Security Professionals - ipfw add deny all from eindgebruikers to any

ISO 27001 Operational Capabilities attributes

Reageer met quote
10-04-2025, 11:48 door Anoniem, 2 reacties
De ISO 27002 introduceerde in de 2022 versie zogenaamde attributes, dat zijn die hashtags die je ziet bij elke control. Deze attributen kunnen worden gebruikt om de controls vanuit verschillende perspectieven te filteren, sorteren en toepassen.
Een van deze attributes zijn de Operational Capabilities, met termen als: Physical Security, Human Resource Security en Asset Management. Dat zijn natuurlijk vrij voor de hand liggende termen. Maar, is er een echt official ISO? definitie van deze 15 termen?

Ik heb naast natuurlijk Google ook gekeken in de 27000, 27001 en 27002, maar de definities staan daar niet in.
Reacties (2)
Reageer met quote
10-04-2025, 12:25 door Anoniem
Je observatie is volledig terecht en wordt gedeeld door veel security-experts die werken met ISO/IEC 27002:2022. De 15 Operational Capabilities die als één van de vijf sets attributes zijn toegevoegd in de 2022-versie van ISO 27002, worden inderdaad gebruikt om de context en toepasbaarheid van controls te duiden — maar wat betreft officiële definities zit je in een grijs gebied.
Conclusie (expert-level antwoord):

Nee, er bestaat geen officiële, normatief bindende ISO-definitie van de 15 Operational Capabilities in ISO/IEC 27002:2022. Ze zijn niet gespecificeerd of gedefinieerd in ISO/IEC 27000, 27001, noch volledig in 27002. De termen zijn bedoeld als taxonomisch hulpmiddel, niet als formele begrippen met een vaste definitie in de ISO-familie.

Achtergrond:

De attributen, inclusief de Operational Capabilities, zijn bedoeld om:

Controls te filteren of groeperen op basis van organisatorische behoeften,

Risicogebieden te koppelen aan relevante domeinen (zoals Physical Security),

En om automatisering of tooling (zoals GRC-software) te ondersteunen.

De 15 Operational Capabilities zijn:

Asset Management

Business Continuity

Compliance

Human Resource Security

Information Security Event Management

Information Transfer

Identity and Access Management

Physical Security

Secure Configuration

Supplier Relationships

System Acquisition, Development and Maintenance

Threat and Vulnerability Management

Use of Cloud Services

User Endpoint Devices

Workforce Planning

Wat zegt ISO er wél over?

De enige "semi-officiële" toelichting die ISO geeft, is te vinden in:

ISO/IEC 27002:2022 – Annex A, en

"ISO/IEC TS 27022" of ISO/IEC TR 27016 worden soms gebruikt als guidance, maar bevatten ook geen formele definities van deze attributen.

Wat doen experts en auditors dan?

In praktijk worden deze termen geïnterpreteerd op basis van gangbare security-praktijken (bijv. NIST, ENISA, ISACA).

Veel organisaties ontwikkelen eigen interpretatiekaders voor deze capabilities binnen hun ISMS/GRC-platform.

Er wordt vaak verwezen naar ISO/IEC 27005 (risicobeheer) voor context van toepassingsgebieden.
Reageer met quote
10-04-2025, 15:02 door Anoniem
Dank voor je complete antwoord. Inderdaad niet het gehoopte antwoord, maar wel heel duidelijk en bevestigend van wat ik al dacht. Benieuwd of anderen hier nog anders tegen aankijken, of toevallig de bron voor "officiele" definities kennen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure