Sinds februari jl. is er een nieuwe ISO/IEC 27002:2022. Daar krijgen we vanuit onze klanten in Nederland veel vragen over. In deze blog komen aan bod:
De ISO/IEC 27002:2022 is de opvolger van de ISO/IEC 27002:2013. Hier is best wat verwarring over, want in Nederland is deze beschikbaar als NEN-EN-ISO/IEC 27002:2017. Hoe zit dit verschil in aanduiding en jaartal?
De Internationale Organisatie voor Standaardisatie (ISO) stelt normen op. De organisatie is een samenwerkingsverband van nationale standaardisatieorganisaties in 163 landen zoals in Nederland we de NEN kennen. Op internationaal niveau werkt de ISO veel samen met de IEC; de International Electrotechnical Commission, vandaar dat sommige normen de ISO/IEC aanduiding hebben. NEN staat voor het NEderlandse Normalisatie-instituut dat verantwoordelijk is voor het registreren van normering. De EN aanduiding staat voor de Europese Normalisatie-organisatie en gelden voor heel Europa. De nationale normalisatie-instituten zoals de NEN publiceren deze dan in het eigen land. Een NEN-EN ISO/IEC normering betekend dus dat het een Internationale norm betreft die ook in Europa is geaccepteerd en ook in Nederland door de NEN is geaccepteerd. Vaak wordt er een toevoeging meegegeven zoals NL om aan te duiden dat het ook in de Nederlandse taal verkrijgbaar is.
Omdat er tijd kan zitten tussen het vertalen en/of het afstemmen van een internationale norm op lokale wetgeving kan er een verschil ontstaan qua inhoud (miniem) en publicatie. Maar in de basis is de “nationale” NEN-EN-ISO/IEC 27002:2017 norm hetzelfde als de ISO/IEC 27002:2013.
ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Met behulp van het zogenaamde Information Security Management System, (ISMS) beschrijft de implementatie van het proces om informatiebeveiligingsrisico’s te beheersen. Het is op dit moment alleen mogelijk te certificeren volgens de ISO 27001 norm.
De huidige actuele versies zijn:
Een ISO 27001 audit richt zich vooral op de procesborging, het ISMS maar tijdens de audit worden ook de beheersmaatregelen getoetst die beschreven staan in de zogenaamde Annex A (of Bijlage A in het Nederlands) het ISO 27001 normdocument. Deze Annex A is een opsomming van beheersmaatregelen en deze zijn (inclusief nummering, hoofdstukken en paragrafen) overgenomen van de ISO 27002, maar zijn niet hetzelfde.
De ISO 27002 als norm gaat verder dan alleen deze opsomming van beheersmaatregelen en biedt per beheersmaatregel een verdiepingsslag in de vorm van “Best Practises” (eventueel toe te passen technieken, werkmethodes etc.) om invulling te geven aan de beheersmaatregel.
U bent vrij andere beheersmaatregelen toe te passen (eigen of uit andere normen zoals CIS, NIST-CSF etc.) zolang u maar aantoonbaar voldoet aan de beheersmaatregelen uit de Annex A.
Per beheersmaatregel dient u aan te geven of deze wel of niet van toepassing is en aan te geven of deze geïmplementeerd is of niet. Dit verklaart u in de zogenaamde Verklaring van Toepasselijkheid (VVT). In deze VVT staat de verwijzing naar de versie die tijdens de ISO 27001 audit werd gebruikt, bijv. EN-EN-ISO/IEC 27001:2017 +A11:2020.
Hé, weer een aanduiding “+A11:2020”? Deze “+A11” verwijst naar de wijzigingen ten opzichte doorgevoerd door de NEN en de “:2020” naar het jaar dat die wijziging werd doorgevoerd. De NEN hanteert voor dezelfde norm in Nederland een een eigen nummering wat dus verwarrend kan zijn. Andere landen kunnen ook "eigen" afwijkende nummeringen hanteren.
Hopelijk begrijpt u het nog……?
We zullen niet ingaan op alle wijzigingen in deze blog, er is al het nodige bekend maar we zullen vooral die zaken toelichten waar onze gebruikers mee te maken krijgen.
In de oude ISO/IEC 27002:2013 bestond elke beheersmaatregel (Best practice) uit een:
In de nieuwe ISO/IEC 27002:2022 wordt er niet meer gesproken over ‘Best practices’, maar alleen nog maar over beheersmaatregelen (controls) en die bestaan nu uit :
Tevens wordt er per Control (beheersmaatregel) een attributen tabel (zie onderstaand voorbeeld) weergegeven die kan helpen om beheersmaatregelen te selecteren (te filteren) op diverse zaken.
Een drietal Control types om beheersmaatregelen te selecteren vanuit het oogpunt van wanneer en hoe op te treden bij een incident op het gebied van informatiebeveiliging.
Preventief; de control moet voorkomen dat zich een incident op het gebied van informatiebeveiliging voordoet,
Detectief; de controle treedt op wanneer zich een incident op het gebied van informatiebeveiliging voordoet,
Correctief; de controle treedt op nadat zich een incident op het gebied van informatiebeveiliging heeft voorgedaan.
Een drietal Information Security eigenschappen: om beheersmaatregelen te selecteren vanuit het oogpunt van op informatiekenmerken zoals: Vertrouwelijkheid, Integriteit en/of Beschikbaarheid.
Cybersecurityconcepten is een attribuut om beheersmaatregelen te selecteren vanuit het perspectief van cybersecurityconcepten die in het ISO/IEC TS 27110 cybersecuritykader zijn gedefinieerd en in het NIST CSF model: Identify, Protect, Detect, Respond en Recover.
Operationele capaciteiten is een attribuut om beheersmaatregelen te selecteren vanuit het oogpunt van de eigenaar of beheerder van een bepaald gebied. De attribuutwaarden bestaan uit: Governance, Middelenbeheer, Informatiebeveiliging, HR, Fysieke beveiliging, Systeem- en netwerkbeveiliging, Applicatiebeveiliging, Veilig configureren, Identity & access management, Kwetsbaarheden- en dreigingenbeheer, Continuïteit, Leveranciersmanagement, Voldoen aan wet-en regelgeving, Informatiebeveiliging incident management en Assurance.
Security domains is een attribuut om beheersmaatregelen te selecteren vanuit het perspectief van vier informatiebeveiligingsdomeinen: Governance en Ecosysteem, Beveiliging (Protection), Verdediging (Defence) en Veerkracht (Resiliance).
Alle hiervoor beschreven attributen uit de ISO 27002 zijn generiek en organisaties kunnen ervoor kiezen één of meer van de attributen buiten beschouwing te laten of eigen attributen te creëren.
Op dit moment nog niets, er is nog geen nieuwe ISO 27001 norm en dus ook nog geen nieuwe Annex A. Die gaat er natuurlijk wel komen en dan sluit de Annex A qua indeling en opsomming van de beschrijving van de beheersmaatregelen op elkaar aan. De NEN-organisatie verwacht in mei een geüpdatete Annex A voor de bestaande ISO/IEC 27001:2013 met een aanduiding mogelijk als +A1:2022 wellicht? Het is dan immers de eerste “wijziging” van de nieuwe Annex uit 2022. Velen zullen wachten op de Nederlandse aangepaste NEN-EN ISO/IEC 27001:2017 +A1:2022. Die wordt eind van 2022 verwacht.
Heeft u al een certificaat dan hoeft u niet direct wat te doen. Er is een transitieperiode van 2 jaar van toepassing zodra de nieuwe ISO27001 norm er is met de vernieuwde Annex A. Bent u bezig met een certificeringstraject, dan is het afhankelijk van het moment dat u de Audit gaat uitvoeren of u zich het beste kunt richten op de nieuwe ISO 27001 en Annex A. Stem dit bijvoorbeeld af met uw certificerende instantie of implementatie partner!
De opzet van de nieuwe Annex A zal het zeer waarschijnlijk niet veel anders zijn dan de huidige Annex A. Dus ook een opsomming van de beheersmaatregelen maar:
Het zal de CyberManager gebruikers bekend voorkomen die gebruik maakten van de CyberManager maatregelenset. In plaats van de 4 nieuwe hoofdstukken en 82 samengevoegde beheersmaatregelen was de CyberManager maatregelenset al gebaseerd op 7 paragrafen en 71 samengevoegde maatregelen.
Dus wij snappen deze nieuwe ISO 27002:2022 wel maar gingen alleen nog iets verder. Deze CyberManager maatregelenset is overigens in de nieuwe opzet nog steeds te gebruiken.
Zodra de nieuwe Annex A er is worden de volgende zaken verwerkt:
6.1) Toevoeging van de NEN-EN ISO/IEC ISO27001:2017 +A1:2022 indien u beschikt over een licentie.
6.2) Wij verzorgen een andere maatregelindeling
Herplaatsing van maatregelen in het juiste hoofdstuk, enkele samenvoegingen en de nieuwe 11 maatregelen toevoegen/integreren.
Alle bestaande koppelingen met beheersmaatregelen (controls) naar andere normen zoals NEN7510, BIO, ISAE 3402, SOC 2, etc. zullen blijven bestaan. Feitelijk verandert er niets ten aanzien van de bestaande en samengevoegde maatregelen.
Nieuwe templates voor de nieuwe maatregelen: In de nieuwe ISO 27002 zijn dus ook nieuwe beheersmaatregelen toegevoegd die dus ook aan de maatregelenset toegevoegd of geïntegreerd moeten worden:
- Threat intelligence (cl. 5.7)
- Information security for use of cloud services (cl. 5.23)
- ICT readiness for business continuity (cl. 5.30)
- Physical security monitoring (cl. 7.4) Configuration management (cl. 8.9)
- Information deletion (cl. 8.10)
- Data masking (cl. 8.11)
- Data leakage prevention (cl. 8.12)
- Monitoring activities (cl. 8.16)
- Web filtering (cl. 8.23)
- Secure coding (cl. 8.28)
Deze nieuwe beheersmaatregelen moet u hoe dan ook implementeren ongeacht of u nu de "oude" ISO 27002:2017, de CyberManager maatregelenset of een andere set gebruikt zoals de oude ISO 27002.
Bij de ISO 27002:2022 is een verwijzing tabel opgenomen om de “oude” beheersmaatregelen te volgen naar de nieuwe. Van sommige beheersmaatregelen is de tekst gewijzigd enerzijds door de samenvoeging (dan verandert er inhoudelijk niet veel), maar de tekst kan ook gewijzigd zijn. Bij enkele beheersmaatregelen waarvan de Best practices nu als implementatierichtlijn zijn opgenomen is daarmee ook de beheersmaatregel inhoudelijk gewijzigd en daarmee ook de Annex A.
Dus met alleen maar een nieuwe mapping bent u er niet, wij zullen u t.z.t. natuurlijk hierop wijzen maar u zult moeten controleren of uw huidige maatregelen nog aansluiten.
Het maatregelselectieproces voor het genereren van maatregelvoorstellen (baseline) in de CyberManager sluit grotendeels al aan op het gebruik van deze attributen.
Het systeem biedt al mogelijkheden om te werken met selecties (attributen) zoals Control types maar een detectief type werd nog niet toegepast.
Information Security eigenschappen zijn al geïmplementeerd .
Cyber securityconcepten en Security domains worden al als beveiligingsniveau attributen toegepast voor de BIO (BBN1, BBN2 en BBN3 niveaus) en cyber security concepten voor de CIS control en het NIST CSF.
Het attribuut “Operationele capaciteiten" wordt in de CyberManager gedeeltelijk afgedekt vanuit proces/organisatie en/of middeltypes.
De nieuwe ISO 27002:2022 zorgt dus niet voor grote wijzigingen maar waar nodig zullen we dit aanvullen, zodat de aansluiting op de ISO27002:2020, voor klanten die hiervan gebruik willen maken zo optimaal mogelijk verloopt.
We kunnen ons voorstellen dat u misschien nog vragen heeft of zaken vooraf met ons wilt afstemmen met betrekking tot deze ISO 27002:2022, dan helpen wij u natuurlijk graag.
Meer weten over de ISO 27001 of andere certificeringen die voor jouw organisatie interessant zijn en hoe de CyberManager hierbij helpen?
We komen graag in contact voor mogelijkheden en informatie!
Mail naar uw contactpersoon of sales@irm360.nl of vul het contact formulier hier in of neem contact op met uw partner.