Normen voor informatiebeveiliging - een overzicht

INHOUD

• Normen voor informatiebeveiliging - een overzichtslijst
• Certificering is een concurrentievoordeel
• Tien ISO-normen voor informatiebeveiliging die u zou moeten kennen
• Andere onderwerpen in de ISO 2700x-familie van normen
• DQS - Wat wij voor u kunnen doen

Normen voor informatiebeveiliging: de ISO 2700X-familie van normen

De afzonderlijke normen voor informatiebeveiliging in de ISO 2700x-serie behandelen uiteenlopende onderwerpen op het gebied van informatiebeveiliging. De internationale norm specificeert bijvoorbeeld ISO 27001 een managementsysteem voor informatiebeveiliging (ISMS) ISO 27701 een managementsysteem voor gegevensbescherming, ISO 27017 geeft richtlijnen voor informatiebeveiligingsmaatregelen voor cloudcomputing, en ISO 27005 geeft richtlijnen voor risicomanagement op het gebied van informatiebeveiliging.

Bedrijven in alle bedrijfstakken kunnen hun voordeel doen met de systematisch gestructureerde aanpak van deze normen voor informatiebeveiliging. Hiermee kunnen vertrouwelijke gegevens worden beschermd tegen verlies en misbruik, en kunnen (potentiële) bedreigingen op betrouwbare wijze worden geïdentificeerd en verminderd. De aanpak helpt de beschikbaarheid van bedrijfs-IT-systemen te garanderen en draagt zo bij tot de optimalisering van bedrijfsprocessen, IT- en proceskosten en de minimalisering van bedrijfs- en aansprakelijkheidsrisico's.

Certificering is een concurrentievoordeel

Certificering volgens ISO 27001, bijvoorbeeld door DQS, vergt een zekere mate van voorbereiding en inspanning. Het bedrijf levert echter gedocumenteerd bewijs dat het voldoet aan de eisen voor informatiebeveiliging en maatregelen implementeert om gevoelige bedrijfsgegevens te beschermen. Dit is een duidelijk concurrentievoordeel.

10 ISO-normen voor informatiebeveiliging die u moet kennen

De onderstaande lijst geeft een informatief overzicht van de huidige status van de ISO 2700x-serie normen op het gebied van informatiebeveiliging. Alle normen zijn te koop via de ISO-website.

ISO 27001 - Eisen voor managementsystemen voor informatiebeveiliging

In tijden waarin gegevens en informatie worden verhandeld als zeldzame handelswaar, is de bescherming ervan van essentieel belang. Een goed gestructureerd managementsysteem voor informatiebeveiliging (ISMS) in overeenstemming met de norm vormt een optimale basis voor de effectieve uitvoering van een holistische beveiligingsstrategie. ISO 27001. Dit is een internationaal erkende norm voor informatiebeveiliging in particuliere, openbare of non-profitorganisaties, die niet alleen betrekking heeft op de aspecten van IT-beveiliging.

Een ISO 27001 ISMS definieert eisen, regels en methoden voor het waarborgen van de veiligheid van informatie die bescherming behoeft in organisaties. De ISO-norm biedt een model voor het vaststellen, implementeren, bewaken en verbeteren van het beschermingsniveau. Het doel is om potentiële risico's voor het bedrijf te identificeren, deze te analyseren en ze beheersbaar te maken door middel van passende maatregelen. ISO 27001 formuleert de eisen voor een dergelijk managementsysteem, die worden geauditeerd als onderdeel van een extern certificeringsproces.

U kunt dit bereiken met de norm:

• De beveiliging van gevoelige informatie tot een integraal onderdeel van de bedrijfsprocessen maken.
• Preventief waarborgen van de beschermingsdoelen vertrouwelijkheid, beschikbaarheid en integriteit van informatie
• Behoud van bedrijfscontinuïteit door continue verbetering van het beveiligingsniveau
• Sensibilisering van werknemers en aanzienlijk verhoogd beveiligingsbewustzijn op alle niveaus van het bedrijf
• Opbouwen van vertrouwen met de betrokken partijen
• Totstandbrenging van een doeltreffend risicobeheersproces

ISO 27019 - Informatiebeveiligingsmaatregelen voor de energievoorziening.

De norm ISO 27019 voor informatiebeveiliging formuleert aanvullende maatregelen voor de energiesector.

De norm helpt u bij het beveiligen van uw elektronische procescontrolesystemen die worden gebruikt voor het regelen en bewaken van de productie, transmissie, opslag en distributie van elektrische energie, gas, olie en warmte, en voor het regelen van gerelateerde ondersteunende processen.

Wat u met de norm kunt doen:

• Systematisch de beschermingsdoelen van vertrouwelijkheid, beschikbaarheid, integriteit van informatie waarborgen.
• Voortdurend verbeteren van het beveiligingsniveau en de weerstand tegen ongeoorloofde toegang
• Meer zekerheid van handelen en rechtszekerheid bereiken, de naleving van relevante compliance-vereisten verbeteren
• Het veiligheidsbewustzijn van werknemers en managers verhogen
• Een hoog niveau van vertrouwen en loyaliteit bereiken bij alle betrokken partijen
• Het aantonen van erkend bewijs van de effectiviteit van uw beveiligingsmaatregelen aan de autoriteiten, zoals de Duitse Bundesnetzagentur (BNetzA)

ISO 27006 - eisen voor certificeringsinstanties

ISO 27006 is gericht op instanties zoals DQS die certificeringen van managementsystemen voor informatiebeveiliging uitvoeren. De ISO 27006-accreditatienorm beschrijft de vereisten waaraan certificatie-instellingen moeten voldoen wanneer ze de managementsystemen van hun klanten beoordelen op ISO 27001 voor certificatie.

Dit omvat bijvoorbeeld het bewijs van gespecificeerde auditinspanningen of specificaties over de kwalificaties van auditors. De accreditatieprocessen die in de norm worden beschreven, garanderen dat ISO 27001-certificaten die door geaccrediteerde certificeringsinstanties worden afgegeven, internationale geldigheid hebben.

Wat u met deze norm kunt bereiken:

• Uniforme criteria voor certificerings-, toezichts- en hercertificeringsauditprocedures
• Waarborgen van de geldigheid van ISO 27001-certificaten
• Minimumeisen voor auditinspanning en kwalificatie van personeel dat certificatieprocedures berekent en uitvoert

ISO 27002 - richtlijnen voor controlemechanismen voor informatiebeveiliging

Het managementsysteem voor informatiebeveiliging (Information Security Management System, ISMS) volgens ISO 27001 bevat een normatieve bijlage A: Doelstellingen en beheersingsmaatregelen voor referentiemaatregelen. Deze bijlage bevat specifieke maatregelen die moeten worden geïmplementeerd als onderdeel van het managementsysteem, voor zover relevant voor de organisatie. ISO 27002 is een leidraad met aanbevelingen voor de implementatie van maatregelen uit ISO 27001.

De richtlijn is begin 2022 uitgebreid herzien en bijgewerkt. De nieuwe editie biedt informatiebeveiligingsmanagers nauwkeurige richtsnoeren voor de uitvoering, zodat geen belangrijke maatregelen voor de aanpak van informatiebeveiligingsrisico's over het hoofd worden gezien.

U kunt dit doen met de norm:

• Handreiking voor de implementatie van ISO 27001
• Implementeren van de aanbevelingen voor de maatregelen uit bijlage A van ISO 27001

ISO 27000 - overzicht en woordenlijst van managementsystemen voor informatiebeveiliging

ISO 27000 bevat termen en definities die worden gebruikt in de ISO 2700X-serie normen. ISO 27000 geeft een overzicht van managementsystemen voor informatiebeveiliging en de ISO 2700x normenreeks met de bijbehorende normen voor informatiebeveiliging.

In een verklarende woordenlijst worden de (technische) termen expliciet en formeel gedefinieerd.

Wat u met deze norm kunt doen:

• Woordenlijst: dekking van de meeste technische termen die gebruikt worden in de ISO2700x normenreeks op het gebied van informatiebeveiliging.
• Duidelijkheid over terminologie
• Duidelijk begrip van de woordenschat onder beoordelaars en beoordelaars ("een gemeenschappelijke taal")
• Overzicht van managementsystemen voor informatiebeveiliging: inleiding op informatiebeveiliging, risico- en beveiligingsbeheer, en beheersystemen

ISO 27701 - richtlijnen voor het beheer van gegevensbescherming

De norm voor informatiebeveiliging die specifiek betrekking heeft op gegevensbescherming ISO 27701 specificeert een managementsysteem voor gegevensbescherming op basis van ISO 27001, ISO 27002 (informatiebeveiligingscontroles) en ISO 29100 (gegevensbeschermingskader) om op passende wijze om te gaan met zowel de verwerking van persoonsgegevens als de informatiebeveiliging. Dit geldt zowel voor de voor de verwerking verantwoordelijken als voor de verwerkers van persoonsgegevens.

Hoe u kunt slagen met deze norm:

• Beter beheer van persoonsgegevens en informatiebeveiliging
• Eenvoudigere toepassing van gemeenschappelijke beginselen voor het beheer van informatierisico's op persoonsgegevens
• De controles binnen ISO 27001 en de verwante ISO 27002 op elkaar afstemmen en uitbreiden

ISO 27017 - gids voor informatiebeveiligingsmaatregelen in cloud-diensten

De norm ISO 27017 biedt richtlijnen voor informatiebeveiligingsmaatregelen bij cloudcomputing binnen de normen voor informatiebeveiliging.

De norm beveelt aan, ondersteunt en biedt aanvullende maatregelen voor het implementeren van cloud-specifieke informatiebeveiligingscontroles.

Wat u met deze norm kunt bereiken:

• Inzicht in de informatiebeveiligingsaspecten van cloud computing.
• Ontwerpen en implementeren van cloud-specifieke informatiebeveiligingscontroles
• Controle over de opties voor het selecteren, implementeren en beheren van informatiebeveiliging voor cloud computing

ISO 27018 - richtlijnen voor gegevensbeveiliging bij clouddiensten.

De ISO 27018-norm biedt richtlijnen om ervoor te zorgen dat leveranciers van clouddiensten passende informatiebeveiligingscontroles bieden om de privacy van de klanten van hun klanten te beschermen door de persoonlijke gegevens die aan hen zijn toevertrouwd te beveiligen.

Deze norm wordt gevolgd door ISO 27017 (Informatiebeveiligingsmaatregelen in clouddiensten), die betrekking heeft op andere informatiebeveiligingsaspecten van cloudcomputing dan alleen gegevensbescherming.

Dit is wat u met de norm kunt doen:

• Selecteer PII-beschermingscontroles als onderdeel van de implementatie van een cloud computing informatiebeveiligingsmanagementsysteem op basis van ISO 27001.
• Algemeen aanvaarde PII-beschermingsmaatregelen implementeren.
• Verdiep uw kennis, aangezien de norm is gebaseerd op ISO 27002 en op sommige gebieden verder gaat dan het algemene advies van ISO 27002
• Koppeling van OESO-privacybeginselen die zijn opgenomen in diverse wet- en regelgeving inzake gegevensbescherming

ISO 27005 - richtlijnen voor risicomanagement van informatiebeveiliging.

De ISO 27005-norm geeft richtlijnen voor het risicomanagement van informatiebeveiliging en ondersteunt de algemene concepten hierover in ISO 27001.

ISO 27005 is ook bedoeld ter ondersteuning van de implementatie van informatiebeveiliging op basis van een risicomanagementconcept.

U kunt dit doen met de norm:

• Informatiebeveiliging implementeren op basis van een risicomanagementbenadering.
• Definitie van de risicomanagementcontext
• Kwantitatieve of kwalitatieve beoordeling (d.w.z. identificatie, analyse en evaluatie) van relevante informatierisico's
• Voortdurende controle en evaluatie van risico's, risicobehandelingen, vereisten en criteria
• Passende behandeling van risico's
• Voortdurende communicatie met alle belanghebbenden

ISO 27007 - gids voor het uitvoeren van audits voor ISMS

ISO 27007 is een gids voor het uitvoeren van audits en is bedoeld voor interne en externe auditors die een ISMS beoordelen volgens ISO/IEC 27001.

De gids is sterk gebaseerd op de Guide to auditing management systems (ISO 19011) en biedt aanvullende richtlijnen voor een managementsysteem voor informatiebeveiliging (ISMS).

Hier leest u hoe u kunt slagen met de norm:

• Specifieke richtlijnen voor ISO 27001 ISMS-audits
• Richtlijnen voor het plannen en uitvoeren van audits die zijn geïntegreerd in ISO 19011
• Belangrijke informatie over de competenties van ISMS-auditors
• Begrip en uitvoering van ISMS-audits

DQS - wat wij voor u kunnen doen

DQS is sinds 1985 een toonaangevende specialist in de certificering van managementsystemen en -processen. Sindsdien is de geschiedenis van DQS nauw verbonden met de geschiedenis van ISO 9001. Wij brengen onze wereldwijde know-how en uitgebreide kennis van normen naar onze klanten op ongeveer 30.000 auditdagen per jaar. Zo kunt u zien wat uw mogelijkheden zijn.

Vertrouwen en expertise

Onze teksten en white papers zijn uitsluitend geschreven door onze normenexperts of jarenlange auditors. Zo ook het overzicht van informatiebeveiligingsnormen. Als u vragen heeft over de inhoud van de tekst of over onze dienstverlening aan de auteur, neem dan gerust contact met ons op.

Normen voor informatiebeveiliging: andere onderwerpen in de ISO 2700X familie van normen

ISO 27003 - Leidraad voor de ontwikkeling en implementatie van een ISMS

ISO/IEC 27003:2017

Informatietechnologie - Beveiligingstechnieken - Beheersystemen voor informatiebeveiliging - Leidraad.

ISO 27004 - Leidraad voor meetmethoden voor het beheer van informatiebeveiliging

ISO/IEC 27004:2016

Informatietechnologie - Beveiligingstechnieken - Informatiebeveiligingsmanagement - Monitoring, meting, analyse en evaluatie.

ISO 27008 - Richtlijnen voor de evaluatie van informatiebeveiligingsmaatregelen

ISO/IEC TS 27008:2019

Informatietechnologie - Beveiligingstechnieken - Richtlijnen voor de beoordeling van informatiebeveiligingscontroles

ISO 27009 - Leidraad voor de sectorspecifieke toepassing van een informatiebeheersysteem

ISO/IEC 27009:2020

Informatiebeveiliging, cyberveiligheid en privacybescherming - Sectorspecifieke toepassing van ISO/IEC 27001 - Eisen

ISO 27010 - Richtlijnen voor het beheer van informatiebeveiliging voor intersectorale en inter-organisationele communicatie

ISO/IEC 27010:2015

Informatietechnologie - Beveiligingstechnieken - Informatiebeveiligingsmanagement voor intersectorale en inter-organisationele communicatie

ISO 27011 - Leidraad voor het beheer van informatiebeveiliging in de telecommunicatiesector

ISO/IEC 27011:2016

Informatietechnologie - Beveiligingstechnieken - Gedragscode voor informatiebeveiligingscontroles gebaseerd op ISO/IEC 27002 voor telecommunicatieorganisaties

ISO 27013 - Richtlijnen voor de geïntegreerde implementatie van een ISMS en IT-servicemanagement

ISO/IEC 27013:2021

Informatiebeveiliging, cyberveiligheid en privacybescherming - Leidraad voor de geïntegreerde implementatie van ISO/IEC 27001 en ISO/IEC 20000-1

ISO 27014 - "Bestuur" van informatiebeveiliging

ISO/IEC DIS 27014:2020

Informatiebeveiliging, cyberveiligheid en privacybescherming - Regie van informatiebeveiliging

ISO 27016 - Economie van het beheer van informatiebeveiliging

ISO/IEC TR 27016:2014

Informatietechnologie - Beveiligingstechnieken - Informatiebeveiligingsmanagement - Organisatie-economie

ISO 27021 - Eisen voor de bekwaamheid van ISMS-professionals

ISO/IEC 27021:2017/AMD 1:2021

echnieken - Competentie-eisen voor professionals op het gebied van informatiebeveiligingsmanagementsystemen - Wijziging 1: Toevoeging van clausules of subclausules van ISO/IEC 27001:2013 aan competentie-eisen

ISO 27031 - Richtlijnen voor bedrijfscontinuïteit

ISO/IEC 27031:2011

Informatietechnologie - Beveiligingstechnieken - Richtlijnen voor informatie- en communicatietechnologie gereedheid voor bedrijfscontinuïteit

TIP: Lees onze blogpost over bedrijfscontinuïteitsbeheer om te leren wat de ISO 22301-norm aanbeveelt om het voortbestaan van een bedrijf in uitzonderlijke situaties te garanderen.

ISO 27032 - Gids voor cyberbeveiliging

ISO/IEC 27032:2012

Informatietechnologie - Beveiligingstechnieken - Richtlijnen voor cyberbeveiliging

ISO 27033 - Leidraad voor netwerkbeveiliging

ISO/IEC 27033

Informatietechnologie - Beveiligingstechnieken - Netwerkbeveiliging
Deel 1: Overzicht en concepten, Deel 2: Richtlijnen voor het ontwerp en de implementatie van netwerkbeveiliging, Deel 3: Referentienetwerkscenario's - Bedreigingen, ontwerptechnieken en controlevraagstukken, Deel 4: Beveiligen van communicatie tussen netwerken met behulp van beveiligingsgateways, Deel 5: Beveiligen van communicatie tussen netwerken met behulp van virtuele particuliere netwerken (VPN's), Deel 6: Beveiligen van draadloze IP-netwerktoegang

ISO 27034 - Richtlijnen voor de beveiliging van toepassingen

ISO/IEC 27034

Informatietechnologie - Beveiligingstechnieken - Applicatiebeveiliging
Deel 1: Overzicht en concepten, Deel 2: Normatief kader voor de organisatie, Deel 3: Beheerproces voor applicatiebeveiliging, Deel 4: Validatie en verificatie, Deel 5: Protocollen en gegevensstructuur voor beveiligingscontroles van applicaties, Deel 6: Gegoten studies, Deel 7: Kader voor betrouwbaarheidsvoorspelling

ISO 27035 - Richtlijnen voor het beheer van incidenten op het gebied van informatiebeveiliging

ISO/IEC 27035

Informatietechnologie - IT-beveiligingspraktijken - Incidentenbeheer met betrekking tot informatiebeveiliging
Deel 1: Grondbeginselen van incidentenbeheer, Deel 2: Richtlijnen voor planning en voorbereiding van incidentenbestrijding, Deel 3: Richtlijnen voor incidentenbestrijding op het gebied van informatie- en communicatietechnologie (ontwerp)

ISO 27036 - Richtlijnen voor leveranciersrelaties

ISO/IEC 27036

Informatietechnologie - Beveiligingstechnieken - Informatiebeveiliging voor leveranciersrelaties
Deel 1: Overzicht en concepten, Deel 2: Eisen, Deel 3: Richtlijnen voor de beveiliging van de toeleveringsketen voor informatie- en communicatietechnologie, Deel 4: Richtlijnen voor de beveiliging van clouddiensten

ISO 27037 - Richtlijnen voor het omgaan met digitaal bewijsmateriaal.

ISO/IEC 27037:2012

Informatietechnologie - Beveiligingstechnieken - Richtlijnen voor identificatie, verzameling, verwerving en behoud van digitaal bewijsmateriaal

ISO 27038 - Specificatie voor digitale bewerking

ISO/IEC 27038:2014

Informatietechnologie - Beveiligingstechnieken - Specificatie voor digitale redactie

ISO 27039 - Richtlijnen voor inbraakdetectiesystemen (IDPS)

ISO/IEC 27039:2015

Informatietechnologie - Beveiligingstechnieken - Selectie, implementatie en gebruik van inbraakdetectie- en -preventiesystemen (IDPS)

ISO 27040 - Richtlijnen voor opslagbeveiliging

ISO/IEC 27040:2015

Informatietechnologie - Beveiligingstechnieken - Opslagbeveiliging

ISO 27041 - Leidraad voor onderzoeksmethoden bij incidenten

ISO/IEC 27041:2015

Informatietechnologie - Beveiligingstechnieken - Richtlijnen voor het waarborgen van de geschiktheid en adequaatheid van de onderzoeksmethode voor incidenten

ISO 27042 - Leidraad voor de analyse en interpretatie van digitaal bewijsmateriaal

ISO/IEC 27042:2015

Informatietechnologie - Beveiligingstechnieken - Richtlijnen voor de analyse en interpretatie van digitaal bewijsmateriaal

ISO 27043 - Richtlijnen voor incidentonderzoeksprocessen.

ISO/IEC 27043:2015

Informatietechnologie - Beveiligingstechnieken - Principes en processen voor het onderzoeken van incidenten

ISO 27050 - Richtlijnen voor elektronische detectie

ISO/IEC 27050

Informatietechnologie - Elektronische opsporing
Deel 1: Overzicht en concepten, Deel 2: Richtlijnen voor governance en management van elektronische discovery, Deel 3: Gedragscode voor elektronische discovery

ISO 27102 - Leidraad voor cyberverzekering

ISO/IEC 27102:2019

Informatiebeveiligingsbeheer - Richtlijnen voor cyberverzekering

ISO 27103 - Leidraad voor cyberbeveiliging en ISO/IEC-normen

ISO/IEC TR 27103:2018

Informatietechnologie - Beveiligingstechnieken - Cybersecurity en ISO- en IEC-normen

ISO 27550 - Privacy engineering voor systeemlevenscyclusprocessen

ISO/IEC TR 27550:2019-09

Informatietechnologie - Beveiligingstechnieken - Privacy engineering voor systeemlevenscyclusprocessen

ISO 27799 - Informatiebeveiligingsbeheer in de gezondheidszorg

ISO 27799:2016

Gezondheidsinformatica - Informatiebeveiligingsbeheer in de gezondheidszorg met behulp van ISO/IEC 27002