Revisie ISO 27001 en ISO 27002
De huidige versies van de ISO 27001- en de ISO 27002-norm werden destijds via de quick and dirty-methode afgeleid van een serie reeds bestaande normen. Momenteel zijn nieuwe versies van beide normen in de maak. De belangrijkste wijzigingen in de praktijk zullen zijn, dat de normen meer in lijn zijn met ISO-standaards en dat ISO 27001 niet meer alle controls uit ISO 27002 verplicht stelt. Het principe van ‘pas toe of leg uit’ zal gelden. Hierdoor komt het officiële ISO 27001-certificaat ook binnen bereik van organisaties met een lager risicoprofiel, die tot dusver hun heil moesten zoeken in een ‘in control’-statement conform ISO 27002.
In juni 2011 werd tijdens een door het NEN georganiseerde sessie de toekomst van de ISO-normen voor informatiebeveiliging uit de doeken gedaan. De normen bestaan grotendeels in draft-versies, maar een aantal principiële keuzes is gemaakt. De belangrijkste daarvan is, dat ISO 27001 niet meer alle beheersmaatregelen uit ISO 27002 verplicht stelt. Alternatieve maatregelen zijn toegestaan. Verder geldt het principe ‘pas toe of leg uit’. Zeker voor organisaties met een lager risicoprofiel dan bijvoorbeeld banken, centrale overheden en ziekenhuizen is dit een uitkomst. Zij hoeven niet meer een complex en duur proces in te gaan, zoals dat bij ISO 27001 vaak werd opgetuigd. Wanneer zij helder het informatiebeveiligingsbeleid formuleren en scherp de beleidsuitgangspunten definiëren op basis van het risicoprofiel, kunnen zij vervolgens pragmatisch een baseline kiezen voor de gehele organisatie. Slechts voor de processen met een hoger risicoprofiel, waarvoor een hoger beveiligingsniveau nodig is, worden dan aanvullende maatregelen gedefinieerd.
Groot voordeel is dat dit de efficiency van de bedrijfsvoering niet vermindert en dat het ‘awareness probleem’ bij het management zo minder speelt. Strikt genomen is dit ook in de huidige situatie al mogelijk. De onderbouwing die auditors echter eisen bij ‘pas toe of leg uit’, is vaak zodanig, dat het meestal gemakkelijker is om een maatregel dan toch maar in te voeren.
Het komt er dus op neer dat ISO 2700X nu ook voor organisaties met een lager risicoprofiel een goed bruikbaar handvat wordt om ‘het informatiebeveiliging op orde te brengen, zonder dat ze daarvoor een draconisch traject moet opstarten met honderden maatregelen of meer en tegen hoge kosten, waarvoor bij het management geen draagvlak te verkrijgen is. Honderd procent beveiliging is immers een illusie. De risico’s die een organisatie wil afdekken, moeten het uitgangspunt zijn. (Zie ook ‘Kosten en baten van beveiliging’) Het gaat niet om honderd procent veilig, het gaat om veilig genoeg, gezien de doelstellingen van de organisatie. Mooi meegenomen is, dat hier ook een certificaat voor verkregen kan worden.
Het ISO 27000-bouwwerk voor informatiebeveiliging
De structuur van het totale ISO 2700X-bouwwerk was ook eerder al bekend. De bestaande onderdelen echter pasten hier nog niet echt goed in. Er was teveel overlap. In de nieuwe structuur is er een betere afbakening.
Aan de jaartallen kunt u zien dat het hele bouwwerk dus op de schop gaat.
Het belang van de nieuwe ISO 27000 wordt groter. Alle termen en definities worden uit de andere standaards gehaald en ondergebracht in ISO 27000. Dit geldt ook voor de beschrijving van het ISMS (Information Security Management System), dat nu nog uitgebreid wordt beschreven in ISO 27001. Op dit moment bestaat de derde Working Draft van ISO 27000 en zal het nog minimaal 1-2 jaar duren voor de nieuwe ISO 27000 norm beschikbaar is.
Ook de meeste andere normen zijn nu in ontwikkeling. De jaartallen in het schema geven aan wanneer de nieuwe normen naar verwachting beschikbaar zullen zijn.
Belangrijk uitgangspunt is, dat de verschillende normen niet meer overlappen en er een duidelijk onderscheid komt.
Revisie ISO 27001
ISO 27001 specificeert de eisen voor de opzet, de implementatie, de uitvoering, de bewaking, het onderhoud en de verbetering van een gedocumenteerd ISMS binnen de context van de bedrijfsrisico’s. Cruciaal hierin is de verbetercyclus.
Alleen op basis van ISO 27001 kan een formeel certificaat worden verkregen. Hierbij geldt dat de invoering van alle controls uit ISO 27002 niet langer verplicht is.
Voorts wordt ISO 27001 in lijn gebracht met ISO 31000 (Risk management – principes en richtlijnen) en met de ISO Guide 83, de algemene beschrijving van management systemen conform ISO. Hierdoor wordt de integratie tussen ISO 27001 en andere kwaliteitsmanagement systemen verbeterd.
Wel betekent dit, dat de hoofdstukindeling van het huidige ISO 27001 aanzienlijk zal veranderen.
De eerste Committee Draft is nu beschikbaar. Als het meezit, komt de definitieve versie begin 2013 beschikbaar.
Revisie ISO 27002
De revisie van ISO 27002 is minder complex. De belangrijkste aanpassing zit in de titel. Nu staat nog in de titel: “Code of practice for information security management”. Dit wordt na revisie: “Code of practice for information security controls”. ISO 27001 gaat dus over de ‘ISMS policy’. ISO 27002 gaat over de ‘information security policy’.
Daarnaast worden aanpassingen gedaan die de vele doublures in ISO 27002 zullen verminderen. Verder worden gedateerde maatregelen vervangen of geschrapt.
De vierde Working Draft is nu beschikbaar. Waarschijnlijk komt de definitieve versie in de loop van 2013 beschikbaar.
De benadering van ZBC
In veel artikelen op onze site distantiëren we ons van ISO 27001, vanwege de verplichte controls die in de bijlage aan ISO 27001 worden toegevoegd. ISO 27002 schrijft al deze controls op zich niet voor. Daarom hebben wij wij organisaties met een lager risicoprofiel altijd geadviseerd te kiezen voor ISO 27002. Hieraan voegden we wel toe, dat ISO 27002 als een ISMS geïmplementeerd moet worden. (Zie ook ‘ISO 27001 of 27002 lean en mean implementeren als security management systeem’.) Ook de managementverantwoordelijkheid en de verbetercyclus kregen bij ons veel aandacht. In het artikel ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’ geven we een pragmatische werkwijze, waarmee dit gerealiseerd kan worden. Kortom, in onze benadering gooiden we alles wat door de verplichte controls van ISO 27001 gezien het risicoprofiel van de organisatie ballast was, al overboord. Kortom, de benadering die wij als ZBC al jaren propageren op onze site als ISO 27002, geeft in de toekomst ook de mogelijkheid tot certificatie op basis van ISO 27001.
Auteur: Wiebe Zijlstra | 15 september 2011 | Copyright Wiebe Zijlstra
Gerelateerde artikelen:
- ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging
- Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510
- Lagere overheden kiezen steeds vaker voor ISO 27001 of 27002 als norm voor de informatiebeveiliging
- ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
- Nu ook certificatieschema voor ISO 27002 beschikbaar
- Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510
- Nieuwe NEN 7510 norm in de zorg schuift op naar ISO 27002
- Uw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS
Tijdens mijn dagelijkse routine Email doornemen viel mijn oog op dit artikel. Eens lezen wat er aan staat te komen. Met enige verbazing lees ik hier een stelling die ik niet kan plaatsen. Ik sluit me dus bij Ernst aan in zijn bezwaren. Het “verplicht” invoeren van de hele controlset is mijns inziens eerder het gevolg van een onjuist uitgevoerde risico- en business impact analyse en daarmee een ongewenst gevolg in plaats van een verplichting. De controls zijn geschreven als mitigerende maatregel tegen een reëel risico. Wanneer als voorbeeld een bedrijf geen software ontwikkeling in huis heeft, zijn de controls voor software ontwikkeling ook niet van toepassing.
De fout die vaak wordt gemaakt is dat het risico onjuist wordt geanalyseerd en er vaak geen goed beeld bestaat binnen de organisatie om een bedrijfsrisico te bepalen en te wegen. Daarbij zie ik o.a. de veelvoorkomende valkuil, die met het volgende voorbeeld duidelijk wordt;
- Risico voor brand is er niet, we hebben een sprenkler installatie en brandwerende deuren. Onjuist, dit zijn al mitigerende maatregelen,
- Bliksem is een risico voor gegevens en programmatuur, want bij blikseminslag kan het computersysteem defect raken. Onjuist, dit is een indirect gevolg. Gegevens en programmatuur zouden een risico (beschikbaarheid) kunnen lopen bij het defect raken van een computersysteem, het risico is dus technisch defect raken van een computersysteem.
Ook de BVI wordt vaak onjuist gehanteerd.
Dat de organisatie vervolgens niet aan de auditor kan uitleggen dat een sub-set van de norm voldoet is niet het gevolg van een vermeende verplichting. Ik denk dat hier overigens ook voor de auditor een rol is weggelegd. Dat door onjuiste risicobepaling een te grote maatregelenset is ontstaan mag niet aan de aandacht ontsnappen en een advies / aantekening hierover moet in het rapport terugzet vinden zijn. Dit is een andere kwestie dan de inhoud van dit artikel.
Ik ken ook geen tekst uit de ISO27001 die deze vermeende verplichting stelt.
Ook verbied de norm niet dat er eigen aanvullende maatregelen worden opgesteld, zoals b.v. bij Cloud Computing heel zinvol kan zijn.
Wel ben ik het eens met de schrijver dat sommige organisaties de aanpak veel te groot opblazen en het pragmatische, wat risicobeheersing nodig heeft, uit het oog verliezen. Daardoor wordt “het bestaan en de werking” van het ISMS een blok aan het been van het management EN de uitvoerende organisatie.
Als ISO en security consultant heb ik bij meerdere organisaties de 27001 en 27002 geïmplementeerd, altijd met een sub-set van controls, waarvoor een certificaat is behaald.
Dit soort artikelen mag best scherp geschreven worden en uitdaging hoort daarbij, onjuistheid past niet bij deze goede informatiebron.
Ernst
Bedankt voor je compliment. Je kanttekeningen zijn terecht, maar ik denk niet dat we het oneens zijn. Mijn schrijfstijl is niet altijd politiek correct en vaak wat provocerend.
Dat het een zware bevalling was om tot de eerste versie van ISO 27001 te komen, kan ik me goed voorstellen. Je geeft aan, dat het probleem vooral politiek van aard was. Ik noem het quick en dirty omdat zoveel mogelijk uit daarvoor bestaande normen is overgenomen om draagvlak te verkrijgen. Dat het onvergelijkbaar was met andere ISO-normen werd voor lief genomen. Die correctie wordt nu uitgevoerd.
We zijn het geheel eens, dat ISO 27001 ook voor kleinere organisaties al haalbaar was. Dit heeft me echter zware gevechten met auditors opgeleverd.
Onze implementatie aanpak beschrijft ook een risico analyse, een pragmatisch ISMS en een verbetercyclus en strikt genomen voldeden we zo ook aan 27001. Maar ik wil me duidelijk onderscheiden van veel grotere bureaus, die loodzware trajecten optuigen ten koste van hun klant. Daar zet ik me tegen af en niet tegen mensen zoals jij, die ISO 27001 implementeren zoals het hoort. In de nieuwe versie van 27001 wordt nu expliciet aangegeven dat de controls niet verplicht zijn. En dat werd door veel adviseurs en auditors tot nu toe onder het tapijt geveegd.
Wiebe,
Mooi overzicht over de komende updates.
Twee belangrijke kanttekeningen. Je schrijft:
“De huidige versies van de ISO 27001- en de ISO 27002-norm werden destijds via de quick and dirty-methode afgeleid van een serie reeds bestaande normen.”
Het genoemde citaat lijkt te suggereren – maar wellicht lees ik het verkeerd – dat dit allemaal snel (quick) en onzorgvuldig (dirty) gelopen is.
Niets is minder waar. Het heeft vele jaren geduurd om met name de G5 landen te overtuigen van nut en noodzaak van 1 wereldstandaard voor informatiebeveiliging. Uiteindelijk is in 2005 vrijwel unaniem ISO27001 aanvaard.
Aan dat proces hebben vele duizenden experts in veel landen meegewerkt. Ik was daarbij als lid van de NL normcommissie en heb uren doorgebracht in conference calls met ander vakgenoten uit de UK, Australie, US, Japan en andere landen.
Beslist geen quick-and-dirty (jouw kwalificatie; de juiste ISO term is ‘fast track’) aanpak. Integendeel; alle betrokkenen hebben juist voorzichtig gehandeld om alle experts ‘mee te krijgen’ op dit belangrijke pad.
Ook schrijf je:
“In veel artikelen op onze site distantiëren we ons van ISO 27001, vanwege de verplichte controls die in de bijlage aan ISO 27001 worden toegevoegd.”
Dat ZBC behoorlijk gekant is tegen ISO 27001 was me duidelijk. Ik heb meerdere malen aan organisaties moeten uitleggen – die op deze website nuttige informatie over ISO 27001 vonden – dat het tweede deel van het citaat hierboven onjuist is. Dat schaadt deze norm en indirect ook het vakgebied.
Al sinds de eerste versie van wat toen nog BS7799 Part 2 heette, wordt nadruk gelegd op het uitvoeren van een risicoanalyse en daarna het nemen van weloverwogen besluiten over welke maatregelen wel en welke niet nodig zijn.
Vaktechnisch de enige juiste aanpak. Niemand binnen normcommissies, en zeker niet binnen ISO, dwingt organisaties om maatregelen te treffen.
De besluiten welke maatregelen een organisatie gezien de risico’s nuttig acht worden dan voor certificering gedocumenteerd in de Statement of Applicability en maakt een deel uit van het dossier zodat relaties van deze organisaties ook kunnen zien welke risico’s wel en welke niet gedekt zijn. Mooi transparant dus.
Het is dus al tien jaar zo dat organisaties zelf bepalen welke maatregelen ze treffen en zelfs met een kleine, goed beargumenteerde, set maatregelen kan een organisatie een certificaat verkrijgen.
Ik heb bijvoorbeeld recent een project begeleid bij een rekencentrum waarbij alleen de maatregelen voor beleid en fysieke beveiliging risico’s voor deze organisatie afdekken. Ze hebben slechts een tiental maatregelen uit ISO27001 Annex A geselecteerd en hebben een normaal ISO27001 certificaat gekregen.
Blijven hameren op het feit dat ISO2700 een in jouw ogen te grote set maatregelen afdwingt voor kleine organisaties is gewoon pertinent onjuist.
Ik heb nu 16 projecten gedaan met ISO27001 in de hand. Daar waren grote organisaties bij met vele duizenden medewerkers, maar ook kleine organisaties met 4 medewerkers en zelfs een eenmanszaak.
Ik begrijp gewoon niet dat ZBC dat blijft beweren. Ik ben benieuwd naar reacties van andere lezers.
Dat de komende revisie van ISO27001 dit verandert lees ik in de draft ook in het geheel niet terug.
Nog steeds is een risicoanalyse nodig om te beargumenteren welke maatregelen van belang zijn. Dat was zo en dat blijft zo.
En indien nodig of mogelijk kan een dergelijke risicoanalyse ook in een paar uur met niets anders dan een simpel spreadsheet en tekstverwerker. Als maar de juiste mensen met inzicht in de bedrijfsrisico’s aan tafel zitten.
Met andere woorden; een organisatie kan heel snel de keuze maken welke maatregelen nuttig zijn en welke niet. Niemand die ISO27001 werkelijk goed kent zal begrijpen waarom ZBC volhoudt dat je alle of vele maatregelen uit de Annex moet implementeren.