Hoe CIS V8 ISO 27001 kan aanvullen!

Wat is ISO27001?

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm is een onderdeel van de ISO 27000 serie en deze normen helpen bij het beveiligen van informatie in de breedste zin van het woord (Digitaal, geprint, intern of extern). ISO staat voor ‘International Stadardization Organization’. De Nederlandse instelling ‘NEN’ zorgt ervoor dat de norm vertaald wordt en beschikbaar is voor de Nederlandse markt. 

ISO 27001 kan bij elke organisatie toegepast worden. Voor zorginstellingen bestaat er een aparte norm genaamd NEN 7510. Deze norm is alleen gefocust op de informatiebeveiliging van zorginstellingen en dwingt hiervoor wat specifieke maatregelen af.

De ISO-normen hebben als basis een managementsysteem waarmee een organisatie kan aantonen dat ze in control is. Voor de ISO27000 serie is dit de ISO 27001, dit is dan ook wat er gecertificeerd wordt. Het certificaat wordt afgegeven door een erkende en onafhankelijke partij, die dit doet door het auditen van dit managementsysteem en de werking hiervan. Organisaties die in het bezit zijn van deze certificaat kunnen aan tonen dat zij het proces van informatiebeveiliging beheersen en dat er aandacht vanuit het management is dit constant te verbeteren.

Naast ISO 27001 is er ook de ISO 27002, dit document beschrijft de maatregelen in detail die in de ISO27001 worden beschreven onder Annex A. De maatregelen uit de Annex A (ook wel controls genoemd) worden binnen het certificeringtraject toepasselijk verklaard, wat aangeeft dat deze worden toegepast binnen de organisatie. In principe mag je de controls ook zelf opstellen, maar het is wel verstandig om de ISO27002 als leidraad te gebruiken omdat externe auditors dit ook doen. Op deze manier kan een organisatie de juiste maatregelen nemen om aan ISO 27001 te voldoen.

Wat is de overeenkomt

ISO 27001 en CIS V8 zijn beiden gericht op het beveiligen van de belangrijkste informatie van een organisatie. Veel van de maatregelen uit ISO27002 worden ook benoemd in de CIS v8 al zijn ze daar wat verder uitgewerkt. Met CIS v8 test je dus de maatregelen uit ISO27002.

Wat is het verschil

Het grote verschil tussen CIS en ISO is dat bij ISO er een managementsysteem wordt gecertificeerd. De CIS v8 is geen certificaat, maar het is een technische control set die inzichtelijk maakt hoe volwassen beveiligingsmaatregelen zijn binnen een organisatie. Waarbij binnen ISO er vooral gekeken wordt naar het continue verbeteren van de beveiliging en de aandacht vanuit het management hiervoor, geeft een CIS v8 audit een helder beeld over waar de technische implementatie van het beleid op dit moment staat.

Je kan dus ook stellen dat ze ondersteunend zijn aan elkaar. Een ISO27001 certificaat heeft aan de buiten wereld aan dat er beleid en aandacht is voor informatiebeveiliging en dat er processen geïmplementeerd zijn om dit continue te verbeteren. En de uitkomst van een CIS v8 audit kan intern inzicht geven in mate van volwassenheid en kwaliteit van de genomen maatregelen.

Hoe past OpenSight CIS V8 toe

OpenSight voert CIS v8 audits uit bij klanten om objectief vast te kunnen stellen wat de huidige staat van beveiliging is binnen een organisatie. Hierbij wordt er gekeken naar de overgebleven kwetsbaarheid voor bepaalde aanvalspaden en technische aspecten. Dit geeft een helder inzicht in de verbeterpunten van een organisatie. Het kan dus als toevoeging worden gebruikt binnen een ISO27001 managementsysteem. Na de audit wordt er een rapport opgesteld waarin de verschillende aspecten worden behandeld.  

Bellen
Mailen