ISO IEC TR 27008

Wat zijn informatiebeveiligingscontroles?

Informatiebeveiligingscontroles zijn stappen die worden genomen om kwetsbaarheden in de informatiebeveiliging te beperken, zoals apparaatstoringen, gegevensdiefstal, systeeminbreuken en onbedoelde wijzigingen aan digitale informatie of processen.

Deze beveiligingsmaatregelen worden doorgaans toegepast als reactie op een informatiebeveiligingsrisico evaluatie om de beschikbaarheid, vertrouwelijkheid en privacy van gegevens en netwerken beter te beveiligen.

Deze controles waarborgen de vertrouwelijkheid, integriteit en beschikbaarheid van informatie op het gebied van informatiebeveiliging.

Soorten informatiebeveiligingscontroles

Beveiligingsprotocollen, procedures, schema's, apparaten en toepassingen vallen allemaal in de categorie van informatiebeveiligingscontroles.

1. Preventieve beveiligingscontroles, beveiligingsprotocollen die bedoeld zijn om cyberveiligheidsongevallen te voorkomen
2. Beveiligingscontroles van rechercheurs gericht op het identificeren en waarschuwen van cyberbeveiligingspersoneel voor een poging tot cyberbeveiliging of een potentiële inbreuk op de beveiliging.
3. Corrigerende beveiligingscontroles worden gebruikt na een cyberbeveiligingsgebeurtenis helpen gegevensverlies en apparaat- of netwerkverstoring te beperken en om gevoelige bedrijfssystemen en -activiteiten gemakkelijk te herstellen.

Bovendien kunnen beveiligingsmaatregelen als volgt worden gecategoriseerd op basis van hun doel:

Toegangscontroles:

Deze omvatten fysieke toegangscontroles, zoals gewapende bewakers bij de uitgangen van gebouwen, sluizen en perimeterhekken.

Procedurele controles:

Bewustzijn van bedreigingen instructie, training op het gebied van handhaving van het beveiligingskader en processen en procedures voor respons op incidenten.

Technische controles:

Deze omvatten multi-factor accountauthenticatie op het punt van binnenkomst (inloggen) en logische toegangscontroles, antivirusprogramma's en firewalls.

Nalevingscontroles:

Deze omvatten privacyregels, raamwerken en vereisten, evenals cyberbeveiligingsbenaderingen en -standaarden.

Wat is het doel van ISO 27008?

ISO 27008 is gemaakt om:

• Assisteert bij de voorbereiding en uitvoering van ISMS-audits en de wijze van informatierisicobeheer;
• Richtlijnen bieden voor het auditen van informatiebeveiligingscontroles in overeenstemming met de controlerichtlijnen van ISO/IEC 27002;
• Verbetert ISMS-audits door de relaties tussen ISMS-processen en noodzakelijke controles te optimaliseren;
• Zorgt ervoor dat de auditmiddelen effectief en efficiënt worden gebruikt.
• Voegt waarde toe en verbetert de consistentie en het voordeel van de ISO 27k-specificaties door het verschil te overbruggen tussen het in principe bijwerken van het ISMS en, waar nodig, het controleren van het bewijs van toegepaste ISMS-controles (bijvoorbeeld het evalueren van beveiligingselementen van bedrijfsactiviteiten, IT-structuren en IT-operationele processen). omgevingen in ISO27k-gebruikersorganisaties);

Wat is de reikwijdte van ISO 27008?

ISO 27008 biedt richtlijnen voor alle auditors over de controles van informatiebeveiligingsbeheersystemen. Het begeleidt de informatierisicobeheerproces evenals interne, externe en externe beoordelingen van een ISMS door het verband aan te tonen tussen het ISMS en de bijbehorende controles.

Het bevat richtlijnen voor het testen van de mate waarin de noodzakelijke “informatiebeveiligingsmanagementsysteemcontroles” worden toegepast. Daarnaast helpt het organisaties die ISO/IEC 27001 of ISO/IEC 27002 implementeren bij het voldoen aan de nalevingscriteria en dient het als technisch platform voor het bestuur van informatietechnologie.

Hoe werkt ISO 27008?

ISO 27008 definieert algemene procedures, geen technieken voor specifieke controles of vormen van controles.

Het definieert systematische beoordelingen en schetst vervolgens de verschillende benaderingen en vormen van beoordelingen die van toepassing zijn op informatiebeveiligingscontroles. Ten slotte worden de praktijken besproken die nodig zijn voor een succesvol beoordelingsproces.

Relatie met ISO 27001 en ISO 27002

ISO 27008 lijkt sterk op de ISO 27007 auditspecificatie voor managementsystemen voor informatiebeveiliging.

In tegenstelling tot ISO 27007, die zich richt op het beoordelen van de managementsysteemcomponenten van een ISMS zoals gedefinieerd in ISO 27001, richt ISO 27008 zich echter op het auditen van specifieke informatiebeveiligingscontroles, zoals die opgesomd in ISO 27002 en gedetailleerd beschreven in ISO XNUMX. Bijlage A van ISO 27001.

ISO 27008 “richt zich op evaluaties van informatiebeveiligingscontroles, inclusief naleving van de regelgeving, aan de hand van een door de organisatie vastgestelde implementatiestandaard voor informatiebeveiliging.

Het is echter niet bedoeld om gedetailleerde richtlijnen te geven voor het testen van de naleving met betrekking tot de berekening, risico-evaluatie of audit van een ISMS, zoals gespecificeerd in ISO 27004 , ISO 27005 , of 27007, respectievelijk.

Wie moet ISO 27008 implementeren?

ISO 27008 is bedoeld voor interne en externe auditors die belast zijn met de verantwoordelijkheid voor het beoordelen van informatiebeheercontroles die deel uitmaken van een ISMS. Het zou echter nuttig zijn voor iedereen die een analyse of beoordeling uitvoert van de interne beheersingsmaatregelen van een ISMS, hetzij als onderdeel van een gestructureerde auditprocedure, hetzij anderszins. Het document is in de eerste plaats bedoeld voor informatiebeveiligingsauditors die verantwoordelijk zijn voor het verifiëren dat de informatiebeveiligingscontroles van een organisatie technisch in overeenstemming zijn met ISO/IEC 27002 en alle andere controlevereisten die door de organisatie worden gebruikt.

ISO 27008 zal hen op de volgende manieren helpen:

• Herken en begrijp de reikwijdte van mogelijke problemen en zwakke punten in informatiebeveiligingscontroles.
• Identificeer en begrijp de mogelijke gevolgen van onvoldoende gemitigeerde computertechnologierisico's en zwakke punten voor het bedrijf.
• Geef prioriteit aan risicobeheersingspraktijken met betrekking tot informatiebeheer.
• Stel vast dat eerder gevonden of nieuw ontdekte kwetsbaarheden of defecten voldoende zijn opgelost.

ISO 27008 is van toepassing op een breed scala aan organisaties, waaronder publieke en private bedrijven, overheidsinstanties en non-profitorganisaties.