webinar iso 27001 informatiebeveiliging: revisie, certificering en implementatie
DESCRIPTION
En wat is de werkelijke impact? - Introductie - Verandering ISO 27001:2013 - ISMS certificeringsproces - ISMS opzetten - Risicomanagement - Contracten leveranciers / marktstandaarden Sprekers: Naam: Reinier van Es Functie: Business Development & Project Manager Naam: ir. Marco Bom, CISSP Functie: Lead assessor ISMS/ QMS Meer informatie zie: http://www.lrqa.nl/normen/86850-iso27001.aspx Training over ISO 27001 zie: http://www.lrqa.nl/Onze-diensten/training/lrqa-all-training-courses/Informatiebeveiliging.aspxTRANSCRIPT
Improving performance, reducing risk
De ISO 27001 - 2 Veranderingen
En wat is de werkelijke impact ?
Agenda
• Introductie
• Verandering ISO 27001:2013
• ISMS certificeringsproces
• ISMS opzetten
• Risicomanagement
• Contracten leveranciers / marktstandaarden
Introductie
Naam: Reinier van Es
Functie: Business Development & Project Manager,
Ervaring:
Bank (IT Audit Management & Risk Info Management)
Management Consultant GRC (IDS Scheer (nu onderdeel Software AG)
Kwaliteits -, IT auditor, adviseur, trainer
Introductie
Naam: ir. Marco Bom, CISSP
Functie: Lead assessor ISMS/ QMS
Ervaring:
Vanaf 2010 lead assessor ISMS / QMS bij LRQA (specialisme ICT) toetsing van ca. 25 ISMS organisaties
Vanaf 2006 oprichter/ eigenaar van Audit orde BV,
adviesbureau voor informatiebeveiliging, kwaliteit- en risicomanagement
1998 – 2006 Senior consultant Getronics / PinkRoccade klanten: KPN, ING, Rabobank, UWV, Robeco, Randstad HR en PinkRoccade
Introductie LRQA
Global België Nederland
250 miljoen 4,3 miljoen euro 25,6 miljoen euro
2200 medewerkers 25 medewerkers 150 medewerkers
1200 freelancers 10 freelancers 100 freelancers en experts
30 accreditations Belac, IRCA plus RvA, IRCA plus
NPS 34 NPS 30 NPS 14
45.000 klanten 1550 klanten 6500 klanten
Hoofd activiteiten LRQA
Certificatie, Training, Onderzoek, Verificatie, Supply Chain audits,
Gap Analyses in vele markten
Certiked Certificatie van kennis intensieve organisaties
Cedeo Erkenning van trainingen, opleidingen en andere HR diensten
CPION Toetsing, registratie en diplomering van post-initiële opleidingen
Certiked VBI Accreditatie van Master en Bachelor opleidingen
Markten LRQA
Business Assurance Services
Social Media
be nl
website www.lrqa.be www.lrqa.nl
linkedin lrqa lrqa-nl
twitter lrqa @lrqanl
facebook LRQANederland
youtube businessassurance Lrqa1
slideshare LRQA_Nederland
googleplus LRQA Nederland
Improving performance, reducing risk
ISO 27001:2013 Aanpassingen
Wat is de werkelijke impact ?
Doelgroep van de sessie
Het doel van dit Webinar is om inzicht te geven aan de veranderingen in de ISO
27001 , waarbij het niet uitmaakt of
U al ISO 27001 gecertificeerd bent en graag impact wilt weten;
U denkt erover na voor het verkrijgen van een ISO 27001 certificaat.
Doelstelling
Tegen het einde van de sessie moet bent u op de hoogte van:
het doel van Annex SL (High Level Structure) en haar rol in het toekomstige beheer systemen
de wijzigingen en impact van de ISO 27001 norm op bestaande systemen
het certificeringsproces voor de overgang
Huidige ISMS familie
• ISO 27000:- Overview and vocabulary
• ISO 27001:- Information security management systems - Requirements
• ISO 27002:- Code of practice for information security management
• ISO 27003:- Information security management systems - Implementation guidance
• ISO 27004:- Information security management - Measurement
• ISO 27005:- Standard for information security risk management
• ISO 27006:- Requirements for certification bodies
Andere richtlijnen:
• ISO 27013:- Guidance on the integrated implementation of ISO 27001 and ISO 20000-1
• ISO 27014:- Governance of information security
• ISO 27015:- Guidelines for the financial services
• NEN7510:2011: Informatiebeveiliging in de zorg
Waarom Annex SL / High level structuur (voorheen ISO Guide 83)
Vanwege recente ontwikkelen hebben organisaties verschillende management
systemen en standaarden geïmplementeerd en gecertifieerd
Deze verschillende management systemen (normen):
gemeenschappelijke eisen (Internal Audit, Management Review enz.)
eigen termen en definities
Dit veroorzaakt verwarring, inconsistente interpretatie en uitvoering
Annex SL beschrijft het kader voor een generiek systeem
• In de toekomst hebben alle ISO managementsystemen dezelfde look en feel
• Dit zou het einde kunnen betekenen van verwarring, verspilling en misverstanden
veroorzaakt door het werken met verschillende Management Systemen.
Kader van Annex SL
The major clause numbers and titles of all management system standards will be
identical. They are:
Introduction
1. Scope
2. Normative references
3. Terms and definitions
4. Context of the organization
5. Leadership
6. Planning
7. Support
8. Operation
9. Performance evaluation
10. Improvement
4. Context of the organization
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
Op het eerste gezicht lijkt dit een grote verandering, in de praktijk valt dit mee.
• Wat zijn de overwegingen van de organisatie om überhaupt een management systeem te implementeren.
• De organisatie moet bepalen wat relevante kwesties zijn (zowel binnen als buiten), welke impact er is en wat het probeert te bereiken (outcome)
• Ook, wie de belanghebbende partijen zijn (stakeholders) en wat zijn hun
behoeften zijn.
=> Centraal: de toegevoegde waarde (opbrengsten) van het ISMS
5. Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organization roles responsibilities and authorities
Nauwelijks verandering
Management betrokkenheid, voorbeeld gedrag en leiderschap.
6. Planning
6.1 Actions to address risks and opportunities
6.2 Information security objectives and planning to achieve them
Grote verandering
• Dit grijpt terug op 4.1 en 4.2
• Er is noodzaak om alle risico eigenaren te identificeren
• Risico’s moeten geassocieerd zijn met verlies van BIV (beschikbaarheid,
integriteit, vertrouwelijkheid).
• Assessment gericht op informatiebeveiligingsrisico’s. Dit proces vastgelegd in lijn met het gedachtengoed van de ISO31000 risicomanagement
6. planning (ISO 31000 risicomanagement)
7. Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
7.5.1 General
7.5.2 Creating and updating
7.5.3 Control of documented information
Kleine verandering
• Interne en externe communicatie – nieuw (maar afkomstig van de ISO9001)
• Eisen rondom omgang en controle van gedocumenteerde informatie
• Wordt 16x genoemd in de norm
8. operation
8.1 Operational planning and control – emphasis on outsourcing.
8.2 Information security risk assessment - Implementation
8.3 Information security risk treatment - Implementation
Grote verandering
• het managen van de gevonden risico’s en de maatregelen om de risico’s te
mitigeren.
• Verschil met H6: daar vinden van risico’s, nu omgaan met risico’s
9. performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
Kleine verandering maar alle ISMS controles vallen onder 9.1. Duidelijk maken:
• wat moet worden gecontroleerd en gemeten
• methoden
• wanneer het wordt uitgevoerd
• wie zal meten en bewaken
• wanneer de resultaten worden geanalyseerd en geëvalueerd
• wie analyseert en beoordeelt deze resultaten
10. improvement
10.1 Nonconformity and corrective action
10.2 Continual improvement
Geen verandering
Wijzigingen in Bijlage A (Annex A - normative)
Aantal secties is gestegen van 11 tot 14
Aantal beheersdoelstellingen (controls) is gedaald van 133 naar 113
Structuur van secties - Cryptografie is uitgegroeid tot een apart hoofdstuk 10
Communicatie en operations management is verdeeld in twee secties
Operations security H12
Communication security H13
Relatie met leveranciers is nu opgenomen in een apart hoofdstuk 15
Bijlage A: nieuwe controls (#11)
A.6.1.5 Information security in project management *
A.12.6.2 Restriction on software installation
A.14.2.1 Secure development policy
A.14.2.5 Secure system engineering principles*
A.14.2.6 Secure development environment
A.14.2.8 System security testing
A.15.1.1 Information security policy for supplier relationships
A.15.1.3 Information and communication technology supply chain*
A.16.1.4 Assessment of any decision on information security events
A.16.1.5 Response to information security incidents
A.17.2.1 Availability of information processing facilities*
Bijlage A: Verdwenen controls (1)
Control from ISO27001:2005
Where they have gone?
A.6.1.1 Management commitment to information security Covered by main requirements of standard - Leadership
A.6.1.2 Information security co-ordination Covered by main requirements of standard
A.6.1.4 Authorisation process for information processing facilities Deleted
A.6.2.1 Identification of risks related to external parties Covered by main requirements of standard - Risk Assessment
A.6.2.2 Addressing security when dealing with customers Covered by main requirements of standard - Risk Assessment
A.8.1.1 Roles and responsibilities Covered by main requirements of standard - (5.3)
A.10.2.1 Service delivery Covered by other controls (A.15.2.1)
A.10.4.2 Controls against mobile code Covered by other controls (A.12.2.1)
A.10.7.4 Security of system documentation Covered by main requirements of standard - Risk Assessment
A.10.8.5 Business information systems Deleted
A.10.9.3 Publicly available information Covered by other controls (A.14.1.2)
A.10.10.2 Monitoring system use Covered by other controls (A.12.4.1)
A.10.10.5 Fault logging Covered by other controls (A.12.4.1)
A.11.4.2 User authentication for external conections Covered by other controls (A.9.1.2, A.9.4.2)
Bijlage A: Verdwenen controls (2)
Control from ISO27001:2005
Where they have gone?
A.11.4.3 Equipment identification in networks subsumed into A.13.1
A.11.4.4 Remote diagnostic and configuration port protection subsumed into A.13.1
A.11.4.6 Network connection control subsumed into A.13.1
A.11.4.7 Network routing control subsumed into A.13.1
A.11.5.5 Session time-out subsumed into A.13.1
A.11.5.6 Limitation of connection time Covered by other controls (A.9.4.2)
A.11.6.2 Sensitive system isolation subsumed into A.11.2.1 & A13.1.3
A.12.2.1 Input data validation subsumed into A.14.1.1 & A.14.2.5
A.12.2.2 Control of internal processing Covered by other controls (A.14.2.5)
A.12.2.3 Message integrity subsumed into A.14.1.1 & A.14.2.5
A.12.2.4 Output data validation subsumed into A.14.1.1 & A.14.2.5
A.12.5.4 Information leakage subsumed into A 13.1 & A 13.2
A.14.1.3 Developing and implementing continuity plans including information security subsumed into A17.1.2
A.14.1.4 Business continuity planning framework subsumed into A17.1.2
A.15.1.5 Provention of misuse of information processing facilities Covered by main requirements of standard - Risk Assessment
A.15.3.2 Protection of information systems audit tools subsumed into 9.4
Bijlage A uit ISO 27001:2005 ISO 27001:2013
A.6
A.7
A.9
A.11
A.12
A.14
A.15 Security Policy
Access Control
Communications and Operations
Management
Asset Management
Human Resources Security
Physical and Environmental
Security
Compliance
Business Continuity
Management
Information Systems
Acquisition, Development
and Maintenance
Organization of Information
Security
A.10
Information Security Incident
Management A.13 A.8
A.5
A.6
A.7
A.8
A.9
A.11
A.12
A.14
A.15
Security
Policy
Access
Control
Operations
Security
Asset
Management
Human Resources
Security
Physical and
Environmental
Security
Compliance
Information security
Aspects of business
continuity
management
Communications
Security
Organization of
Information
Security
A.10
Information
Security Incident
Management
A.13
Cryptography
System acquisition,
development and
maintenance
Supplier
relationship
A.16
A.17
A.18
A.5
Certificeringsproces voor overgang
Van ISO27001:2005 naar ISO27001:2013
Aanpak
Een gecertificeerd bedrijf doorloopt een “Transitie checklist” waarbij
Review van risicobeoordeling
De mapping naar de nieuwe norm
Risicobeheer Behandelplan
De eisen 'nieuwe' bijlage SL eisen zijn gedocumenteerd
De assessor beoordeelt:
De transitie checklist:
Of noodzakelijke beleidsmaatregelen en procedures gedocumenteerd zijn
Het risicobehandelplan
Of de nieuwe of gewijzigde controls zijn geïmplementeerd.
Zaken om over na te denken
Review de algemene doelstellingen van uw ISMS in lijn met clausules 4.1 en 4.2
Review uw risico assessment
Review de verklaring van toepasselijkheid m.b.t. de nieuwe controls
Controleer uw ISMS documentatie voor het opnemen van nieuwe benodigde
informatie
Controleer uw bestaande performances om ervoor te zorgen dat u voldoet
Question Time
Vragen?
Improving performance, reducing risk
ISO 27001:2013 certificeren, implementeren en toepassen
Hoe kan ik mijn organisatie het beste voorbereiden?
BIV definitie
Beschikbaarheid Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en informatiesystemen. Nadruk op beheerder.
Integriteit Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan.
Vertrouwelijkheid Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn geautoriseerd. Nadruk op techniek.
Certificeringsproces en Wat levert certificering mij op?
Aantoonbaar in control >> vertrouwen naar de markt en cliënten en toezichthouders
Vragen of verplichtingen van toezichthouders ben je voor of kun je kun je door middel
van tonen certificaat (ISO27001 of NEN7510) ontwijken. - College bescherming persoonsgegevens (CBP)
- Inspectie voor de Gezondheidszorg (IGZ)
USP: nog maar weinig certificaten afgegeven
Bewustzijn van personeel zal omhoog gaan
Zwakke punten in uw informatiebeveiliging worden zichtbaar gemaakt
Minimaal jaarlijks bezoek auditor aan uw organisatie >> thematische aanpak
Ontwikkelingen ISO27001
ISO/IEC 27001 - Europe
Year 2006 2007 2008 2009 2010 2011 2012
Country 1064 1432 2172 3563 4800 5289 6384
Germany 95 135 239 253 357 424 488
Italy 175 148 233 297 374 425 495
Netherlands 41 41 56 76 97 125 190
Romania 4 16 44 303 350 575 866
Spain 23 93 203 483 711 642 805
United Kingdom 486 519 738 946 1157 1464 1701
Bron: www.iso.org
Hoe ziet een certificeringsproces eruit en wat kost het?
Fase 1:
Documentatie
onderzoek
Fase 2:
Implementatie
audit
Tussentijdse audit
Tussentijdse audit
Herhalingsaudit
extra audit
Fase 0:
Nulmeting /
proefaudit
(optioneel)
Hoe ziet een certificeringsproces eruit en wat kost het?
Fase 1:
Documentatie
onderzoek
Fase 2:
Implementatie
audit
Tussentijdse audit
Herhalingsaudit
extra audit
Fase 0:
Nulmeting /
proefaudit
(optioneel)
Nulmeting / proefaudit optioneel, maar wel betere
resultaten bij vervolgstappen
Documentatie onderzoek:
bent u klaar voor
implementatieaudit?
Implementieaudit: wordt u
aanbevolen voor certificering
ja of nee?
Minimaal jaarlijkse terugkomdag opvolging
openstaande punten
Bij ernstige tekortkoming:
verplichte opvolging en audit
Zie Implementatie audit
Omvang audit (aantal dagen) afh. van:
Volwassenheid systeem
Aantal medewerkers/ locaties
Complexiteit, Aantal applicaties
In- of outsourcing
Gemiddelde organisatie van 50 fte:
•Fase 1 2 dagen
•Fase 2 3 dagen
•Tussentijds (3jr) 5 dagen
Fase 1:
Documentatie
onderzoek
Fase 2:
Implementatie
audit
Tussentijdse audit
Fase 0:
Nulmeting /
proefaudit
(optioneel)
Hoe ziet een certificeringsaudit eruit (fase 1)?
Documentatieonderzoek
• Vaststelling Verklaring van Toepasselijkheid
• Risicoanalyse
• Informatiebeveiligingsbeleid
• Overige beleidsdocumenten en procedures
• Interne en externe audits
• Bepaling mate van uitbesteding
• Rapportage documentatieonderzoek + aanbeveling ‘klaar voor implementatie-audit?’
Hoe ziet een certificeringsaudit eruit (fase 2)?
Implementatie audit
•Afwikkeling openstaande punten rapportage documentatieonderzoek
•Interviews met o.a.
• Verantwoordelijke voor informatiebeveiliging (management en operationeel)
• IT-medewerkers
• Verantwoordelijke voor fysieke beveiliging
• Human Resources
• Afdelingshoofden / kwaliteitsmedewerkers
•Rondleiding computerruimte en afdelingen
•Rapportage implementatie-audit + aanbeveling ‘certificering ja of nee?’
Hoe kan ik mij voorbereiden (als audittee)
• Loop zelf een rondje door uw gebouw/ kantoor en kijk kritisch rond.
• Er is al best veel geregeld bij u (inbraak, brandweer, ICT etc.)
• Voer een gedegen risicoanalyse uit en kom tot een selectie van maatregelen, leg zo
veel mogelijk vast en onderbouw gemaakte keuzes
• Zorg dat beleidsdocumenten aanwezig en door management (zichtbaar) goedgekeurd zijn
• Houd een register van meldingen en incidenten bij en rapporteer hierover
• Achterhaal op welke vertrouwelijke informatie met anderen worden uitgewisseld?
• Praat met andere partijen en werk samen met:
• Uw ICT leverancier(s)
• Collega afdelingen, vind het wiel niet nog een keer uit!
• Bepaal de juiste beheersmaatregelen voor u en onderbouw uw keuze
ISMS processen (PDCA)
Het proces rondom een ISMS
Plan
Do
Check
Act
Documenten Security
policy
Documenten
Documenten
Documenten
Scope
reikwijdte
Besturing
security
ISMS
Rapport
Risico
analyse
SoA Beveiligingspl
an
Controle
programma
Maak
beleid
Bepaal
scope
Bepaal
besturing
Maak risico
analyse
Selecteer
controls
Maak
beveiligings-
plan
Maak
controle plan
Implementatie
plan
Realiseren
maatregelen
Metingen en
rapportages
Incident
rapportages
Rapport controle
programma
Auditrapport
interne audit
Auditrapport
externe audit
Rapport directie
beoordeling
Correctieve
maatregelen Verbeter plannen
Bepaal correctieve
acties
Bepaal verbeter
maatregelen
Voer controles uit Interne audit Externe audit Directie
beoordeling
Maak
Implementatie
plan
Implementeer
maatregelen
Metingen en
rapportages
Rapporteer
incidenten
Verplichte ISMS procedures en beheersmaatregelen
Verplichte procedures :
Beheersing van ISMS documenten
goedkeuren, beoordelen, wijzigen, identificeren, verspreiden, bewaren
Corrigerende maatregelen
• identificeren afwijkingen, oorzaak analyse, vaststellen corrigerende maatregelen, registreren resultaten en beoordelen
Preventieve maatregelen
• identificeren mogelijke afwijkingen, oorzaak analyse, vaststellen
preventieve maatregelen, registreren resultaten en beoordelen
Interne ISMS-audits
• verantwoordelijkheden, eisen rapportages, bijhouden registraties
Directie beoordeling
Monitoring en beoordeling IB tekortkomingen
Continue verbetering
Kernmaatregelen ISMS
Stel beleid op t.a.v. informatiebeveiliging
Inventariseer en analyseer alle risico’s
Stel vast wie waarvoor verantwoordelijk is, benoem risico eigenaren
Zorg voor bewustwording, opleiding en training
Neem maatregelen tegen kwaadaardige programmatuur
Sluit overeenkomsten voor gegevensuitwisseling
Beveilig de toegang tot systemen
Ontwikkel en implementeer Continuiteitsbeheer
Houd rekening met intellectueel eigendom
Beveilig bedrijfsdocumenten
Bescherm persoonsgegevens
Leef beveiligingsbeleid na
Rapporteer beveiligingsincidenten
Risico Management Centraal in 27001: risicomanagement
1) Identificeren -> 2) analyseren -> 3) maatregelen
Risico
Belang Dreiging
Kwetsbaarheid
1) Resultaat van identificatie risico’s
Belang Bedreiging
Gebouw Falende stroomvoorziening
Gebouw Toegang niet-geautoriseerd personeel
Tweede / derde lijn support Verlies van personeel
Tweede / derde lijn support Gebrek aan beveiligingsbewustzijn
Systeemapplicatie support Software upgrade / wijzigingen
Systeemapplicatie support Foutieve softwaresystemen
Systeemapplicatie support Software onvoldoende of incorrect gepatched
Datahosting/database Database patientinformatie gekraakt
Service delivery Misbruik account door ontevreden medewerkers
2) Resultaat van analyse risico’s
“Belang” Dreiging K E R
Medicijnen Foutieve medicijnen aan client 2 8 16
Medicijnen Verkeerde dosering 4 8 32
Patientenzorg Slechte overdracht van de zorg 6 6 36
Communicatie Fouten bij inplannen van zorgverleners 8 2 16
16 32 48 64
12 24 36 48
8 16 24 32
4 8 12 16
Kan
s
Effect
3) Resultaat van behandelen van risico’s
Risicobeheersplan;
Er zijn vier mogelijkheden voor risicobeheersing:
Het risico verminderen;
Het risico ontwijken;
Het risico doorschuiven naar derden;
Het risico accepteren.
Bij welke grenswaarde een of meer van de vier mogelijkheden in werking treedt.
Keuze van beheersmaatregelen en belang ervan (welke van de 133 zijn cruciaal).
Welke zekerheden?
Welke zekerheden kunnen verkregen worden van leveranciers?
Gangbare typen
Third Party audit (TPM)
Second party audit
ISAE3402 (voorheen SAS70)
Essentie
1)ken je leveranciers risico’s voordat ze toegang krijgen tot vertrouwelijke informatie
2)Stel vast op welke scope zekerheid wordt verkregen
Landschap regels en normen (1)
Risk management & IT Control Frameworks:
ISO/IEC 2700X – Security
NEN7510
Cobit 4.1
ISO/IEC 9001 / HKZ / NIAZ
ISO/IEC 13335
ITIL v2, v3 Veranderingen
COSO
BS25999 – BCM
Cloud computing certificatie schema’s
Eurocloud Star Audit
CSA control matrix
Landschap regels en normen (2)
Industry & Regulatory requirements
Energy – NERC
Life Sciences – HIPAA
FSI – Basel III
US – Sarbanes-Oxley Data • BE – Code Lippens
Credit Card – PCI DSS
US – Patriot Act
US – Data Privacy Act
NL–WBP
EU – Data Protection Directive
EU – MiFID
NL – WCCII
NL – WGBO
NL – WBSN
Lloyd’s Register and variants of it are trading names of Lloyd’s Register Group Limited, its subsidiaries and affiliates.
Copyright © Lloyd’s Register Quality Assurance Limited. 2013. A member of the Lloyd’s Register group.
Reinier van Es Business Development Manager Unit/ Department T +31 (0)652560816 E [email protected] Lloyd’s Register LRQA K.P. v.d. Mandelelaan 41a, 3062 MB Rotterdam
Improving performance, reducing risk