Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

Voor veel organisaties is certificering ofwel het kunnen afgeven van een ‘in control’-statement over hun informatiebeveiliging belangrijk. Als u de niet-normatieve norm ISO 27002 goed interpreteert, biedt deze u de mogelijkheid om via een pragmatische aanpak in slechts enkele maanden dit certificaat te krijgen. U hoeft slechts maatregelen te treffen conform uw risicoprofiel en alle niet relevante maatregelen kunt u schrappen. Tijdens het webseminar ‘Pragmatische aanpak informatiebeveiliging volgens ISO 27002 of NEN 7510’ gaan we in op hoe u zo’n traject kunt uitvoeren op basis van sjablonen en geven we u tips vanuit de praktijk.

Gemeenten, provincies, waterschappen enzovoort worden zo langzamerhand gestoord van wat er, vooral ongecoördineerd, aan beveiligingseisen op hen afkomt. Vaak beschikken ze niet over de expertise en de capaciteit om adequaat aan al die eisen te voldoen. Pro-actief ISO 27002 invoeren kan een duurzame oplossing zijn voor dit probleem, tegen op termijn lagere kosten.

ISO ISO 27001 is een normatieve norm (baseline) waarop u gecertificeerd kunt worden. ISO 27002 (voorheen 17799) bevat best practices op basis waarvan u een op de risicoanalyse afgestemd basisbeveiligingsniveau kunt bepalen. Vooral voor kleinere en middelgrote organisaties bevat ISO 27001 vaak te veel overbodige eisen. Maar oordeelt u zelf.

De match tussen de maatregelen die ISO 27002 (=17799) voorschrijft en de risico’s die een organiatie loopt, is een keuzeproces. In dit artikel is in de vorm van een voorbeeld een methodiek uitgewerkt, waarmee deze match gemaakt kan worden en waarmee tegelijkertijd overbodige maatregelen worden geëlimineerd.

In dit artikel een voorbeeld van een aanpak om het basisbeveiligingsniveau volgens de norm ISO 27002 (is 17799) vast te stellen en de weergave van een maatregelenset. De aanpak houdt rekening met beleidsuitgangspunten en het belang dat de betrokkenen hechten aan de verschillende maatregelen. Zo wordt de basis gelegd voor awareness en commitment.

Vaak wordt ISO 27002 (=17799) opgevat als een absolute norm met meer dan 100 verplichte maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan het management de eigen norm kan vaststellen. Geen verplichting dus, maar een keuze, waardoor awareness vaak geen issue meer is en er een werkbare implementatie mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.