Aanpassingen ISO/IEC 27002-norm

Natuurlijk hoort bijscholen bij het portfolio van een consultant. De specialisten van LBVD zijn dan ook veel geziene gasten op bijeenkomsten, congressen en trainingen. Wanneer we een evenement bezoeken waar we kennis opdoen die voor jou belangrijk is, ben je de eerste die het hoort. Op deze blog, in de nieuwsbrief “Nieuws. Voor de zekerheid.“, op Twitter.

Seminar van TNO over wijzigingen in de ISO/IEC 27002-norm
Half september waren wij te gast bij TNO tijdens een seminar over de aanstaande wijzigingen in de ISO/IEC 27002-norm.
En omdat dit een norm is die bij veel van onze opdrachtgevers als leidraad fungeert voor hun informatiebeveiliging, kan onze kennis in jouw voordeel zijn. Voor de zekerheid, dus.

Waar is deze norm voor bedoeld?
In algemene zin is de ISO/IEC 27002:2005 (de tot nu toe gebruikte versie) ontworpen voor organisaties en instellingen als leidraad en referentiemodel. Bijvoorbeeld voor het inrichten van een ISMS (Information Security Management System). De ISO/IEC 27002 (2013) is meer gefocust op ‘Control Selection’: hierdoor zijn onderwerpen die in andere 2700x-versies ook beschreven zijn, niet langer in de ISO/IEC 27002 (2013) opgenomen.

Dit houdt onder andere in, dat in de ISO/IEC 27002 (2013) het aantal Control Objectives is gedaald van 39 naar 35, en het aantal Controls van 133 naar 114 – maar het aantal hoofdstukken is opgevoerd van 11 naar 14.

Wat betekent dit voor jouw organisatie?
Wat is de volgende stap?

  1. Niets doen: we zijn blij met de oude versie → niet aanbevolen
  2. Geheel ander normkader toepassen → eigen keuze
  3. Migreren naar ISO/IEC 27002 (2013) → aanbevolen

Als je optie 3 kiest (migratie naar de nieuwe norm) dan volgt:

ISO/IEC 27002 (2013)

Activiteit

Nieuwe opzet en structuur normstelsel

Updaten van de huidige IB-documentatie

Aangepaste maatregelen

Impact van aangepaste tekst met betrekking tot de reeds geïmplementeerde maatregelen bepalen, en maatregelen indien noodzakelijk aanpassen

Verwijderde maatregelen

Bepalen of de verwijderde maatregelen zijn geïmplementeerd, en welk risico zij afdekken. Vervolgens alternatieven bepalen en imple-menteren.

Nieuwe maatregelen

Reeds uitgevoerde risico-analysen toetsen aan de vernieuwde ISO/IEC 27002 (2013)

Betrokken aanbieders in het securityveld werken naar zo snel als mogelijk met de nieuwe ISO/IEC 27002 (2013) normstelling, die naar verwachting in november 2013 wordt uitgebracht.

Je hebt wellicht een andere focus en agenda. Ook ben je misschien niet per sé in staat direct te overzien of, en zo ja wat, de eventuele gevolgen voor de bij jullie geïmplementeerde maatregelen zullen zijn.

Vind je het her-bezien van de status van informatiebeveiliging (Techniek, Organisatie en Mens) binnen jouw organisatie van belang? Dan zul je ook blij zijn met ons intiatief, een Assessment ISO/2013 aan te bieden.
Neem contact op voor meer informatie, bel 015- 26 82 533 of mail: info@lbvd.nl. Voor de Zekerheid.