Improving performance, reducing risk

De ISO 27001 - 2 Veranderingen

En wat is de werkelijke impact ?

Agenda

• Introductie

• Verandering ISO 27001:2013

• ISMS certificeringsproces

• ISMS opzetten

• Risicomanagement

• Contracten leveranciers / marktstandaarden

Introductie

Naam: Reinier van Es

Functie: Business Development & Project Manager,

Ervaring:

Bank (IT Audit Management & Risk Info Management)

Management Consultant GRC (IDS Scheer (nu onderdeel Software AG)

Kwaliteits -, IT auditor, adviseur, trainer

Introductie

Naam: ir. Marco Bom, CISSP

Functie: Lead assessor ISMS/ QMS

Ervaring:

Vanaf 2010 lead assessor ISMS / QMS bij LRQA (specialisme ICT) toetsing van ca. 25 ISMS organisaties

Vanaf 2006 oprichter/ eigenaar van Audit orde BV,

adviesbureau voor informatiebeveiliging, kwaliteit- en risicomanagement

1998 – 2006 Senior consultant Getronics / PinkRoccade klanten: KPN, ING, Rabobank, UWV, Robeco, Randstad HR en PinkRoccade

Introductie LRQA

Global België Nederland

250 miljoen 4,3 miljoen euro 25,6 miljoen euro

2200 medewerkers 25 medewerkers 150 medewerkers

1200 freelancers 10 freelancers 100 freelancers en experts

30 accreditations Belac, IRCA plus RvA, IRCA plus

NPS 34 NPS 30 NPS 14

45.000 klanten 1550 klanten 6500 klanten

Hoofd activiteiten LRQA

Certificatie, Training, Onderzoek, Verificatie, Supply Chain audits,

Gap Analyses in vele markten

Certiked Certificatie van kennis intensieve organisaties

Cedeo Erkenning van trainingen, opleidingen en andere HR diensten

CPION Toetsing, registratie en diplomering van post-initiële opleidingen

Certiked VBI Accreditatie van Master en Bachelor opleidingen

Markten LRQA

Business Assurance Services

Social Media

be nl

website www.lrqa.be www.lrqa.nl

linkedin lrqa lrqa-nl

twitter lrqa @lrqanl

facebook LRQANederland

youtube businessassurance Lrqa1

slideshare LRQA_Nederland

googleplus LRQA Nederland

Improving performance, reducing risk

ISO 27001:2013 Aanpassingen

Wat is de werkelijke impact ?

Doelgroep van de sessie

Het doel van dit Webinar is om inzicht te geven aan de veranderingen in de ISO

27001 , waarbij het niet uitmaakt of

U al ISO 27001 gecertificeerd bent en graag impact wilt weten;

U denkt erover na voor het verkrijgen van een ISO 27001 certificaat.

Doelstelling

Tegen het einde van de sessie moet bent u op de hoogte van:

het doel van Annex SL (High Level Structure) en haar rol in het toekomstige beheer systemen

de wijzigingen en impact van de ISO 27001 norm op bestaande systemen

het certificeringsproces voor de overgang

Huidige ISMS familie

• ISO 27000:- Overview and vocabulary

• ISO 27001:- Information security management systems - Requirements

• ISO 27002:- Code of practice for information security management

• ISO 27003:- Information security management systems - Implementation guidance

• ISO 27004:- Information security management - Measurement

• ISO 27005:- Standard for information security risk management

• ISO 27006:- Requirements for certification bodies

Andere richtlijnen:

• ISO 27013:- Guidance on the integrated implementation of ISO 27001 and ISO 20000-1

• ISO 27014:- Governance of information security

• ISO 27015:- Guidelines for the financial services

• NEN7510:2011: Informatiebeveiliging in de zorg

Waarom Annex SL / High level structuur (voorheen ISO Guide 83)

Vanwege recente ontwikkelen hebben organisaties verschillende management

systemen en standaarden geïmplementeerd en gecertifieerd

Deze verschillende management systemen (normen):

gemeenschappelijke eisen (Internal Audit, Management Review enz.)

eigen termen en definities

Dit veroorzaakt verwarring, inconsistente interpretatie en uitvoering

Annex SL beschrijft het kader voor een generiek systeem

• In de toekomst hebben alle ISO managementsystemen dezelfde look en feel

• Dit zou het einde kunnen betekenen van verwarring, verspilling en misverstanden

veroorzaakt door het werken met verschillende Management Systemen.

Kader van Annex SL

The major clause numbers and titles of all management system standards will be

identical. They are:

Introduction

1. Scope

2. Normative references

3. Terms and definitions

4. Context of the organization

5. Leadership

6. Planning

7. Support

8. Operation

9. Performance evaluation

10. Improvement

4. Context of the organization

4.1 Understanding the organization and its context

4.2 Understanding the needs and expectations of interested parties

4.3 Determining the scope of the information security management system

4.4 Information security management system

Op het eerste gezicht lijkt dit een grote verandering, in de praktijk valt dit mee.

• Wat zijn de overwegingen van de organisatie om überhaupt een management systeem te implementeren.

• De organisatie moet bepalen wat relevante kwesties zijn (zowel binnen als buiten), welke impact er is en wat het probeert te bereiken (outcome)

• Ook, wie de belanghebbende partijen zijn (stakeholders) en wat zijn hun

behoeften zijn.

=> Centraal: de toegevoegde waarde (opbrengsten) van het ISMS

5. Leadership

5.1 Leadership and commitment

5.2 Policy

5.3 Organization roles responsibilities and authorities

Nauwelijks verandering

Management betrokkenheid, voorbeeld gedrag en leiderschap.

6. Planning

6.1 Actions to address risks and opportunities

6.2 Information security objectives and planning to achieve them

Grote verandering

• Dit grijpt terug op 4.1 en 4.2

• Er is noodzaak om alle risico eigenaren te identificeren

• Risico’s moeten geassocieerd zijn met verlies van BIV (beschikbaarheid,

integriteit, vertrouwelijkheid).

• Assessment gericht op informatiebeveiligingsrisico’s. Dit proces vastgelegd in lijn met het gedachtengoed van de ISO31000 risicomanagement

6. planning (ISO 31000 risicomanagement)

7. Support

7.1 Resources

7.2 Competence

7.3 Awareness

7.4 Communication

7.5 Documented information

7.5.1 General

7.5.2 Creating and updating

7.5.3 Control of documented information

Kleine verandering

• Interne en externe communicatie – nieuw (maar afkomstig van de ISO9001)

• Eisen rondom omgang en controle van gedocumenteerde informatie

• Wordt 16x genoemd in de norm

8. operation

8.1 Operational planning and control – emphasis on outsourcing.

8.2 Information security risk assessment - Implementation

8.3 Information security risk treatment - Implementation

Grote verandering

• het managen van de gevonden risico’s en de maatregelen om de risico’s te

mitigeren.

• Verschil met H6: daar vinden van risico’s, nu omgaan met risico’s

9. performance evaluation

9.1 Monitoring, measurement, analysis and evaluation

9.2 Internal audit

9.3 Management review

Kleine verandering maar alle ISMS controles vallen onder 9.1. Duidelijk maken:

• wat moet worden gecontroleerd en gemeten

• methoden

• wanneer het wordt uitgevoerd

• wie zal meten en bewaken

• wanneer de resultaten worden geanalyseerd en geëvalueerd

• wie analyseert en beoordeelt deze resultaten

10. improvement

10.1 Nonconformity and corrective action

10.2 Continual improvement

Geen verandering

Wijzigingen in Bijlage A (Annex A - normative)

Aantal secties is gestegen van 11 tot 14

Aantal beheersdoelstellingen (controls) is gedaald van 133 naar 113

Structuur van secties - Cryptografie is uitgegroeid tot een apart hoofdstuk 10

Communicatie en operations management is verdeeld in twee secties

Operations security H12

Communication security H13

Relatie met leveranciers is nu opgenomen in een apart hoofdstuk 15

Bijlage A: nieuwe controls (#11)

A.6.1.5 Information security in project management *

A.12.6.2 Restriction on software installation

A.14.2.1 Secure development policy

A.14.2.5 Secure system engineering principles*

A.14.2.6 Secure development environment

A.14.2.8 System security testing

A.15.1.1 Information security policy for supplier relationships

A.15.1.3 Information and communication technology supply chain*

A.16.1.4 Assessment of any decision on information security events

A.16.1.5 Response to information security incidents

A.17.2.1 Availability of information processing facilities*

Bijlage A: Verdwenen controls (1)

Control from ISO27001:2005

Where they have gone?

A.6.1.1 Management commitment to information security Covered by main requirements of standard - Leadership

A.6.1.2 Information security co-ordination Covered by main requirements of standard

A.6.1.4 Authorisation process for information processing facilities Deleted

A.6.2.1 Identification of risks related to external parties Covered by main requirements of standard - Risk Assessment

A.6.2.2 Addressing security when dealing with customers Covered by main requirements of standard - Risk Assessment

A.8.1.1 Roles and responsibilities Covered by main requirements of standard - (5.3)

A.10.2.1 Service delivery Covered by other controls (A.15.2.1)

A.10.4.2 Controls against mobile code Covered by other controls (A.12.2.1)

A.10.7.4 Security of system documentation Covered by main requirements of standard - Risk Assessment

A.10.8.5 Business information systems Deleted

A.10.9.3 Publicly available information Covered by other controls (A.14.1.2)

A.10.10.2 Monitoring system use Covered by other controls (A.12.4.1)

A.10.10.5 Fault logging Covered by other controls (A.12.4.1)

A.11.4.2 User authentication for external conections Covered by other controls (A.9.1.2, A.9.4.2)

Bijlage A: Verdwenen controls (2)

Control from ISO27001:2005

Where they have gone?

A.11.4.3 Equipment identification in networks subsumed into A.13.1

A.11.4.4 Remote diagnostic and configuration port protection subsumed into A.13.1

A.11.4.6 Network connection control subsumed into A.13.1

A.11.4.7 Network routing control subsumed into A.13.1

A.11.5.5 Session time-out subsumed into A.13.1

A.11.5.6 Limitation of connection time Covered by other controls (A.9.4.2)

A.11.6.2 Sensitive system isolation subsumed into A.11.2.1 & A13.1.3

A.12.2.1 Input data validation subsumed into A.14.1.1 & A.14.2.5

A.12.2.2 Control of internal processing Covered by other controls (A.14.2.5)

A.12.2.3 Message integrity subsumed into A.14.1.1 & A.14.2.5

A.12.2.4 Output data validation subsumed into A.14.1.1 & A.14.2.5

A.12.5.4 Information leakage subsumed into A 13.1 & A 13.2

A.14.1.3 Developing and implementing continuity plans including information security subsumed into A17.1.2

A.14.1.4 Business continuity planning framework subsumed into A17.1.2

A.15.1.5 Provention of misuse of information processing facilities Covered by main requirements of standard - Risk Assessment

A.15.3.2 Protection of information systems audit tools subsumed into 9.4

Bijlage A uit ISO 27001:2005 ISO 27001:2013

A.6

A.7

A.9

A.11

A.12

A.14

A.15 Security Policy

Access Control

Communications and Operations

Management

Asset Management

Human Resources Security

Physical and Environmental

Security

Compliance

Business Continuity

Management

Information Systems

Acquisition, Development

and Maintenance

Organization of Information

Security

A.10

Information Security Incident

Management A.13 A.8

A.5

A.6

A.7

A.8

A.9

A.11

A.12

A.14

A.15

Security

Policy

Access

Control

Operations

Security

Asset

Management

Human Resources

Security

Physical and

Environmental

Security

Compliance

Information security

Aspects of business

continuity

management

Communications

Security

Organization of

Information

Security

A.10

Information

Security Incident

Management

A.13

Cryptography

System acquisition,

development and

maintenance

Supplier

relationship

A.16

A.17

A.18

A.5

Certificeringsproces voor overgang

Van ISO27001:2005 naar ISO27001:2013

Aanpak

Een gecertificeerd bedrijf doorloopt een “Transitie checklist” waarbij

Review van risicobeoordeling

De mapping naar de nieuwe norm

Risicobeheer Behandelplan

De eisen 'nieuwe' bijlage SL eisen zijn gedocumenteerd

De assessor beoordeelt:

De transitie checklist:

Of noodzakelijke beleidsmaatregelen en procedures gedocumenteerd zijn

Het risicobehandelplan

Of de nieuwe of gewijzigde controls zijn geïmplementeerd.

Zaken om over na te denken

Review de algemene doelstellingen van uw ISMS in lijn met clausules 4.1 en 4.2

Review uw risico assessment

Review de verklaring van toepasselijkheid m.b.t. de nieuwe controls

Controleer uw ISMS documentatie voor het opnemen van nieuwe benodigde

informatie

Controleer uw bestaande performances om ervoor te zorgen dat u voldoet

Question Time

Vragen?

Improving performance, reducing risk

ISO 27001:2013 certificeren, implementeren en toepassen

Hoe kan ik mijn organisatie het beste voorbereiden?

BIV definitie

Beschikbaarheid Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en informatiesystemen. Nadruk op beheerder.

Integriteit Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan.

Vertrouwelijkheid Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn geautoriseerd. Nadruk op techniek.

Certificeringsproces en Wat levert certificering mij op?

Aantoonbaar in control >> vertrouwen naar de markt en cliënten en toezichthouders

Vragen of verplichtingen van toezichthouders ben je voor of kun je kun je door middel

van tonen certificaat (ISO27001 of NEN7510) ontwijken. - College bescherming persoonsgegevens (CBP)

- Inspectie voor de Gezondheidszorg (IGZ)

USP: nog maar weinig certificaten afgegeven

Bewustzijn van personeel zal omhoog gaan

Zwakke punten in uw informatiebeveiliging worden zichtbaar gemaakt

Minimaal jaarlijks bezoek auditor aan uw organisatie >> thematische aanpak

Ontwikkelingen ISO27001

ISO/IEC 27001 - Europe

Year 2006 2007 2008 2009 2010 2011 2012

Country 1064 1432 2172 3563 4800 5289 6384

Germany 95 135 239 253 357 424 488

Italy 175 148 233 297 374 425 495

Netherlands 41 41 56 76 97 125 190

Romania 4 16 44 303 350 575 866

Spain 23 93 203 483 711 642 805

United Kingdom 486 519 738 946 1157 1464 1701

Bron: www.iso.org

Hoe ziet een certificeringsproces eruit en wat kost het?

Fase 1:

Documentatie

onderzoek

Fase 2:

Implementatie

audit

Tussentijdse audit

Tussentijdse audit

Herhalingsaudit

extra audit

Fase 0:

Nulmeting /

proefaudit

(optioneel)

Hoe ziet een certificeringsproces eruit en wat kost het?

Fase 1:

Documentatie

onderzoek

Fase 2:

Implementatie

audit

Tussentijdse audit

Herhalingsaudit

extra audit

Fase 0:

Nulmeting /

proefaudit

(optioneel)

Nulmeting / proefaudit optioneel, maar wel betere

resultaten bij vervolgstappen

Documentatie onderzoek:

bent u klaar voor

implementatieaudit?

Implementieaudit: wordt u

aanbevolen voor certificering

ja of nee?

Minimaal jaarlijkse terugkomdag opvolging

openstaande punten

Bij ernstige tekortkoming:

verplichte opvolging en audit

Zie Implementatie audit

Omvang audit (aantal dagen) afh. van:

Volwassenheid systeem

Aantal medewerkers/ locaties

Complexiteit, Aantal applicaties

In- of outsourcing

Gemiddelde organisatie van 50 fte:

•Fase 1 2 dagen

•Fase 2 3 dagen

•Tussentijds (3jr) 5 dagen

Fase 1:

Documentatie

onderzoek

Fase 2:

Implementatie

audit

Tussentijdse audit

Fase 0:

Nulmeting /

proefaudit

(optioneel)

Hoe ziet een certificeringsaudit eruit (fase 1)?

Documentatieonderzoek

• Vaststelling Verklaring van Toepasselijkheid

• Risicoanalyse

• Informatiebeveiligingsbeleid

• Overige beleidsdocumenten en procedures

• Interne en externe audits

• Bepaling mate van uitbesteding

• Rapportage documentatieonderzoek + aanbeveling ‘klaar voor implementatie-audit?’

Hoe ziet een certificeringsaudit eruit (fase 2)?

Implementatie audit

•Afwikkeling openstaande punten rapportage documentatieonderzoek

•Interviews met o.a.

• Verantwoordelijke voor informatiebeveiliging (management en operationeel)

• IT-medewerkers

• Verantwoordelijke voor fysieke beveiliging

• Human Resources

• Afdelingshoofden / kwaliteitsmedewerkers

•Rondleiding computerruimte en afdelingen

•Rapportage implementatie-audit + aanbeveling ‘certificering ja of nee?’

Hoe kan ik mij voorbereiden (als audittee)

• Loop zelf een rondje door uw gebouw/ kantoor en kijk kritisch rond.

• Er is al best veel geregeld bij u (inbraak, brandweer, ICT etc.)

• Voer een gedegen risicoanalyse uit en kom tot een selectie van maatregelen, leg zo

veel mogelijk vast en onderbouw gemaakte keuzes

• Zorg dat beleidsdocumenten aanwezig en door management (zichtbaar) goedgekeurd zijn

• Houd een register van meldingen en incidenten bij en rapporteer hierover

• Achterhaal op welke vertrouwelijke informatie met anderen worden uitgewisseld?

• Praat met andere partijen en werk samen met:

• Uw ICT leverancier(s)

• Collega afdelingen, vind het wiel niet nog een keer uit!

• Bepaal de juiste beheersmaatregelen voor u en onderbouw uw keuze

ISMS processen (PDCA)

Het proces rondom een ISMS

Plan

Do

Check

Act

Documenten Security

policy

Documenten

Documenten

Documenten

Scope

reikwijdte

Besturing

security

ISMS

Rapport

Risico

analyse

SoA Beveiligingspl

an

Controle

programma

Maak

beleid

Bepaal

scope

Bepaal

besturing

Maak risico

analyse

Selecteer

controls

Maak

beveiligings-

plan

Maak

controle plan

Implementatie

plan

Realiseren

maatregelen

Metingen en

rapportages

Incident

rapportages

Rapport controle

programma

Auditrapport

interne audit

Auditrapport

externe audit

Rapport directie

beoordeling

Correctieve

maatregelen Verbeter plannen

Bepaal correctieve

acties

Bepaal verbeter

maatregelen

Voer controles uit Interne audit Externe audit Directie

beoordeling

Maak

Implementatie

plan

Implementeer

maatregelen

Metingen en

rapportages

Rapporteer

incidenten

Verplichte ISMS procedures en beheersmaatregelen

Verplichte procedures :

Beheersing van ISMS documenten

goedkeuren, beoordelen, wijzigen, identificeren, verspreiden, bewaren

Corrigerende maatregelen

• identificeren afwijkingen, oorzaak analyse, vaststellen corrigerende maatregelen, registreren resultaten en beoordelen

Preventieve maatregelen

• identificeren mogelijke afwijkingen, oorzaak analyse, vaststellen

preventieve maatregelen, registreren resultaten en beoordelen

Interne ISMS-audits

• verantwoordelijkheden, eisen rapportages, bijhouden registraties

Directie beoordeling

Monitoring en beoordeling IB tekortkomingen

Continue verbetering

Kernmaatregelen ISMS

Stel beleid op t.a.v. informatiebeveiliging

Inventariseer en analyseer alle risico’s

Stel vast wie waarvoor verantwoordelijk is, benoem risico eigenaren

Zorg voor bewustwording, opleiding en training

Neem maatregelen tegen kwaadaardige programmatuur

Sluit overeenkomsten voor gegevensuitwisseling

Beveilig de toegang tot systemen

Ontwikkel en implementeer Continuiteitsbeheer

Houd rekening met intellectueel eigendom

Beveilig bedrijfsdocumenten

Bescherm persoonsgegevens

Leef beveiligingsbeleid na

Rapporteer beveiligingsincidenten

Risico Management Centraal in 27001: risicomanagement

1) Identificeren -> 2) analyseren -> 3) maatregelen

Risico

Belang Dreiging

Kwetsbaarheid

1) Resultaat van identificatie risico’s

Belang Bedreiging

Gebouw Falende stroomvoorziening

Gebouw Toegang niet-geautoriseerd personeel

Tweede / derde lijn support Verlies van personeel

Tweede / derde lijn support Gebrek aan beveiligingsbewustzijn

Systeemapplicatie support Software upgrade / wijzigingen

Systeemapplicatie support Foutieve softwaresystemen

Systeemapplicatie support Software onvoldoende of incorrect gepatched

Datahosting/database Database patientinformatie gekraakt

Service delivery Misbruik account door ontevreden medewerkers

2) Resultaat van analyse risico’s

“Belang” Dreiging K E R

Medicijnen Foutieve medicijnen aan client 2 8 16

Medicijnen Verkeerde dosering 4 8 32

Patientenzorg Slechte overdracht van de zorg 6 6 36

Communicatie Fouten bij inplannen van zorgverleners 8 2 16

16 32 48 64

12 24 36 48

8 16 24 32

4 8 12 16

Kan

s

Effect

3) Resultaat van behandelen van risico’s

Risicobeheersplan;

Er zijn vier mogelijkheden voor risicobeheersing:

Het risico verminderen;

Het risico ontwijken;

Het risico doorschuiven naar derden;

Het risico accepteren.

Bij welke grenswaarde een of meer van de vier mogelijkheden in werking treedt.

Keuze van beheersmaatregelen en belang ervan (welke van de 133 zijn cruciaal).

Welke zekerheden?

Welke zekerheden kunnen verkregen worden van leveranciers?

Gangbare typen

Third Party audit (TPM)

Second party audit

ISAE3402 (voorheen SAS70)

Essentie

1)ken je leveranciers risico’s voordat ze toegang krijgen tot vertrouwelijke informatie

2)Stel vast op welke scope zekerheid wordt verkregen

Landschap regels en normen (1)

Risk management & IT Control Frameworks:

ISO/IEC 2700X – Security

NEN7510

Cobit 4.1

ISO/IEC 9001 / HKZ / NIAZ

ISO/IEC 13335

ITIL v2, v3 Veranderingen

COSO

BS25999 – BCM

Cloud computing certificatie schema’s

Eurocloud Star Audit

CSA control matrix

Landschap regels en normen (2)

Industry & Regulatory requirements

Energy – NERC

Life Sciences – HIPAA

FSI – Basel III

US – Sarbanes-Oxley Data • BE – Code Lippens

Credit Card – PCI DSS

US – Patriot Act

US – Data Privacy Act

NL–WBP

EU – Data Protection Directive

EU – MiFID

NL – WCCII

NL – WGBO

NL – WBSN

Lloyd’s Register and variants of it are trading names of Lloyd’s Register Group Limited, its subsidiaries and affiliates.

Copyright © Lloyd’s Register Quality Assurance Limited. 2013. A member of the Lloyd’s Register group.

Reinier van Es Business Development Manager Unit/ Department T +31 (0)652560816 E reinier.vanes@lr.org Lloyd’s Register LRQA K.P. v.d. Mandelelaan 41a, 3062 MB Rotterdam

Improving performance, reducing risk