ISO 27002 is een verdieping op ISO 27001 en specificeert hoe een Information Security Management System (ISMS) er uit moet zien. De voorgaande versie van deze norm stamde uit 2013 en is inmiddels herzien. De vernieuwde versie, ISO 27002:2022, is op 15 februari 2022 gepubliceerd.
Elke vijf jaar moet voor een norm worden vastgesteld om deze wordt: ingetrokken, doorgezet zonder wijzigingen of herzien. In 2018 is besloten om de ISO 27002:2013 norm te herzien. Naast een aantal technische ontwikkelingen wordt verwacht dat met de nieuwe versie meer wordt aangezet tot zelf nadenken. De norm werd voorheen voornamelijk gebruikt als checklist. Er zijn een aantal wijzigingen doorgevoerd. We zetten de belangrijkste graag voor je op een rijtje.
Er zijn 11 nieuwe beheersmaatregelen uitgewerkt. Deze maatregelen spelen in op nieuwe ontwikkelingen binnen informatiebeveiliging. Ook leggen ze meer focus op het preventieve en monitoring gedeelte van het ISMS.
Door deze nieuwe beheersmaatregelen komt er meer focus op het preventieve en monitoring gedeelte van het ISMS. Daarnaast krijgt ICT een centrale rol binnen bedrijfscontinuïteit.
Daarnaast zal een groot aantal beheersmaatregelen niet meer als aparte maatregelen benoemd worden maar met soortgelijke zijn samengevoegd. Een voorbeeld hiervan is de samenvoeging van 5.1.1 Policies for information security en 5.1.2 Review of the policies for information security. Deze zijn samengevoegd tot 5.1 Policies for information security.
We zetten hieronder de nieuwe beheersmaatregelen op een rijtje.
5.7 Threat intelligence
“Information relating to information security threats should be collected and analysed to produce threat intelligence.”
Het doel van threat intelligence is om preventief bedreigingen voor het ISMS te detecteren en te neutraliseren. Zowel op strategisch, tactisch, als operationeel niveau moet informatie worden ingewonnen en uitgewisseld over de verschillende soorten bedreigingen. Vanuit de norm wordt geadviseerd dit te bewerkstelligen door het identificeren, doorlichten en selecteren van interne- en externe informatiebronnen die noodzakelijk en geschikt zijn om informatie te verstrekken over bedreigingen. Deze informatiebronnen dienen daarna te worden gebruikt voor het vergaren, analyseren en interpreteren van informatie. Waarna op basis van de conclusie relevante individuen binnen de organisatie moeten worden geïnformeerd.
5.23 Information security for use of cloud services
“Processes for acquisition, use, management and exit from cloud services should be established in accordance with the organization’s security requirements.”
Het doel van information security for use of cloud services is het specificeren en beheren van informatiebeveiliging voor het gebruik van cloud services. Dit kan worden bereikt door te definiëren hoe de organisatie beveiligingsrisico’s betreffende cloud services wil beheersen. Deze beheersmaatregel kan als uitbreiding worden gezien van de beheersmaatregel betreffende het managen van externe diensten (5.21 & 5.22 van de 27002 DIS).
5.30 ICT readiness for business continuity
“ICT readiness should be planned, implemented, maintained and tested based on business continuity objectives and ICT continuity requirements.”
Het doel van ICT readiness for business continuity is het garanderen van de beschikbaarheid van de informatie van en voor de organisatie. Om te voldoen aan deze beheersmaatregel dienen organisaties een ICT continuïteitsplan (ICTCP) op te stellen. Dit kan ook een uitbreiding van het bedrijfscontinuïteitsplan (BCP) zijn. Het ICT continuïteitsplan betreft een specifiek gedeelte waarin een bedrijf impact analyse (BIA) wordt gedaan en op basis van deze BIA een recovery time objective (RTO) wordt gedefinieerd in het ICT specifieke scenario. Net als het BCP dient het ICTCP met regelmaat te worden getest.
7.4 Pysical security monitoring
“Premises should be continuously monitored for unauthorized physical access.”
Het doel van physical security monitoring is om ongeautoriseerde fysieke toegang te detecteren en af te schrikken. Dit doel is te realiseren door de omgeving te monitoren door middel van bewakers, inbraakalarmsystemen, videobewakingssysteem of het inhuren van een externe organisatie voor een van de eerder genoemde elementen. De focus ligt voornamelijk met deze beheersmaatregel op gebouwen en ruimtes waar bedrijf kritische systemen zijn ondergebracht. Denk daarbij aan serverruimtes, meterkasten, administratie of dus de centrale bewakingsruimte indien jouw organisatie die heeft.
8.9 Configuration management
“Configuration, including security configurations, of hardware, software, services and networks should be established, documented, implemented, monitored and reviewed.”
Het doel van configuration management is zorgen dat hardware, software, services en netwerken correct werken met de vereiste beveiligingsinstellingen. Ook is het belangrijk dat de configuratie niet wordt gewijzigd door ongeautoriseerd of onjuiste wijzigingen. Hiervoor adviseert de norm om een standaard template voor de security configuratie van hardware, software, services en netwerken op te stellen. Dit kan door gebruik te maken van openbare templates van verkopers of van beveiligingsorganisaties. Het template dient in lijn te zijn met het algemeen beveiligingsbeleid van de organisatie.
8.10 Information deletion
“Information stored in information systems and devices should be deleted when no longer required.”
Het doel van deze beheersmaatregel is om onnodige blootstelling van gevoelige informatie te voorkomen. Ook is het belangrijk om te voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten voor gegevensverwijdering. Om dit te bereiken dient de organisatie beleid te formuleren over de veilige methode van gegevensverwijdering en de eisen van bewijs. Wanneer er gebruik wordt gemaakt van een externe organisatie voor de verwijdering of vernietiging van gegevens dient deze volgens de norm gecertificeerd te zijn voor het beveiligd verwijderen van informatie.
8.11 Data masking
“Data masking should be used in accordance with the organization’s topic-specific policy on access control and business requirement, taking legal requirements into consideration.”
Het doel van data masking is om de blootstelling van gevoelige gegevens, waaronder persoonlijk identificeerbare informatie, te beperken. Tevens gaat deze beheersmaatregel over het voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten. Voor data masking kan gebruik worden gemaakt van technieken zoals encryptie, nulling, het variëren van nummers of datums of het vervangen van data.
8.12 Data leakage prevention
“Data leakage prevention measures should be applied to systems, networks and endpoint devices that process, store or transmit sensitive information.”
Het doel van deze beheersmaatregel is om de ongeautoriseerde openbaarmaking en extractie van informatie door personen of systemen te detecteren en te voorkomen. Dit kan worden bereikt door het classificeren van data en het monitoren van data lekkende kanalen. Denk hierbij aan e-mail, bestandsoverdrachten en draagbare harde schrijven. Wanneer bijvoorbeeld een mail met gevoelige data wordt verstuurd schrijft de norm voor dat deze dient te worden gestopt. Het wordt aangeraden om systemen te gebruiken die helpen bij het monitoren van uitgaande data en het voorkomen van (on)bedoeld lekken.
8.16 Monitoring activities
“Networks, systems and applications should be monitored for anomalous behaviour and appropriate actions taken to evaluate potential information security incidents.”
Het doel van deze beheersmaatregel is om afwijkend gedrag en mogelijke informatiebeveiligingsincidenten te detecteren. De organisatie dient vooraf de scope en het level te bepalen van de monitoring. Voor het monitoren van de systemen op afwijkend gedrag kan worden gedacht aan het monitoren van het out- en inbound netwerk, netwerkverkeer op applicaties, logging activiteiten, CPU, RAM en bandbreedte. Voor het voldoen aan de beheersmaatregel moeten de resultaten van de monitoringsactiviteiten worden bewaard voor een te definiëren periode.
8.22 Web filtering
“Access to external websites should be managed to reduce exposure to malicious content.”
Het doel van web filtering is om systemen te beschermen die worden aangetast door malware. Ook is het belangrijk om toegang tot ongeautoriseerde internetbronnen te voorkomen. Dit doel kan worden behaald door toegang tot websites die illegale content, virussen of phishing activiteiten bevatten te blokkeren voor medewerkers. Ook kan er voor worden gekozen om websites te blokkeren die een upload functie bevatten om zo (on)bedoeld lekken (zie 8.12 data leakeage prevention) tegen te gaan.
8.28 Secure coding
“Secure coding principles should be applied to software development.”
Het doel van secure coding is zorgen dat software veilig wordt geschreven, waardoor het aantal potentiële kwetsbaarheden in de informatiebeveiliging in software wordt verminderd. Hiervoor moet een organisatie een organisatie breed proces opzetten voor het werken met, het monitoren en verzekeren van secure coding. Wanneer een organisatie zelf niet aan ontwikkeling van software of systemen doet maar kiest voor uitbesteding, dient het proces te worden opgenomen bij het selecteren van een leverancier.
Veel standaarden zijn gebaseerd op ISO 27002 en moeten worden aangepast, bijvoorbeeld Annex A van ISO 27001 en de NEN 7510 norm. De nieuwe norm heeft ook impact op uitbreidingsnormen als ISO 27701 en ISO 27017 en 27018. In deze normen wordt gerefereerd naar specifieke maatregelen uit ISO 27002. Een controle op de maatregelen bij deze normen is dus nodig.
ISO 27001
ISO 27002 specificeert hoe een ISMS er uit moet zien. Het is als het ware een hulpmiddel om de risicoanalyse uit te voeren. De norm bestaat namelijk uit een lijst van beheersmaatregelen waarmee je de risico’s die je hebt geïdentificeerd kunt beperken of verkleinen. Deze beheersmaatregelen kunnen met behulp van ISO 27001 worden geïmplementeerd. De beheersmaatregelen uit ISO 27002 komen dan ook terug in Annex A van de ISO 27001 norm. In ISO 27002 zijn de beheersmaatregelen gedetailleerder uitgeschreven. De wijzigingen in ISO 27002 hebben dus gevolgen voor de organisaties die gecertificeerd zijn conform ISO 27001. Is jouw organisatie ISO 27001 gecertificeerd dan raden wij aan deze veranderingen mee te nemen tijdens de transitie-audit/jaarlijkse tussentijdse audit. Er geldt een overgangstermijn van drie jaar.
NEN 7510
NEN 7510 is de norm voor informatiebeveiliging in de zorg. De norm bestaat uit twee delen, namelijk NEN 7510-1 en NEN 7510-2. In feite is deze Nederlandse norm identiek aan ISO 27001 en ISO 27002. Het verschil is dat NEN 7510 in Annex A aan 33 beheersmaatregelen een specificatie voor de zorg heeft toegevoegd. Daarnaast heeft het nog 3 extra beheersmaatregelen. Wijzigingen in ISO 27002 betekent dus wijzigingen in NEN 7510-2. Deze norm wordt naar verwachting dan ook herzien door de NEN.
Heeft jouw organisatie hulp nodig bij de transitie naar ISO 27002:2022? Onze Consultants helpen graag! Neem contact met ons op voor de mogelijkheden!
Reduce Risk, Create Value!