Als we het hebben over informatiebeveiligingsnormen en -raamwerken, dan is de ISO 27001 norm een van de meest bekende opties beschikbaar op dit moment. Echter, zijn er ook andere informatiebeveiligingsnormen en -raamwerken beschikbaar. In deze blog zal ik een uitleg geven over wat de ISO 27001 norm te bieden heeft. Daarnaast zal ik inzicht geven op een aantal alternatieve normen en raamwerken.
Wat houdt de ISO 27001 in?
De ISO 27001 is een internationale erkende norm die ingezet wordt door organisaties om informatiebeveiliging te beheersen. De focus van deze norm komt te liggen op het inrichten van beleid en beheersmaatregelen. Deze worden aan de hand van procedures en documentatie vastgelegd in een informatiebeveiligings-managementsysteem (ISMS) en toegepast op alle elementen van informatiebeveiliging. Doordat de ISO 27001 alle stappen voor het beveiligen van informatie omschrijft (Plan-Do-Check-Act), is het voor organisaties mogelijk om een ISMS op te zetten dat aansluit op de risico’s en doelstellingen van een organisatie en doorlopend wordt verbeterd.
Het implementeren van de ISO 27001 norm kan voor organisaties vele voordelen opleveren. De belangrijkste voordelen te behalen voor een organisatie zijn:
- Unique Selling Point
Het behalen van een ISO 27001 certificaat geeft de organisatie een voordeel ten opzichte van concurrerende organisaties. Reden hiervoor is dat de ISO 27001 een wereldwijd erkende norm is om aan te tonen dat de organisatie in controle is als het gaat om informatiebeveiliging. Het behalen van een ISO 27001 certificaat wekt dus vertrouwen bij potentiële klanten.
- Voldoen aan wet- en regelgevingen
Doordat de ISO 27001 norm ook aandacht geeft aan de wet- en regelgevingen bij het opzetten van een informatiebeveiligings-managementsysteem, zorgt het ervoor dat de organisaties by design voldoet de relevante wet- en regelgevingen.
- Voorkomen van onverwachte kosten
Met behulp van de ISO 27001 worden risico’s van groot tot klein in kaart gebracht en beoordeeld op kans en impact. Door gepaste maatregelen door te voeren en het stellen van de juiste prioriteiten kunnen organisaties financiële schade voorkomen. Elk beveiligingsincident zal namelijk een financiële impact met zich meebrengen doordat de organisatie achteraf een gat in de beveiliging moet dichten of een boete kan ontvangen.
Alternatieven
Naast de ISO 27001 zijn er ook andere raamwerken en normen die door organisaties aangehouden kunnen worden om de interne informatiebeveiliging te verbeteren. De reden om deze ook in overweging te nemen is omdat ieder van de raamwerken of normen andere focusgebieden hebben ten opzichte van de ISO 27001. Afhankelijk van de soort organisatie kan het misschien zijn dat een alternatief op de ISO 27001 beter bij de organisatie past. Welke alternatieven zijn er?
- COBIT 5
COBIT 5 is raamwerk dat organisatie helpt bij het ontwikkelen, organiseren en implementeren van IT-beheer en IT-governance. Dit houdt in dat het raamwerk zich niet alleen focust op het beveiligingsaspect, maar ook op het operationele aspect van IT. Daarnaast geeft het ook aandacht aan de afstemming tussen de bedrijfsdoelstellingen en IT-doelstellingen. Een van de grootste verschillen met de ISO 27001 is dat het niet mogelijk is om een COBIT-certificering te behalen. Daarnaast geeft de ISO 27001 meer aandacht aan risicobeheersing en het implementeren van de juiste maatregelen ten opzichte van het risico.
- NIST CSF
NIST CSF is een raamwerk dat een set aan richtlijnen en beheersmaatregelen beschikbaar stelt voor het voorkomen van informatiebeveiligingsincidenten. Het raamwerk geeft organisaties handvatten om cybersecurityrisico’s op een integrale wijze aan te pakken. Denk hierbij aan het identificeren van een risico tot aan het mitigeren van een risico. Ondanks dat de gegeven richtlijnen sterke overkomsten hebben met die van de ISO27001 zijn er wel degelijk verschillen. De NIST CSF heeft namelijk een meer technische aanpak. Ook hier geldt dat de NIST CSF een best-practise is. Daarnaast is dit raamwerk meer toepasselijk voor organisaties die in de beginfase zitten van het verbeteren van de interne informatiebeveiliging. Reden hiervoor is omdat de focus meer ligt de op de technische aspecten van cybersecurity en minder op informationsecurity-governance en het inrichten van een ISMS. Ook zit er geen certificeringsproces aan vast.
- CIS Controls
De CIS Controls zijn een set van controlemaatregelen verdeeld over 18 domeinen van cybersecurity. De controlemaatregelen voorzien een organisatie van een adequate baseline op het gebied van cybersecurity. De CIS Controls worden gezien als een best-practise, waarmee het eerste verschil met de ISO 27001 duidelijk wordt. Daarnaast zijn de CIS Controls erg technisch georiënteerd en mist het de Plan-Do-Check-Act cyclus van de ISO 27001 norm. Dit maakt het raamwerk wel toegankelijk voor organisatie die niet de omvang hebben om te voldoen aan de organisatorische eisen en voordeel te halen uit een ISO 27001 norm.
Om mijn blog af te sluiten, wil ik graag aangeven dat er naast de ISO 27001, COBIT 5, NIST CSF en de CIS Controls ook nog sector specifieke normen en raamwerken bestaan. Dit maakt het juist belangrijk voor een organisatie om een passende keuze te maken voor een raamwerk of norm. Het is dan ook een essentiële stap om de interne informatiebeveiliging optimaal te verbeteren zonder dat dit ten koste gaat van de efficiëntie. Enkele aspecten die van belang zijn bij het maken van een keuze zijn bijvoorbeeld:
- De huidige volwassenheidsniveau m.b.t. informatiebeveiliging,
- De bedrijfs- en IT-doelstellingen,
- De omvang en cultuur van de organisatie zelf
Meer weten over informatiebeveiliging? Lees verder: