Laatste stand van zaken op het gebied van informatiebeveiliging

09-06-2016 Informatiebeveiliging, Internet of Things (IoT) en Cloud computing: ontwikkelingen die extra aandacht kregen tijdens de jaarlijkse vergadering van de internationale normcommissie ‘IT Security techniques’ afgelopen april. Centraal stond de vraag of deze ontwikkelingen vragen om nieuwe normen of is het voldoende om de bestaande normen aan te passen aan de nieuwe ontwikkelingen?

Jan Rietveld, consultant Kennis en Informatiediensten; “Vooralsnog hebben de nieuwe ontwikkelingen geen consequenties voor de norm ISO/IEC 27001. De markt begint de norm te accepteren en dat kan geremd worden bij het publiceren van een nieuwe versie. Daarbij staan er geen fouten in de norm die moeten worden opgelost”.

Tijdens de vergadering is gesproken over een mogelijke nieuwe norm ‘Privacy-specific application of ISO/IEC 27001’, die gebruikers van ISO/IEC 27001 ondersteuning moet bieden bij het incorporeren van de privacy component. De norm moet aansluiten bij NEN-ISO/IEC 29100 ‘Privacy framework’.

De snel veranderende IT-omgeving vraagt ook om een aanpassing van ISO/IEC 27002. Voorgesteld is om in de nieuwe versie aandacht te besteden aan:

  • de structuur, sommige onderwerpen staan op een vreemde plaats;
  • het aanpassen van onduidelijke/slechte tekstdelen;
  • privacy, dit onderwerp moet meer aandacht krijgen;
  • het leggen van relaties naar andere ‘SC 27’-normen.

Internet of Things

De normcommissie is gevraagd een onderzoek te starten om te bepalen welke beveiligingsnormen nodig zijn voor het Internet of Things. Jan Rietveld: “Het onderzoek zal extra aandacht besteden aan zowel IT-beveiliging als fysieke beveiliging en privacy. Mocht blijken dat specifieke normen nodig zijn, dan vormen de normen ISO/IEC 27001 en ISO/IEC 27001 de basis en houden we rekening met normen over privacy”.

Tijdens de discussie over het IoT werd geconcludeerd dat de meeste onderwerpen bij Smart Cities ook relaties hebben met het IoT en met privacy. Het IoT is onder andere van belang voor de vervoersbranche, slimme auto’s en de gezondheidszorg. Terugkerende onderwerpen waren het ‘fair use’ van gegevens wat per land kan verschillen en de controle of gegevens die vernietigd moeten worden ook daadwerkelijk vernietigd zijn.

Norm voor competenties

Het belang van normen voor competenties neemt ook toe. Er wordt gewerkt aan ISO 27021 ‘Competence requirements for information security management systems professionals’. De norm beschrijft de minimale competenties die iemand moet hebben om een ‘Information Security Managment System’ te kunnen opzetten. De norm maakt ook een koppeling naar het NEN-EN 16234-1: European Competence Framework (e-CF). De tekst is opnieuw opgezet om beter aan te sluiten op het e-CF.

Cyber Resilience

Cyber Resilience is gericht op het kunnen voorzetten van de service/bedrijfsvoering ondanks vijandige cyber aanvallen. Een studiegroep gaat kijken naar de gevaren die er zijn en of er behoefte is aan normen voor Cyber Resilience (is een nieuwe norm vereist of kunnen richtlijnen worden opgesteld met bestaande normen om zo een organisatie Cyber Resilience te maken).

Over de normcommissie IT-Security technigues

De normcommissie IT-security technigues maakt en onderhoudt alle overkoepelende IT-beveiligingsnormen, bijvoorbeeld NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002. De te behandelen onderwerpen zijn verdeeld over vijf werkgroepen:

  • Information security management systems
  • Cryptography and security mechanisms
  • Security evaluation, testing and specification
  • Security controls and services
  • Identity management and privacy technologies.

Meedoen

Wilt u ook betrokken zijn bij de ontwikkeling van normen? Neem dan contact op met Jan Rietveld, Consultant Kennis Informatiediensten, telefoon (015) 2 690376 of e-mail jan.rietveld@nen.nl

Eerder door u bekeken

Contact

Voor inhoudelijke informatie kunt u contact opnemen met Jan Rietveld.

(015) 2 690 376

jan.rietveld@nen.nl

Ook interessant voor u