ZBC Kennisbank

ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging

 

NB: Dit artikel is bijna 10 jaar oud. De wereld, informatiebeveiliging en de ISO-norm zijn intussen veranderd. Daardoor zijn veel zaken in dit artikel niet meer waar. Hierover hebben we al veel geschreven, maar Google blijft nog steeds doorverwijzen naar dit artikel. Daarom deze inleiding en een verwijzing naar actuele artikelen zoals die o.a. te vinden zijn in de rubriek Aanpak informatiebeveiliging ISO 27001 en ISO 27002.

Inhoudsopgave

  1. Verschillen normen ISO 27001 en ISO 27002
  2. Keuze tussen ISO 27001 en ISO 27002
  3. Implementatie van ISO 27001 en 27002 

1. Verschillen normen ISO 27001 en ISO 27002

Zo langzamerhand komt er meer zicht op de nieuwe set ISO 2700X normen als opvolger van de Code voor informatiebeveiliging, het VIR of ISO 17799:

  • ISO 27000: verklaring van de terminologie op het gebied van security management;
  • ISO 27001: certificeerbare norm als opvolger van BS7799-deel 2
  • ISO 27002: de nieuwe naam van de huidige ISO 17799 (vs 2005)
  • ISO 27003: handleiding (guidance) voor de invoering van ISO 27001;
  • ISO 27004: norm voor KPI’s (metrics) en het meten van informatiebeveiliging;
  • ISO 27005: norm voor risicomanagement;
  • ISO 27006: norm voor disaster recovery planning.

De eerste drie delen van de set zijn intussen in het Nederlands beschikbaar, waarbij ISO 27001 en ISO 27002 de eigenlijke normen zijn.
ISO 27001 is normatief van opzet. In ISO 27001 staan harde eisen, waaraan u als organisatie moet voldoen om gecertificeerd te kunnen worden. De eisen worden beschreven op het niveau van maatregelen welke uw organisatie moet treffen. Wat die maatregelen inhouden, wordt niet uitgewerkt. Heel vaak leidt dit tot uitgebreide discussies met certificerende instelling over de vraag welke van de mogelijke beheersmaatregelen operationeel gemaakt moeten worden. Die discussie kunt u voorkomen door te kiezen voor een normatieve methode voor risicoanalyse zoals CRAMM. Vaak leidt dat echter tot het moeten invoeren van honderden of soms zelfs enige duizenden maatregelen.
ISO 27002 (letterlijk identiek aan ISO 17799 – vs 2005) is niet-normatief van opzet en bevat best practices voor de implementatie van informatiebeveiliging. Voorgeschreven is alleen het proces via welk de norm tot stand komt: een risicoanalyse, het afspreken van de norm met alle betrokkenen en de instemming van de directie. ISO 27002 leidt altijd tot maatwerk en daardoor is certificering volgens een standaardcertificatieschema met maatregelen niet mogelijk. (Zie ook ‘Zin en onzin van certificering’.) Het is aan de auditor om te bepalen of de gekozen maatregelen in balans zijn met het risicoprofiel en de beleidsuitgangspunten. Vaak spreekt men dan niet meer over een certificaat maar over een ‘in control’-statement, wat vergelijkbaar is met certificering volgens de ISO 9000 norm, die ook niet-normatief is. Meer over de opzet van zo’n audit leest u in ‘Nu ook certificatieschema voor ISO 27002 beschikbaar’. Additioneel voordeel is, dat certificatie volgens  ISO 27002 al mogelijk is, voordat alle maatregelen geïmplementeerd zijn. 

2. Keuze tussen ISO 27001 en ISO 27002

Zo langzamerhand hebben organisaties informatiebeveiliging wel op het netvlies. Ook managers lezen de krant en zien wat er allemaal fout gaat op dit gebied. Er is tegenwoordig dan ook geen organisatie die niet al iets doet aan beveiliging. Echter lang niet altijd met succes. Fysieke en technische maatregelen roepen vaak irritatie op, worden dikwijls ontdoken en verminderen de efficiency van de bedrijfsvoering. Bij procedurele maatregelen zien we dat de mens de zwakke factor vormt en dat managers niet toezien op de naleving, omdat ze vaak het nut van de procedures niet inzien.
Het spanningsveld tussen enerzijds noodzaak en nut van beveiliging en anderzijds de financiële middelen die hier voor nodig zijn, stelt organisaties vaak voor een moeilijk dilemma. Eerst is er het traject van de implementatie. Hiervoor is een gedegen risicoanalyse noodzakelijk. Dikwijls echter tendeert zo’n risicoanalyse naar grote aantallen mogelijk in te voeren maatregelen. Vervolgens werpt zich dan ook de vraag op welke van die maatregelen nu echt nodig zijn. Meestal is dat moeilijk vast te stellen en ontstaat hierover een zinloze discussie tussen informatiebeveiligers die alle risico’s willen afdekken en managers die ook efficiency van de bedrijfsvoering en kosten meewegen. Een pragmatische methodiek voor risicoanalyse als Sprint is daarom aan te bevelen. (Zie ook ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’.)
Laten we er eens van uitgaan, dat de risicoanalyse de volgende beveiligingsbehoefte oplevert in relatie tot ISO 27001 en 27002:

iso_27001_27002_1

Figuur1: Beveiligingsbehoefte in relatie tot risicoanalyse

Het beveiligingniveau van ISO 27002 ligt uiteraard hoger dan dat van ISO 27001. ISO 27002 biedt tenslotte een complete set van best practices, waaruit gekozen kan worden.
We zien dat de beveiligingsbehoefte ten opzichte van ISO 27001 op vrijwel alle beveiligingsterreinen lager ligt dan de norm aangeeft, de norm ligt dus in feite hoger dan nodig is, terwijl er twee gebieden zijn waarop ISO 27001 niet toereikend is en waarop dus aanvullende specifieke maatregelen gedefinieerd moeten worden.
Bij toepassing van ISO 27002 hebben we de mogelijkheid om zelf het basisbeveiligingsniveau (BBN) te definiëren, zodat dit veel dichter bij de daadwerkelijke beveiligingsbehoefte komt te liggen.

iso_27001_27002_2

Figuur2: Daadwerkelijke beveiligingsbehoefte

Vaak is een specifieke maatregel slechts noodzakelijk op één afdeling, zodat ervoor gekozen kan worden het algemeen geldende basisbeveiligingsniveau hier niet op aan te passen, maar voor die ene afdeling een hoger niveau te definiëren op een bepaald punt.
Bovenstaande geldt voor de meeste kleine en middelgrote organisaties. Daarom adviseren wij deze organisaties te kiezen voor de ISO 27002 norm, als zij tenminste door hun omgeving niet verplicht zijn tot het invoeren van ISO 27001. Door gebruik te maken van sjablonen kan het invoeringsproces pragmatisch worden ingevuld. (Zie ook ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 (=17799)’.) Additioneel voordeel is, dat de acceptatie van de norm veel hoger ligt (deze is tenslotte in samenspraak met de betrokkenen opgesteld) en dat het toezicht op de naleving beter is (efficiency verstorende maatregelen zijn veelal vervangen door betere maatregelen). 

3. Implementatie van ISO 27001 en 27002

Zoals gezegd, ISO 27001 is nieuw en er is dus nog slechts weinig ervaring met de implementatie van deze norm. De nieuwe ISO 27001 legt nadruk op het meten van de status van informatiebeveiliging, zonder expliciet te maken hoe dat moet. Juist op dit terrein zijn nog weinig best-practices.
Er wordt geëxperimenteerd met balanced scorecards voor informatiebeveiliging op basis van KPI’s en met het opstellen van rapportages over informatiebeveiliging in operational risk management rapportages. Het is echter nog pionieren; de richtlijnen voor het implementeren van de ISO norm op dit gebied zal nog jaren op zich laten wachten.
Een pragmatische  toepassing van ISO 27001 wordt gehinderd door de enorme nadruk die wordt gelegd op het uitvoeren van de risicoanalyse, terwijl de uitkomsten van diezelfde risicoanalyse door het abstracte karakter soms nauwelijks te interpreteren zijn: na een lange analyse weten dat autorisatiemanagement belangrijk is, is één ding, maar de systeembeheerder wil toch vooral weten hoe dat dan moet.
Bij een kleine organisatie lijkt uitvoering van de formele eisen in
ISO 27001, zoals risicoanalyse, documentatiemanagement, directiebeoordeling, audit en preventief en correctief onderhoud op overkill. Pragmatiek is nodig, maar kan leiden tot discussie met de certificeerder, die wellicht een andere mening heeft over de mate van pragmatiek.
ISO 27002 implementatie is voor kleinere en middelgrote organisaties goed haalbaar en bijzonder nuttig. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’). De kwaliteitsverbetering (niet alleen met betrekking tot informatiebeveiliging) die bereikt wordt in een dergelijk traject  is groot.
Uiteraard zullen veel informatiebeveiligers en auditors als normatieve denkers liever kiezen voor ISO 27001. (Zie ook ‘Normatief denken is dodelijk voor de klantgerichtheid’.) Als hier echter geen noodzaak voor is en uw beveiligingsbehoefte is niet duidelijk bovengemiddeld, dan is dit meestal een slechte keuze.

Herziene versie: 8 oktober 2010
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 22 maart 2008 | Copyright: ZBC


3 Responses to “ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging”

  1. […] ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging […]

  2. […] Zo zijn wij beveiligd volgens de richtlijnen van de PCI-DSS “Data Security Standards” en de ISO/IEC 27002 “Information Security Standards”. Dit houdt in dat de toegang aan derden op je gegevens […]

  3. Jahan schreef:

    Veel organisaties zijn zich er niet bewust van wat er gebeurd als gevoelige informatie op straat komt te liggen. Men denkt dat technische maatregelen voldoende zijn omdat de ICT-afdeling dat roept. Dat is meestal een fabeltje, want het werkelijke gevaar ligt ergens anders …

    Zelf help ik organisaties om zich bewust(er) te worden van de werkelijke knelpunten die ertoe doen!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *