ZBC Kennisbank

ISO 27001 of 27002 lean en mean implementeren als security management systeem

 

Inhoudsopgave

  1. Informatiebeveiliging een grabbelton?
  2. ISO 27002 is een kwaliteitssysteem
  3. Vaststellen beleidsuitgangspunten
  4. Opstellen risicoprofiel
  5. Vaststelling van het basisbeveiligingsniveau
  6. Procesimplementatie
  7. Managementaandacht noodzaak

1. Informatiebeveiliging een grabbelton?

Er zijn  heel veel maatregelen mogelijk om de informatiebeveiliging te verbeteren. Een keus maken uit die vele honderden maatregelen lijkt soms op grabbelen in een grabbelton. Vaak worden er heel veel maatregelen geimplementeerd, eventueel ondersteund door een geautomatiseerd tool. Dat dit niet gaat werken, hoeft geen betoog. Want wat moet bijvoorbeeld een overheid met allerlei maatregelen op het gebied van vertrouwelijkheid, als door de Wet Openbaarheid van Bestuur veel vertrouwelijke gegevens opgevraagd kunnen worden?
De winst van ISO 27002 is, dat organisaties niet meer verplicht worden tot de invoering van heel veel maatregelen, maar dat zij kunnen kiezen voor een relevante set van maatregelen afgestemd op hun beleid en risicoprofiel. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Want niet de norm is bepalend1. Bepalend zijn de beleidsuitgangspunten en het risicoprofiel van de organisatie, waarbij de ISO-norm geldt als een set van ‘best practices’. Daarmee wordt voorkomen dat maatregelen niet worden geaccepteerd. Want dat gebeurt wanneer zinloze regelgeving wordt ingevoerd.
Een organisatie heeft met betrekking tot in te voeren maatregelen drie keuzemogelijkheden:

  • Een maatregel wordt zo snel mogelijk geïmplementeerd.
  • Een maatregel wordt gepland.
  • Als de organisatie van mening is, dat voor haar een maatregel niet relevant is, dan geldt het principe: ‘pas toe of leg uit’.

Resultaat is een relevant stelsel van geïmplementeerde of geplande maatregelen, die beoordeeld kunnen worden door een certificerende instantie, die primair kijkt naar de evenwichtigheid van de besluitvorming en de naleving van de geïmplementeerde maatregelen. (Zie ook ‘Nu ook certificatieschema voor ISO 27002 beschikbaar’.) Certificering is al mogelijk, voordat alle geplande maatregelen zijn geïmplementeerd. Want tijdens de audit vindt beoordeling plaats op basis van het criterium ‘in control’. Hiermee is certificering op basis van ISO 27002 vergelijkbaar met certificering volgens de Code Tabaksblat of certificering op basis van ISO 9000. Het is immers mogelijk om zowel het Amstel Hotel als McDonalds te certificeren op basis van ISO 9000, terwijl men toch tussen deze restaurants een verschil in service- en productkwaliteit mag verwachten.
De in dit artikel beschreven werkwijze om te komen tot een security management systeem is voorgelegd aan een certificerende instantie en goedgekeurd.

De ISO-normen voor informatiebeveiliging worden momenteel gewijzigd. De oorspronkelijke versie van dit artikel is geschreven voordat de contouren van de nieuwe ISO 27001 en ISO 27002 bekend waren. De nieuwe norm stelt meer nadrukkelijk centraal het risicoprofiel voor informatiebeveiliging en de keuzes die het management van een organisatie kan en mag maken voor het wel of niet accepteren van bedrijfsrisico’s. Hierdoor kan een organisatie ISO 27001-gecertificeerd worden, zonder dat er ook maatregelen moeten worden ingevoerd, die voor de organisatie in feite overbodig zijn. Dat betekent minder bureaucratie. Organisaties worden hierdoor dan ook niet meer opgescheept met de hoge kosten, die vaak elk draagvlak doen verdwijnen.
In theorie was een lean and mean aanpak conform de ISO 27001-norm wel mogelijk. In de praktijk echter speelden adviseurs en auditors liever op safe en werden de controls uit ISO 27002 vaak toch verplicht gesteld, hoewel dit strikt genomen niet werd voorgeschreven. Kernvraag was vaak de vraag of de situatie veilig was. 100% veiligheid bestaat echter niet. Daarom moet de vraag centraal staan of een organisatie bereid is een bedrijfsrisico te accepteren en welke maatregelen voor de organisatie aanvaardbaar zijn om dit risico te verminderen. In het artikel ’Revisie ISO 27001 en ISO 27002′ leest u meer over de nieuwe opzet voor ISO 2700X.
In onze oorspronkelijke benadering stond ISO 27001 voor de door veel adviseurs en auditors voorgestane bureaucratische compliance aanpak en ISO 27002 voor een pragmatische risk-driven benadering. In dit perspectief moet u dit artikel lezen, waarbij gezegd moet worden dat in de nieuwe invulling van ISO 2700X  onze pragmatische benadering ook bruikbaar is voor de invulling van uw informatiebeveiliging conform de ISO 27001-norm.

2. ISO 27002 is een kwaliteitssysteem

ISO 27002 wil een security management systeem zijn en daarmee geen eenmalig project, maar een proces in de organisatie. ISO 27002 is dan ook opgezet als een kwaliteitssysteem. Voorwaarde voor continue verbetering is de verbetercyclus die deel uitmaakt van dit systeem. De regie van het geheel ligt bij het managementteam of de directie. De implementatie in de organisatie wordt doorgaans wel projectmatig aangepakt.
Het overall model voor de implementatie wordt weergegeven in het volgende model:

iso27002_6

Op basis van de beleidsuitgangspunten, het risicoprofiel en de doelstellingen van ISO 27002 wordt eerst een set aan maatregelen gedefinieerd, die geldt als het basisbeveiligingsniveau voor de gehele organisatie. Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele organisatie gelden. Vervolgens wordt de planning- en controlcyclus geïmplementeerd, waarmee feedback op de naleving wordt gegeven, zodat bijgestuurd en verbeterd kan worden. In de volgende hoofdstukken zullen we per stap deze aanpak bespreken.

3. Vaststellen beleidsuitgangspunten

De eerste stap is het vaststellen van de voor de informatiebeveiliging relevante uitgangspunten. Hiervoor kan gebruikt gemaakt worden van een checklist met een 40  tot 50 mogelijke uitgangspunten, waaruit de directie of het managementteam keuzes maakt. Als deze keuzes bepaald zijn, is het opstellen van een richtinggevend beleidsdocument een invuloefening. (Zie ‘Statuut Informatiebeveiliging’.) Een aantal voorbeelden van mogelijke beleidsuitgangspunten is weergegeven in het volgende schema:

iso27002_2

Uiteraard moet ervoor gewaakt worden, dat beleidsuitgangspunten niet ambitieuzer gekozen worden dan nodig is. Zo lijkt bijvoorbeeld de volledige toepassing van het ‘need to know’-principe redelijk. De kosten van dit algemene uitgangspunt zijn echter hoog en in de praktijk moeten vaak uitzonderingen gemaakt worden voor ICT-beheerders, functioneel applicatiebeheerders, secretaresses en bijvoorbeeld medewerkers van de afdeling documentmanagement. Door de maatregel niet te treffen wordt dan voor deze mensen juist de kwaliteit van de beschikbare informatie vergroot.

4. Opstellen risicoprofiel

Het risicoprofiel kan op meerdere wijzen worden samengesteld. In ieder geval kan het door betrokkenen te interviewen. Hiervoor kunnen bestaande methodieken worden gebruikt. Te denken valt aan Cramm, de A&K-analyse behorend bij het VIR of aan methodieken met een meer bedrijfsmatige invalshoek zoals SARA of SPRINT van het ISF. Deze methodieken hebben als nadeel, dat zij meestal behoorlijk tijdrovend zijn en allemaal een tool bevatten, dat een diarree aan maatregelen produceert om de risico’s af te dekken. Als dit tool niet wordt gebruikt, dan zal de risicoanalyse niet aansluiten bij de ISO-norm. Alleen voor SPRINT is de vertaalslag te maken (zie ook ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’), maar bij Cramm en de A&K-analyse is dit vrijwel onmogelijk. Daar echter SPRINT niet uitgaat van een basisbeveiligingsniveau, maar van het maximaal vereiste niveau, heeft ook SPRINT zijn nadelen.
Wij bevelen daarom aan de risicoanalyse te doen aan de hand van een stoplichtmodel. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.) Dit model volgt de ISO-doelstellingen. Bovendien biedt het model de mogelijkheid om de maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden, hetzij binnen het basisbeveiligingsniveau, hetzij in de vorm van additionele maatregelen.
Voordeel van het stoplichtmodel is, dat het het beveiligingsniveau visueel weergeeft, waardoor het mogelijk wordt om in een stapsgewijze verbetering het beveiligingsniveau van de organisatie te verhogen. Voor het management is de besluitvorming overzichtelijk. Het management wordt niet gedwongen ook diepgaand verstand te krijgen van informatiebeveiliging. Het kan zich beperken tot risk management en zicht houden op de status via bijvoorbeeld het volgende schema:

iso27002_3

 

5. Vaststelling van het basisbeveiligingsniveau

Op grond van de risicoanalyse wordt het basisbeveiligingsniveau (BBN) vastgesteld. Meestal wordt deze exercitie al voor de interviewronde een keer uitgevoerd met de ICT-manager en de security manager, om vast te stellen welke maatregelen al getroffen zijn en welke omissies er zijn. Dit voorkomt dat tijdens de interviews steeds weer gediscussieerd wordt over zaken die mogelijk allang zijn geregeld. We mogen er tenslotte vanuit gaan, dat het bestaande beveiligingsniveau redelijk adequaat is. Als dit namelijk niet het geval zou zijn, waren er wel eerder problemen gerezen, die de organisatie gedwongen had tot ingrijpen.
Een voorbeeld van een sjabloon dat hiervoor gebruik kan worden is hieronder gedeeltelijk weergegeven:

Het gebruik van dit sjabloon voor het BBN is uitgewerkt in het artikel ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002’.

6. Procesimplementatie

Doorgaans moet ook de nodige aandacht besteed worden aan de inrichting van het proces. De meeste organisaties zijn nogal ‘doenerig’ ingesteld, zodat vaak gedacht wordt, dat als de maatregelen ingevoerd zijn de informatiebeveiliging geregeld is. Dat is echter een illusie.
Van groot belang is de inrichting van de interne controle (IC) op de informatiebeveiliging. Hierdoor wordt gemonitord welke incidenten plaatsvinden en of de maatregelen nog steeds adequaat zijn. Op grond hiervan vindt terugkoppeling plaats naar de directie of het managementteam en naar de verantwoordelijken voor de informatiebeveiliging, zodat het verbeterproces geborgd wordt.
De IC-functie is in de meeste bedrijven primair gericht op de controle van de financiële stromen. Voor de interne controle op de informatiebeveiliging zal daarom vaak nog een functionaris aangewezen moeten worden. Uitbesteding kan een alternatief zijn. Doorgaans brengt dat echter hogere kosten met zich mee. Ook is meestal de procedure voor het goedkeuren van investeringen en wijzigingsvoorstellen niet geregeld. Hierbij gaat het erom dat gecheckt moet worden wat de impact is van een investering of een wijziging op de informatiebeveiliging. Mogelijk maken investeringen en wijzigingen het definiëren van aanvullende maatregelen noodzakelijk.
Ook hier biedt het stoplichtmodel als rapportage systeem voor risk-management grote voordelen. Het management hoeft zich niet te verdiepen in de maatregel zelf, maar houdt zich slechts bezig met het kleurenschema van het stoplichtmodel, dat in de tijd steeds meer moet tenderen van rood naar groen. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.) Bovendien voorkomt het stoplichtmodel dat risicoanalyses te vaak herhaald moeten worden en daarmee dat de organisatie te zwaar belast wordt.

7. Managementaandacht noodzaak

Bedrijven die niet gedwongen willen zijn tot het invoeren van een willekeurige set van maatregelen die niet afgestemd is op het risicoprofiel en het bedrijfsbeleid hebben met ISO 27002 een alternatief (zie ook de opmerking hierboven bij 1). Er hoeft geen sprake te zijn van een schimmenspel en een woud van verwijten tussen beveiligers en het management. Er is een aanpak die past bij de beveiligingsbehoefte van de organisatie.
Deze aanpak kan in hoge mate gestandaardiseerd worden, waarbij in tegenstelling tot klassieke informatiebeveiligingsprojecten de nadruk niet ligt op de moeizame implementatie van onbegrepen maatregelen maar op de selectie van adequate maatregelen. Met deze aanpak zijn Awareness en commitment geen probleem. (Zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.) Want de beveiligingsadviseur is een professionele dienstverlener, die in opdracht van de organisatie werkt. Informatiebeveiliging is dan een volwassen bedrijfsproces dat structureel is ingebed in de organisatie.
Natuurlijk kunt u externe adviseurs inhuren om dit voor u te regelen. Die adviseurs moeten zich dan wel beperken tot een coachende rol, zodat de kosten beperkt blijven. Om echter de continuïteit van de informatiebeveiliging binnen uw organisatie te waarborgen, is het waarschijnlijk nog beter onze ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ te volgen (eventueel met een collega, zodat u tevens een backup hebt). U leert dan in drie dagen zelf op een pragmatische wijze de risico’s in uw organisatie te bepalen en hiertegen adequate maatregelen te treffen op een wijze die auditproof is.

Voor een nieuwere versie van dit verhaal verwijzen we u graag naar ‘Pragmatische aanpak informatiebeveiliging’. Dit is een presentatie met een toelichting, die u kunt gebruiken voor uzelf of voor interne presentaties aan bijvoorbeeld de directie.

Eerdere versies: 2 november 2009, 17 november  2010, 29 december 2010
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 6 december 2011 | Copyright: ZBC


6 Responses to “ISO 27001 of 27002 lean en mean implementeren als security management systeem”

  1. […] gaat de ISO 27001 norm uit van volwassen directies, die handelingsbekwaam zijn (zie ook ‘ISO 27001 of 27002 lean en mean implementeren als security management systeem’), en waarbij organisaties de ruimte krijgen om in hun keuzes een kosteneffectief optimum te […]

  2. […] handvat om uw informatiebeveiliging overtuigend voor uw klanten te beschrijven. In het artikel ‘ISO 27001 of 27002 lean en mean implementeren als security management systeem’ wordt een pragmatische aanpak beschreven om uw informatiebeveiliging op deze wijze op orde te […]

  3. van Geest schreef:

    Hartelijk dank voor uw uitleg meneer Zijlstra! Erg gewaardeerd!

  4. van Geest schreef:

    Excuus, ik bedoel in het voorbeeld noodzaak (3) en ernst (4), dus 3.4.

    • wiebe schreef:

      De noodzaak (eerste getal) wordt ingevuld in het schema van het Basisbeveiligingsniveau. Per item uit de ISO norm wordt de beheersmaatregel aangegeven met een, twee of drie plusjes of een nul. (Dus 0-3).
      De ernst (tweede getal) is in feite een inschatting van de kans op voorkomen maal de schade. Hiervoor gebruiken we de cijfers 1 t/m 4. In werkelijkheid zul je de cijfers niet laten zien, maar alleen de kleurtjes. Ik heb ze in dit artikel wel weergegeven om dit beter inzichtelijk te maken. Meer uitleg over deze werkwijze vind je in Managementrapportage risicoprofiel informatiebeveiliging ISO 27002

  5. van Geest schreef:

    Kan iemand mij uitleggen wat de cijfers betekenen in het stoplichtmodel? Is dit de noodzaak (3) en de ernst (3), wat zich laat vertalen naar bijvoorbeeld 3.4?
    Of stelt het een bepaalde factor/prioriteit voor?

    Ik ben bezig met een afstudeerproject en vindt het stoplichtmodel een fraai hulpmiddel, maar voor alsnog vind ik de cijfers erg verwarrend.

    Bij voorbaat hartelijk dank voor enige uitleg.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *