Wat is ISO 27002

Wat is ISO 27002

In de huidige maatschappij neemt informatiebeveiliging een steeds meer prominente positie in. Juist vanwege het belang van een goede beveiliging van informatie is het voor veel organisaties en onderneming een vanzelfsprekendheid om op dit punt meer zekerheid te krijgen. Een de meest gebruikte methodes om dit bereiken is door middel van een certificering zoals o.a. ISO 27001 of een Third Party Memorandum (TPM). Dergelijke certificeringen worden afgegeven door een onafhankelijke partij.

Voorafgaand aan de feitelijke certificering vindt er een audit plaats op basis van een eerder vastgesteld normenkader. ISO 27001 is één van die mogelijke internationaal erkende normenkaders voor informatiebeveiliging. Een TPM is hiermee vergelijkbaar. Het verschil met een certificering op basis van een ISO-norm is dat er bij een TPM getoetst wordt op basis van een normenkader waarvoor geen certificering mogelijk is. Dat is bijvoorbeeld het geval bij ISO 27002.

 

ISO 27002 versus ISO 27001

In veel gevallen zijn certificeringen gericht op ISO 27001 vanwege de bekendheid van de norm. Ondanks dat gegeven is deze norm niet altijd de meest passende oplossing om inzicht en bevestiging te krijgen ten aanzien van informatiebeveiliging voor een organisatie. Voor ISO 27001 wordt namelijk gebruik gemaakt van een vrij rigide raamwerk. Het gevolg is dat voor een certificering het vereist is om alle normen, dus ook de voor uw organisatie minder relevante normen, volledig geïmplementeerd moeten worden.

In het geval van ISO 27001 gaat het om een set generieke maatregelen waarbij een reële risicoafweging en diversificatie vaak niet tot de mogelijkheden behoort. Het volledige traject in aanloop naar de ISO 27001-certificatie kan hierdoor extra kostbaar worden. Afgezien van de kosten zijn ook andere factoren van belang, zoals het tijdsbestek wat nodig is voor de certificering en is er geen garantie dat het hele proces volledig aansluit om de behoeften van de organisatie. In een dergelijke situatie is een TPM vaak een volwaardig alternatief. Deze TPM is ontwikkeld vanuit de behoefte binnen organisaties om inzicht te verschaffen over de kwaliteit van de ICT-dienstverlening en ‐ beheersing binnen de organisatie.

 

Wat is een NEN ISO 27002?

De ISO 27002-norm, vaak ook de NEN-ISO/IEC 27002- norm genaamd, is een internationaal erkende standaard voor informatiebeveiliging. De norm is in feite een verzameling richtlijnen voor organisaties en ondernemingen voor het opstellen, implementeren, onderhouden en hetverbeteren van informatiebeveiliging. In de praktijk blijkt de NEN ISO 27002-norm vaak te dienen als richtlijn voor een organisatie of onderneming bij het ontwerpen van veiligheidsstandaarden.

Voor een TPM op basis van ISO 27002 wordt vaak gekozen als deze beter aansluit op de specifieke risico’s van een organisatie. Het grote voordeel van een TPM ten opzichte van een ISO 27001-certificering, is daarnaast dat de kosten aanzienlijk lager uitvallen. Dit wordt voornamelijk veroorzaakt doordat er sprake is van het implementeren van de strikt noodzakelijke maatregelen van een specifieke organisatie of proces.

 

AuditConnect en de NEN ISO 27002

De ‘in control statement ISO 27002′ ofwel TPM, zorgt ervoor dat een organisatie of onderneming de mogelijkheid heeft om op basis van “best practices” de informatiebeveiliging correct in te richten en deze door een daartoe bevoegde onafhankelijke organisatie te laten certificeren.

Is een ‘in control statement ISO 27002′  eenmaal uitgereikt, dan duidt dit erop dat de organisatie de juiste doelstellingen heeft geformuleerd en dat de doelstellingen betekent dit dat de organisatie zicht heeft op de manier waarop deze gerealiseerd moeten worden. Dat betekent niet dat de doelstellingen en de noodzakelijke maatregelen al reeds geïmplementeerd moeten zijn.

 

Het normenkader voor ISO 27002

Het onderzoek naar de mogelijkheden voor een certificering is gebaseerd op de indeling conform NEN-ISO/IEC 27002:2007. Hierbij zijn de volgende hoofdstukken van belang:

  • Beveiligingsbeleid
  • Organisatie van informatiebeveiliging
  • Beheer van bedrijfsmiddelen
  • Personele beveiligingseisen
  • Fysieke beveiliging en beveiliging van de omgeving
  • Beheer van communicatie en bedieningsprocessen
  • Toegangsbeveiliging
  • Verwerving, ontwikkeling en onderhoud van informatiesystemen
  • Beheer van informatiebeveiligingsincidenten
  • Bedrijfscontinuïteitsbeheer
  • Naleving

De bovenstaande punten vormen de basis voor het certificeringstraject aan de hand van een toetsings- c.q. normenkader. Op die manier is het mogelijk om een ‘in control statement’ in alle situaties op dezelfde manier wordt gerealiseerd.

 

Het proces om een TPM op basis van ISO 27002 te verkrijgen

Het verkrijgen van een TPM op basis van ISO 27002 is een proces wat uit twee fasen bestaat. Zo onderscheiden we de besluitvormingsfase en de auditfase.

Aan het einde van de besluitvormingsfase ligt er een set doelstellingen gereed conform het ‘basis beveiligingsniveau’ (NEN-ISO/IEC 27002:2007). Tijdens de auditfase wordt dit proces beoordeeld en wordt duidelijk in hoeverre er sprake is van het zorgvuldig toepassen van het ‘comply or complain’ principe.

Ook zal beoordeeld worden of de doelstellingen van het BBN zijn geïmplementeerd en op welke wijze dit is gebeurd. Op basis van de gegevens die dan naar voren komen kan er gekozen worden voor een bijstelling van het BNN. Ook het nemen van aanvullende maatregelen behoort tot de mogelijkheden.