Het is ondertussen al acht jaar geleden sinds de laatste officiële herziening van de ISO/IEC 27002 standaard (in 2013). Hoewel ISO 27001:2013 in 2019 werd bevestigd (dat wil zeggen, er waren geen wijzigingen in de norm voor informatieveiligheidsbeheersysteem), was ISO 27002 absoluut aan verbetering toe om haar rol als leidraad voor de implementatie van de ISO 27001 Annex A beveiligingsmaatregelen verder te vervullen.
De nieuwe 2022-revisie van ISO 27002 werd gepubliceerd op 15 februari 2022. In deze blog beschrijven we de belangrijkste wijzigingen in vergelijking met de ISO 27002:2013 versie. Het gaat niet enkel over de verschillende maatregelen, maar ook over het organiseren en het gebruiken van die maatregelen.
Wat is de impact van deze herziening op de algemene structuur van de standaard?
Het eerste dat opvalt is de nieuwe structuur van de ISO 27002:2022. De oorspronkelijke 14 hoofdsecties zijn herwerkt, gegroepeerd en gereduceerd naar vier nieuwe hoofdsecties, samen met twee nieuwe bijlagen:
- Organisatorische beveiligingsmaatregelen (clausule 5, 37 beveiligingsmaatregelen)
- Menselijke beveiligingsmaatregelen (clausule 6, 8 beveiligingsmaatregelen)
- Fysieke beveiligingsmaatregelen (clausule 7, 14 beveiligingsmaatregelen)
- Technologische beveiligingsmaatregelen (clausule 8, 34 beveiligingsmaatregelen)
- Bijlage A – Het gebruik van attributen
- Bijlage B – Gelijkenis met ISO/IEC 27002:2013
Deze nieuwe structuur maakt het gemakkelijker om de toepasbaarheid van de beveiligingsmaatregelen op hoog niveau te begrijpen, evenals de toewijzing van verantwoordelijkheden.
Nog een belangrijke aanpassing: het aantal beveiligingsmaatregelen
Deze nieuwe versie heeft het aantal beveiligingsmaatregelen gereduceerd van 114 naar 93. De technologische vooruitgang en een beter begrip van hoe beveiligingspraktijken moeten worden toegepast, lijken de redenen te zijn voor de verandering in het aantal beveiligingsmaatregelen.
Van deze nieuwe 93 beveiligingsmaatregelen zijn er:
- 11 nieuw toegevoegde maatregelen
- 24 samengevoegde maatregelen
- 23 hernoemde maatregelen
- 1 maatregel volledig verwijderd
De overige 34 maatregelen zijn hetzelfde gebleven, met uitzondering van hun identificatienummer.
Future proof door de toevoeging van attributen, #hashtags #all #the #way
Naar onze mening is dit de wijziging die de meeste waarde biedt voor deze nieuwe versie, omdat het een gestandaardiseerde manier biedt om beveiligingsmaatregelen te sorteren en filteren op verschillende weergaven, om zo tegemoet te komen aan de behoeften van verschillende groepen. Ze worden toegekend door middel van een #hashtag.
De verschillende attribuut opties voor iedere beveiligingsmaatregel zijn de volgende:
- Type maatregel: preventief, detectief en corrigerend.
- Eigenschappen informatieveiligheid: confidentialiteit, integriteit en beschikbaarheid.
- NIST informatieveiligheidsfuncties: identify, protect, detect, respond en recover.
- Operationele mogelijkheden: governance, asset management, informatiebescherming, personeelsbeveiliging, fysieke beveiliging, systeem- en netwerkbeveiliging, applicatiebeveiliging, veilige configuratie, identiteits- en toegangsbeheer, beheer van bedreigingen en kwetsbaarheden, continuïteit, beveiliging van leveranciersrelaties, juridische zaken en naleving, beheer van informatiebeveiligingsgebeurtenissen en waarborg van informatieveiligheid.
- Security domeinen: governance en ecosysteem, bescherming, verdediging en weerstand.
Deze kenmerken vereenvoudigen de integratie van ISO 27002:2022-beveiligingsmaatregelen met andere vergelijkbare informatiebeveiliging standaarden, zoals het NIST Risk Management Framework.
Tot slot: wat betekent dit voor uw informatieveiligheidsbeheersysteem (ISMS)?
Als u uw informatiebeveiligingsbeheersysteem reeds heeft geïmplementeerd volgens ISO 27001, dan hoeft u zich voorlopig geen zorgen te maken. Ongeacht welke veranderingen de nieuwe ISO 27002-revisie ook met zich meebrengt, er is een overgangsperiode van 2 jaar voor gecertificeerde bedrijven. Die periode begint pas nadat ISO 27001 officieel is bijgewerkt om in overeenstemming te zijn met deze nieuwe controles.
Zodra deze nieuwe controles onderdeel worden van ISO 27001 Annex A, zal u moeten overgaan tot onderstaande activiteiten:
- Evalueer de aanpak voor risicobehandeling en zorg ervoor dat deze is afgestemd op de nieuwe structuur en nummering van de beveiligingsmaatregelen.
- Update de maatregelen in de ‘Verklaring van Toepasselijkheid’.
- Werk uw beleid en procedures bij en schrijf waar nodig nieuwe documenten met betrekking tot de nieuwe maatregelen.
Aangezien deze wijziging in de standaard 11 nieuwe maatregelen omvat, zal deze afstemming in risicobehandeling en documentatie uw grootste klus zijn. Er is waarschijnlijk geen grote verandering nodig op technologisch en procesgebied.
Hoe kan spotit helpen?
Het doorvoeren van veranderingen aan het ISMS, zeker van deze omvang met een nieuwe norm, kan veel eisen van uw organisatie. Heeft u behoefte aan ondersteuning tijdens dit implementatietraject? Dan kan spotit hierin bijdragen door advies, training, coaching, project/programmamanagement en audit voorbereiding via professionele begeleiding door ons eigen team van ISO27K experten.