De nieuwe ISO 27002:2022 kent nog slechts vier categorieën waar alle 93 controls in zijn onderverdeeld. De vier nieuwe categorieën zijn:
- Organizational controls
- Organization of information security
- Physical controls
- Technological controls
In de basis is het een samenvoeging en slimmere indeling maar er zijn ook zeker nieuwe dingen. Als eerste: Geen stress! Er is een overgangsperiode, we hebben de tijd om alles strak te trekken voor dat het echt zover is.
Nieuwe controls
Er zijn 11 nieuwe beheersmaatregelen die inspelen op nieuwe ontwikkelingen in de informatiebeveiliging.
- 5.7 Threat intelligence
- 5.23 Information security for use of cloud services
- 5.30 ICT readiness for business continuity
- 7.4 Pysical security monitoring
- 8.9 Configuration management
- 8.10 Information deletion
- 8.11 Data masking
- 8.12 Data leakage prevention
- 8.16 Monitoring activities
- 8.22 Web filtering
- 8.28 Secure coding
Met deze nieuwe beheersmaatregelen zoals threat intelligence, data leakage prevention en web filtering wordt er meer focus gelegd op het preventieve en monitoring gedeelte van het ISMS. Daarnaast krijgt ICT een centrale rol binnen de bedrijfscontinuïteit.
5.7: Threat intelligence
Het doel van threat intelligence is om preventief bedreigingen voor het ISMS te detecteren en te neutraliseren. Vanuit de norm wordt geadviseerd dit te bewerkstelligen door het identificeren, doorlichten en selecteren van interne- en externe informatiebronnen die noodzakelijk en geschikt zijn om informatie te verstrekken over bedreigingen. Deze informatiebronnen dienen daarna te worden gebruikt voor het vergaren, analyseren en interpreteren van informatie. Waarna op basis van de conclusie relevante individuen binnen de organisatie moeten worden geïnformeerd.
5.23: Information security for use of cloud services
Het doel van information security for use of cloud services is het specificeren en beheren van informatiebeveiliging voor het gebruik van cloud services. Dit kan worden bereikt door te definiëren hoe de organisatie beveiligingsrisico’s betreffende cloud services wil beheersen.
5.30: ICT readiness for business continuity
Het doel van ICT readiness for business continuity is het garanderen van de beschikbaarheid van de informatie van en voor de organisatie. Om te voldoen aan deze beheersmaatregel dienen organisaties een ICT continuïteitsplan (ICTCP) op te stellen. Dit kan ook een uitbreiding van het bedrijfscontinuïteitsplan (BCP) zijn. Het ICT continuïteitsplan betreft een specifiek gedeelte waarin een bedrijf impact analyse (BIA) wordt gedaan en op basis van deze BIA een recovery time objective (RTO) wordt gedefinieerd in het ICT specifieke scenario. Net als het BCP dient het ICTCP met regelmaat te worden getest.
7.4: Physical security monitoring
Het doel van physical security monitoring is om ongeautoriseerde fysieke toegang te detecteren en af te schrikken. Dit doel is te realiseren door de omgeving te monitoren door middel van bewakers, inbraakalarmsystemen, videobewakingssysteem of het inhuren van een externe organisatie voor een van de eerder genoemde elementen. De focus ligt voornamelijk met deze beheersmaatregel op gebouwen en ruimtes waar bedrijf kritische systemen zijn ondergebracht. Denk daarbij aan serverruimtes, meterkasten, administratie of dus de centrale bewakingsruimte indien jouw organisatie die heeft.
8.9: Configuration management
Het doel van configuration management is zorgen dat hardware, software, services en netwerken correct werken met de vereiste beveiligingsinstellingen. Ook is het belangrijk dat de configuratie niet wordt gewijzigd door ongeautoriseerd of onjuiste wijzigingen. Hiervoor adviseert de norm om een standaard template voor de security configuratie van hardware, software, services en netwerken op te stellen. Het template dient in lijn te zijn met het algemeen beveiligingsbeleid van de organisatie.
8.10: Information deletion
Het doel van deze beheersmaatregel is om onnodige blootstelling van gevoelige informatie te voorkomen. Ook is het belangrijk om te voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten voor gegevensverwijdering. Om dit te bereiken dient de organisatie beleid te formuleren over de veilige methode van gegevensverwijdering en de eisen van bewijs. Wanneer er gebruik wordt gemaakt van een externe organisatie voor de verwijdering of vernietiging van gegevens dient deze volgens de norm gecertificeerd te zijn voor het beveiligd verwijderen van informatie.
8.11: Data masking
Het doel van data masking is om de blootstelling van gevoelige gegevens, waaronder persoonlijk identificeerbare informatie, te beperken. Tevens gaat deze beheersmaatregel over het voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten. Voor data masking kan gebruik worden gemaakt van technieken zoals encryptie, nulling, het variëren van nummers of datums of het vervangen van data.
8.12: Data leakage prevention
Het doel van deze beheersmaatregel is om de ongeautoriseerde openbaarmaking en extractie van informatie door personen of systemen te detecteren en te voorkomen. Dit kan worden bereikt door het classificeren van data en het monitoren van data lekkende kanalen. Denk hierbij aan e-mail, bestandsoverdrachten en draagbare harde schrijven.
8.16: Monitoring activities
Het doel van deze beheersmaatregel is om afwijkend gedrag en mogelijke informatiebeveiligingsincidenten te detecteren. De organisatie dient vooraf de scope en het level te bepalen van de monitoring. Voor het monitoren van de systemen op afwijkend gedrag kan worden gedacht aan het monitoren van het out- en inbound netwerk, netwerkverkeer op applicaties, logging activiteiten, CPU, RAM en bandbreedte. Voor het voldoen aan de beheersmaatregel moeten de resultaten van de monitoringsactiviteiten worden bewaard voor een te definiëren periode.
8.22: Web filtering
Het doel van web filtering is om systemen te beschermen die worden aangetast door malware. Ook is het belangrijk om toegang tot ongeautoriseerde internetbronnen te voorkomen. Dit doel kan worden behaald door toegang tot websites die illegale content, virussen of phishing activiteiten bevatten te blokkeren voor medewerkers. Ook kan er voor worden gekozen om websites te blokkeren die een upload functie bevatten om zo (on)bedoeld lekken tegen te gaan.
8.28: Secure coding
Het doel van secure coding is zorgen dat software veilig wordt geschreven, waardoor het aantal potentiële kwetsbaarheden in de informatiebeveiliging in software wordt verminderd. Hiervoor moet een organisatie een organisatie breed proces opzetten voor het werken met, het monitoren en verzekeren van secure coding. Wanneer een organisatie zelf niet aan ontwikkeling van software of systemen doet maar kiest voor uitbesteding, dient het proces te worden opgenomen bij het selecteren van een leverancier.
Werken met tags en labels in de nieuwe ISO 27001:2022
Elke beheersmaatregel is ingedeeld en gelabeld aan de hand van vijf aspecten: Control Type, Information security properties, Cybersecurity concepts, Operational capabilites, Security domains.
Eind 2022 zijn partijen die dit gaan auditten nog aan het kijken hoe ze het precies moeten gaan auditten. Het lijkt erop dat er per hashtag / label geaudit gaan worden in plaats van strikt per normelement. Dat zal de tijd leren.
