Hoofdstuk Ontwerp: onduidelijk of onjuist gebruik NEN-ISO/IEC 27002

[RoelBrandDeurne]

Het is onduidelijk en volgens mij zelfs onjuist wat de bedoeling is met de ISO/IEC 27002 in de huidige tekst.

In de tekst staat nu:

• In lijn met de NEN-EN-ISO 27001 moeten organisaties op basis van de 27002 beheersmaatregelen selecteren en dit vastleggen in de verklaring van toepasselijkheid om zo te kunnen transparant aan te geven welke beheersmaatregelen wel of niet van toepassing zijn voor de organisatie.
• EN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. De maatregelen uit de NEN-ISO/IEC 27002 kunnen, waar nodig worden vervangen of gecombineerd met beheersmaatregelen uit andere normen en richtlijnen zoals de NEN 7510 en CSIR.

De 27001 verwijst echter helemaal niet naar de 27002. Die verwijst in 6.1.3 onder c naar Bijlage A. En die bijlage is wezenlijk verschillend van de 27002. De 27001 Bijlage A gebruikt in beheersmaatregelen het werkwoord "moeten" (shall) terwijl in de 27002 op die plaats "behoren" (should) gebruikt wordt. Moeten is dwingend. Behoren is adviserend.

Voorkom dat gebruikers van de BIO2 denken dat ze alle richtlijnen in de 27002 onverkort moeten implementeren alsof het overheidsmaatregelen uit de BIO1 waren.

Verder staat in de laatste zin van voorgaand citaat een tegenstrijdigheid tussen enerzijds het dwingend (moeten) gebruiken van de 27002 bij het formuleren van beheersmaatregelen en anderzijds de ruimte om de 27002 te vervangen door andere normen en richtlijnen. Ik stel voor hier dicht te blijven bij Opmerking 3 uit de NEN-ISO/IEC 27001 6.1.3 onder c: "De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen."

Tot slot wordt verwezen naar de Engelstalige normen. Dat lijkt me niet de bedoeling.

Voorgestelde wijziging: Herschrijf de tekst als volgt:

• In lijn met de NEN-ISO/IEC 27001 moeten organisaties uit bijlage A van die norm beheersmaatregelen selecteren en dit vastleggen in de verklaring van toepasselijkheid om zo transparant aan te geven welke beheersmaatregelen wel of niet van toepassing zijn voor de organisatie, waarom dit het geval is en deze maatregelen geïmplementeerd zijn."
• NEN-ISO/IEC 27002 behoort te worden gebruikt bij het ontwerpen van de invulling van beheersmaatregelen, waarbij een "Richtlijn" in die norm geldt als advies op basis van best-practice en nadrukkelijk niet als dwingend voorschrift. Organisaties bepalen zelf het ontwerp van beheersmaatregelen, rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden, de stand van de techniek en de uitvoeringskosten zoals bedoeld in artikel 21.1 van de NIS2.
• Organisaties mogen in aanvulling op het de beheersmaatregelen uit Bijlage A ook beheersmaatregelen selecteren uit andere normen en richtlijnen zoals de NEN 7510 en de CSIR wanneer dit passend is voor de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. Wanneer organisaties hiervoor kiezen moet dit tevens worden vastgelegd in de verklaring van toepasselijkheid.

Impact van de wijziging.

• Helderheid over dat de NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002 respectievelijk gelden als dwingend voorschrift en als advies.
• Gebruik van deze normen op de manier waarop ze bedoeld zijn.
• Voorkomen van overmatige kosten doordat organisaties slecht lezen en ongeïnformeerd de NEN-ISO/IEC 27002 integraal implementeren alsof het een dwingend voorschrift was.

Aanvullende informatie Geen

[dvebzk]

@RoelBrandDeurne Dankjewel voor de aanscherping en de heldere toelichting. Voor de terugkoppeling op jouw feedback over de 27002 / Annex A wachten wij op de publicatie van de maatregelen/richtlijnen voor de BIO2. Daaruit blijkt beter welke maatregelen en op welke manier verplicht worden. Mogelijk geeft de publicatie al voldoende duidelijkheid. We verwachten de maatregelen/richtlijnen volgende week te publiceren.

[RoelBrandDeurne]

@dvebzk, in het nieuwe hoofdstuk "BIO2 inleiding" krijg de NEN-ISO/IEC 27002 volgens mij een te zware rol. Hij wordt gelijk gesteld met de verplichte overheidsspecifieke maatregelen en richtlijnen. Dat is niet hoe de ISO27001 werkt en gaat leiden tot veel te veel kosten voor overmatige beveiligingsmaatregelen, door organisaties die denken dat de 27002 integraal moet worden geïmplementeerd.

Voorgestelde wijziging

• NEN-EN-ISO 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de reikwijdte) van dit managementsysteem. De beschreven context uit de BIO moet worden inbegrepen bij het het bepalen van de context van de organisatie.

• De verplichte overheidsspecifieke maatregelen en richtlijnen uit de BIO moet worden toegepast bij het formuleren van beheersmaatregelen, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.

• NEN-ISO/IEC 27002 behoort te worden toegepast bij het formulieren van beheersmaatregelen. De "Richtlijnen" in die norm gelden als best-practice, niet als dwingend voorschrift. Organisaties bepalen zelf het ontwerp van beheersmaatregelen, rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden, de stand van de techniek en de uitvoeringskosten.

• Waar nodig en relevant mag bij het formuleren van beheersmaatregelen verder gebruik gemaakt worden van andere normen en richtlijnen, zoals voor zorginformatie de NEN 7510 en voor Operational Technology (OT) de CSIR en IEC 62443.