

Kan je dan wel voor de ISO27701 certificeren als deze nog refereert naar de 2015 norm?

Je kunt je alleen certificeren tegen de 001 standaarden (27001, 14001, 9001, etc)

Nee hoor, ook 27017, 27018, 27701 certificering bestaat. Wel altijd in combi met 27001.


Je kan NIET certificeren tegen 27017 en 27018. Dat het in "combi" moet is omdat je alleen kan certificeren tegen 27001.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.