Revisie ISO 27001 en ISO 27002

De ISO-normen voor informatiebeveiliging gaan op de schop. Voor u is waarschijnlijk de belangrijkste wijziging, dat de controls van ISO 27001 slechts ingevuld hoeven worden, als dit volgens uw risicoprofiel noodzakelijk is. Dat betekent, niet meer honderden maatregelen implementeren, geen papierwinkel meer en eindelijk wordt draagvlak vanzelfsprekend.

Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510

[ 22 mei 2013 09:30 tot 24 mei 2013 17:00. 12 november 2013 09:30 tot 14 november 2013 16:30. ] Informatiebeveiliging is niet onbelangrijk, maar de keuze voor en de implementatie van adequate maatregelen om belangrijke bedrijfsrisico’s te verminderen mogen nooit gebaseerd zijn op bangmakerij en opgeblazen incidenten. Deze cursus is primair gericht op het in de praktijk beheersen van deze bedrijfsrisico’s.

Uw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS

Het Information Security Management Systeem is bij de invoering van informatiebeveiliging vaak de heilige graal en vergaande bureaucratie zijn dienaar. Het kan anders. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak en dat werkt contraproductief.

Basis voor informatiebeveiliging is vertrouwen

Informatiebeveiliging was lange tijd synoniem voor bureaucratie, hoge kosten en gebrek aan draagvlak. Bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan en wantrouwen leek de basis. Daar ISO 27002 in de praktijk een ‘lean and mean’ aanpak beter mogelijk maakte dan ISO 27001, werd ISO 27002 tot voor kort doorgaans gepropageerd als norm. Maar nu de ISO-normen voor informatiebeveiliging worden gewijzigd, zal dit, gelukkig, gaan veranderen.

Professionele informatiebeveiligers maken zich vaak ongeloofwaardig

Als risicoanalyses informatiebeveiliging van gerenommeerde accountantsbureaus geen beeld meer geven van de werkelijke bedrijfsrisico’s, dan raak je als directie van een organisatie wel in een lastig parket. In dit artikel een aantal voorbeelden en een korte analyse van dit ‘misverstand’.

ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging

ISO ISO 27001 is een normatieve norm (baseline) waarop u gecertificeerd kunt worden. ISO 27002 (voorheen 17799) bevat best practices op basis waarvan u een op de risicoanalyse afgestemd basisbeveiligingsniveau kunt bepalen. Vooral voor kleinere en middelgrote organisaties bevat ISO 27001 vaak te veel overbodige eisen. Maar oordeelt u zelf.

Nu ook certificatieschema voor ISO 27002 beschikbaar

Veel organisaties hebben het als een nadeel ervaren, dat ze niet ISO 27002 (of ISO 17799) gecertificeerd konden worden. Nu is er een certificatieschema beschikbaar, waarmee u ook voor het veel evenwichtiger ISO 27002 een certificaat kunt krijgen. In dit artikel meer over de audit.

ISO 27002, de Code voor Informatiebeveiliging nader toegelicht

Vaak wordt ISO 27002 (=17799) opgevat als een absolute norm met meer dan 100 verplichte maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan het management de eigen norm kan vaststellen. Geen verplichting dus, maar een keuze, waardoor awareness vaak geen issue meer is en er een werkbare implementatie mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Code voor Informatiebeveiliging weer up to date

De vernieuwde Code voor Informatiebeveiliging bevat een aantal nieuwe issues en legt daarnaast veel meer nadruk op de risicoanalyse. Hierdoor wint de Code aan kracht en biedt meer flexibiliteit. In dit artikel meer over de wijzigingen.