Norm voor informatiebeveiliging specifieke sectoren gepubliceerd
18-09-2016
Met beveiligingsrisico’s die alleen maar toenemen, is het van cruciaal belang dat organisaties hun informatie beveiligen en die van hun klanten. ISO 27001 voor informatiebeveiliging helpt al langer bij beveiligen, maar een nieuwe uitbreiding daarop gaat in op specifieke sectoren.
De nieuwe norm ISO 27009 helpt bij het aanvullen van ISO27001 voor individuele sectoren, in de vorm van advies en richtlijnen. Voluit heet de norm ‘ISO/IEC 27009, Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements’, en hij moet de effectiviteit van 27001 zo groot mogelijk maken. De norm legt uit hoe eisen en besturingselementen aan die van ISO 27001 kunnen worden toegevoegd, die van toepassing zijn op specifieke sectoren.
Volgens Prof. Edward Humphreys, secretaris van de werkgroep die de standaard ontwikkelde is ISO 27001 de internationaal gemeenschappelijke taal voor information security management. ISO 27009 vult deze taal voor de diverse sectoren aan en zorgt zo voor het ontwikkelen van standaarden voor sectorspecifieke informatiebeveiliging en privacy.
“We hebben al standaards ontwikkeld voor specifieke sectoren, zoals ISO 27011 voor de telecomsector, ISO 27017 voor cloud computing en ISO 27019 voor de energiesector. Deze standaards zijn voorbeelden hoe er besturingselementen zijn toegevoegd om aan de eisen te kunnen voldoen die de specifieke sectoren stellen. Bij het ontwikkelen van deze standaards werd het duidelijk dat een geharmoniseerde structuur en taal, gebaseerd op ISO 27001 en specifieke begeleiding, het ontwikkelen van nieuwe sectorspecifieke standaards effectiever zou maken en doublures zou helpen voorkomen.”
“ISO 27009 zal ervoor zorgen dat de ontwikkeling van nieuwe, en de herziening van bestaande, sectorspecifieke normen in overeenstemming is met de aanpak van ISO 27001. De norm geeft namelijk advies over het toevoegen, aanpassen en interpreteren van de ISO 27001 eisen en over het toevoegen en modificeren van de implementatie richtlijn van ISO 27002 voor sectorspecifieke toepassing”