+31(0)115-612689 info@we-management.com

Wijzigingen ISO 27002

Publicatiedatum artikel: 26-10-2021

De ISO organisatie heeft als doel haar normen om de 5 jaar te herzien en nieuwe inzichten te verwerken. Er is een wijziging gepland eind dit jaar voor de ISO 27002, de norm die onlosmakelijk verbonden is aan de ISO 27001 – de norm  waarin eisen zijn geformuleerd voor het implementeren van een management systeem voor informatiebeveiliging. Dit artikel geeft kort de informatie weer welke wijzigingen dit zullen zijn en hoe hiermee omgegaan kan worden.

Wijzigingen ISO 27002 – 1ste kwartaal 2022 (verwachting)

Publicatiedatum artikel: 26-10-2021

Huidige versie: NEN-EN-ISO/IEC 27002:2017 nl (wijkt inhoudelijk niet af van de 2013 versie). 
Verwachte publicatie: 1ste kwartaal 2022
Impact: Beveiligingsmaatregelen opnieuw nalopen – aanpassen documentatie – wellicht nieuwe maatregelen invoeren
Implementatie vanaf publicatie wijziging: Na aanpassing ISO 27001: nieuwe certificering – direct; bestaande certificering binnen 3 jaar
Advies: Na aanpassing ISO 27001: implementatie bij her-certificering (ter voorkoming extra audittijd bij controle audit) – intern reeds voorbereiden op deze wijziging

Wat behandeld de ISO 27002?

Deze norm geeft richtlijnen voor de implementatie van maatregelen in kader van de informatiebeveiliging binnen een organisatie. De maatregelen zijn in de ISO 27001 opgenomen in Annex A. Wanneer een bedrijf haar informatiebeveiliging management systeem heeft gecertificeerd volgens ISO 27001 dan dient het bedrijf op basis van een risico analyse en de maatregelenlijst vermeld in Annex A van ISO 27001 na te gaan welke maatregelen (114 in totaal) van toepassing zijn. Er wordt verwacht van het bedrijf dat minimaal of gelijkwaardige maatregelen zijn geïmplementeerd zoals vermeld in deze Annex A. Dit wordt vastgelegd in een publiek beschikbaar document (opvraagbaar), de zogenaamde “verklaring van toepasselijkheid” (ISO 27001 6.1.3 lid d).  

De wijzigingen 

Hieronder volgt een kort overzicht van de wijzigingen.

De indeling van de verschillende beveiligingsmaatregelen is gewijzigd waardoor het het document anders is opgebouwd. De maatregelen zijn nu in 4 categorieën ingedeeld (oorspronkelijk 14 categorieën):

  • Hoofdstuk 5 Organisatie (Organisation) – 37 maatregelen
  • Hoofdstuk 6 Mensen (People) – 8 maatregelen
  • Hoofdstuk 7 Fysiek (Physical) – 14 maatregelen
  • Hoofdstuk 8 Technologisch (Technical) – 34 maatregelen

De nieuwe indeling leidt tot een efficiëntere indeling van de maatregelen, bijvoorbeeld doordat maatregelen die eerst op verschillende plekken genoemd werden maar in principe hetzelfde bedoelen komen nu samen in 1 categorie. Op deze manier zijn maatregelen uit de oude norm samengevoegd of maatregelen verwijderd. Er zijn in deze nieuwe norm nu 93 maatregelen in plaats van 114.  11 nieuwe maatregelen, 3 bestaande maatregelen verwijderd en een aantal zoals eerder aangeven geconsolideerd in bestaande maatregelen.

De nieuwe beveiligingsmaatregelen sluiten meer aan op de huidige digitale transformatie en de toename van cyber dreigingen. De nieuwe maatregelen hebben dan ook o.a. betrekking op bedreigingsanalyse, informatiebeveiliging van clouddiensten en veilig programmeren.

Elke maatregel heeft nu op 5 gebieden een # label meegekregen.

Wanneer van toepassing

De verwachting is dat de ISO 27002 in het eerste kwartaal van 2022 gepubliceerd wordt. Er wordt niet gecertificeerd tegen de ISO 27002 norm, maar tegen de ISO 27001 norm. Daarom moet ook eerst deze norm gewijzigd gaan worden voordat de nieuwe ISO 27002 gaat gelden. De belangrijkste wijziging voor de ISO 27001 zal dan zijn dat de Annex A conform de nieuwe indeling van maatregelen opgenomen zal worden.  Het is nog niet duidelijk wanneer de ISO 27001 norm ge-update wordt (naar alle waarschijnlijkheid 2022/2023).

Wat te doen

Ons advies is met de aangekondigde wijzigingen aan de slag te gaan. Neem bijvoorbeeld de aangekondigde wijzigingen mee in de planvorming, bespreek de impact in de organisatie en voer interne audits uit met de nieuwe voorgestelde maatregelen als onderwerp. Natuurlijk kunt u WE-management benaderen om u hierbij te assisteren! 

Hieronder het overzicht van de nieuwe maatregelen:

ISO 27002:2022 Omschrijving
5.7 Dreigingsinformatie (Threat Intelligence)
5.23 Informatiebeveiliging voor gebruik cloud-services
5.30 ICT-readiness voor bedrijfscontinuïteit
7.4 Monitoring van fysieke bewaking
8.9 Configuratie management
8.10 Informatie verwijdering
8.11 Data maskering
8.12 Datalek preventie
8.16 Monitoring services
8.22 Web filtering
8.28 Veilig coderen

 In onderstaande tabel zijn de maatregelen weergegeven die uit de oude norm zijn samengevoegd tot 1 maatregel:

ISO 27002:2022 ISO 27002:2017
5.1 Policies for information

5.1.1 Beleidsregels voor informatiebeveiliging
5.1.2 Beoordelen van het informatiebeveiligingsbeleid

5.9 Inventory of information and other associated assets

8.1.1 Inventariseren van bedrijfsmiddelen
8.1.2 Eigendom van bedrijfsmiddelen

5.14 Information transfer

13.2.1 Beleid en procedures voor informatietransport
13.2.2 Overeenkomsten over informatietransport
13.2.3 Elektronische berichten

5.15 Access control

9.1.1 Beleid voor toegangsbeveiliging
9.1.2 Toegang tot netwerken en netwerkdiensten

5.16 Identity management

9.2.1 Registratie en uitschrijving van gebruikers
9.4.3 Systeem voor wachtwoordbeheer

5.17 Authentication information

9.2.4 Beheer van geheime authenticatieinformatie van gebruikers
9.3.1 Geheime authenticatie-informatie gebruiken 

5.18 Access rights

9.2.2 Gebruikers toegang verlenen
9.2.5 Beoordeling van toegangsrechten van gebruikers
9.2.6 Toegangsrechten intrekken of aanpassen

5.22 Monitoring, review and change management of supplier services

15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers
15.2.2 Beheer van veranderingen in dienstverlening van leveranciers

5.29 Information security during disruption

17.1.1 Informatiebeveiligingscontinuïteit plannen
17.1.2 Informatiebeveiligingscontinuïteit implementeren
17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

7.10 Storage media

8.3.1 Beheer van verwijderbare media
8.3.2 Verwijderen van media
8.3.3 Media fysiek overdragen

8.1 User endpoint devices

6.2.1 Beleid voor mobiele apparatuur
11.2.8 Onbeheerde gebruikersapparatuur

8.8 Management of technical vulnerabilities

12.6.1 Beheer van technische kwetsbaarheden
18.2.3 Beoordeling van technische naleving

8.15 Logging

12.4.1 Gebeurtenissen registreren
12.4.2 Beschermen van informatie in logbestanden
12.4.3 Logbestanden van beheerders en operators 

8.24 Use of cryptography

10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
10.1.2 Sleutelbeheer
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

8.25 Secure development lifecycle

14.1.1 Analyse en specificatie van informatiebeveiligingseisen
14.2.1 Beleid voor beveiligd ontwikkelen

8.26 Application security requirements

14.1.2 Toepassingsdiensten op openbare netwerken beveiligen
14.1.3 Transacties van toepassingsdiensten beschermen

8.29 Security testing in development and acceptance

14.2.8 Testen van systeembeveiliging
14.2.9 Systeemacceptatietests

8.31 Separation of development, test and production environments

12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen
14.2.3 Technische beoordeling van toepassingen na wijzigingen
bedieningsplatform
14.2.4 Beperkingen op wijzigingen aan softwarepakketten

8.32 Change management

12.1.2 Wijzigingsbeheer
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen
14.2.3 Technische beoordeling van toepassingen na wijzigingen
bedieningsplatform
14.2.4 Beperkingen op wijzigingen aan softwarepakketten

De volgende maatregelen uit ISO 27002:2017 zijn verwijderd:

8.2.3 Behandelen van bedrijfsmiddelen
11.2.5 Verwijdering van bedrijfsmiddelen
16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging

 

Elke maatregel in de nieuwe norm heeft een # meegekregen, verdeeld over 5 categorieën :

How to categorize #preventative, #detective, #corrective
Information security properties #confidentiality, #integrity, #availability
Cybersecurity concepts #identify, #protect, #detect, #respond, #recover
Operational capabilities #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management and #Information_security_assurance
Security domains #governance_and_ecosystem, #protection, #defence, #resilience

Inhoudsopgave nieuwe norm:

Foreword
0 Introduction
1 Scope
2 Normative reference
3 Terms, definitions and abbreviated terms
4 Structure of this document
4.1 Clauses
4.2 Themes and attributes
4.3 Control layout

5 Organizational controls
5.1 Policies for information security
5.2 Information security roles and responsibilities
5.3 Segregation of duties
5.4 Management responsibilities
5.5 Contact with authorities
5.6 Contact with special interest groups
5.7 Threat intelligence
5.8 Information security in project management
5.9 Inventory of information and other associated assets
5.10 Acceptable use of information and other associated assets
5.11 Return of assets
5.12 Classification of information
5.13 Labelling of information
5.14 Information transfer
5.15 Access control
5.16 Identity management
5.17 Authentication information
5.18 Access rights
5.19 Information security in supplier relationships
5.20 Addressing information security within supplier agreements
5.21 Managing information security in the ICT supply chain
5.22 Monitoring, review and change management of supplier services
5.23 Information security for use of cloud services
5.24 Information security incident management planning and preparation
5.25 Assessment and decision on information security events
5.26 Response to information security incidents
5.27 Learning from information security incidents
5.28 Collection of evidence
5.29 Information on security during disruption
5.30 ICT readiness for business continuity
5.31 Identification of legal, statutory, regulatory and contractual requirements
5.32 Intellectual property rights
5.33 Protection of records
5.34 Privacy and protection of PII
5.35 Independent review of information security
5.36 Compliance with policies and standards for information security
5.37 Documented operating procedures
6 People controls
6.1 Screening
6.2 Terms and conditions of employment
6.3 Information security awareness, education and training
6.4 Disciplinary process
6.5 Responsibilities after termination or change of employment
6.6 Confidentiality or non-disclosure agreements
6.7 Remote working
6.8 Information security event reporting

7 Physical controls
7.1 Physical security perimeter
7.2 Physical entry controls
7.3 Securing offices, rooms and facilities
7.4 Physical security monitoring
7.5 Protecting against physical and environmental threats
7.6 Working in secure areas
7.7 Clear desk and clear screen
7.8 Equipment siting and protection
7.9 Security of assets off-premises
7.10 Storage media
7.11 Supporting utilities
7.12 Cabling security
7.13 Equipment maintenance
7.14 Secure disposal or re-use of equipment

8 Technological controls
8.1 User endpoint devices
8.2 Privileged access rights
8.3 Information access restriction
8.4 Access to source code
8.5 Secure authentication
8.6 Capacity management
8.7 Protection against malware
8.8 Management of technical vulnerabilities
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.13 Information backup
8.14 Redundancy of information processing facilities
8.15 Logging
8.16 Monitoring activities
8.17 Clock synchronization
8.18 Use of privileged utility programs
8.19 Installation of software on operational systems
8.20 Network controls
8.21 Security of network services
8.22 Web filtering
8.23 Segregation in networks
8.24 Use of cryptography
8.25 Secure development lifecycle
8.26 Application security requirements
8.27 Secure system architecture and engineering principles
8.28 Secure coding
8.29 Security testing in development and acceptance
8.30 Outsourced development
8.31 Separation of development, test and production environments
8.32 Change management
8.33 Test information
8.34 Protection of information systems during audit and testing

Annex A Using attributes
A.1 Introduction
A.2 Organizational views
Annex B Correspondence with ISO/IEC 27002:2013

 

 

Contact us!

 

Terneuzen, Zeeland, NL

+31(0)681924245

tpm.wollrabe@we-management.com