Voor een aantoonbare beheersing
Bent u er klaar voor? Nieuws

NIS2 - ISO27001 overeenkomsten - verschillen

Wat is NIS2?
De NIS2-richtlijn (Network and Information Security 2, opvolger van NIS1) is vastgesteld door de Europese Unie om de cybersecurity en digitale weerbaarheid in EU-lidstaten te versterken. NIS2 gaat verder dan zijn voorganger: meer sectoren (oa digitale aanbieders, beheerders ICT diensten, overheid, energie, digitale infra, bankwezen, zorg), strengere beveiligingsnormen en meldingsvereisten voor incidenten. Zorg- en meldplicht is een belangrijk element. Vanaf 2024 treedt deze richtlijn als wetgeving in werking.

Wat is ISO27001?
ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. Deze ISO 27001 norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.

NIS2 - ISO27001 overeenkomsten en verschillen
Is de IT-omgeving ingericht conform ISO27001 dan is er al een belangrijke stap gemaakt. Er is een informatiebeveiligingsbeleid, logische toegangbeveiliging is ingeregeld, medewerkers zijn bewust van informatiebeveiligingsrisico's, een proces voor incidentmanagement is geïmplementeerd etc. Er is zo al een voorsprong op de NIS2, helemaal als het ISO 27001 managementsysteem is gecertificeerd.
Wel zijn er enkele verschillen. Er is zorgplicht en meldplicht van significante cyberincidenten. Ook staat de organisatie onder toezicht van een bevoegde instantie.

ISO27001 als control framework
Door meteen de opzet van ISO 27001 te gebruiken is de eigen organisatie op een gestructureerde manier weerbaarder te maken tegen cybersecurity risico's en is de privacybescherming beter geregeld. Veel organisatie gebruiken daarvoor een control framework (een stelsel van beheersmaatregelen) gebaseerd op ISO 27001 (ISO 27002).

In ons demo-managementsysteem ISO 27001  of hiervan afgeleid managementsysteem BIO - Baseline Informatiebeveiliging Overheid en managementsysteem NEN 751 (zorgspecifiek) hebben wij de opzet van ISO27001 verwerkt.
Tip: bekijk het control framework ISO 27001:2022.

Inhoudelijk meer willen weten?
Klik alvast hier voor een QuickStart stappenplan ISO 27001:2022 met voorbeelden of vraag naar de ISO 27001 snel-klaar-kit.

Een overzicht van de beheersmaatregelen volgens ISO27001 versie 2022.

  ISO 27001 Annex A versie 2022 vertaald in NL Lijkt op
 5 Organisatorische maatregelen ISO 27001 Ann. A  ISO 27002:2013
 5.1 Beleid voor informatiebeveiliging  A5.1.1
 5.2  Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging  A6.1.1
 5.3 Functiescheiding  A6.1.2
 5.4 Beheersverantwoordelijkheden  A6.1.1
 5.5 Contact met autoriteiten  A6.1.3
 5.6 Contact met speciale belangengroepen  A6.1.4
 5.7 Bedreigingsinformatie  Nieuw
 5.8 Informatiebeveiliging in projectmanagement  A6.1.5
 5.9 Inventarisatie van informatie en andere bijbehorende assets  A8.1.1
 5.10 Aanvaardbaar gebruik van informatie en andere bijbehorende assets  A8.1.3
 5.11 Teruggave van assets  A8.1.4
 5.12 Classificatie van informatie  A8.2.1
 5.13 Labellen van informatie  A8.2.2
 5.14 Informatieoverdracht  A13.2
 5.15 Toegangsbeveiliging  A9
 5.16 Identiteitsbeheer  A9.2.1
 5.17 Authenticatie-informatie  A9
 5.18 Toegangsrechten  A9.2
 5.19 Informatiebeveiliging in leveranciersrelaties  A15
 5.20 Aanpak informatiebeveiliging binnen leveranciersovereenkomsten  A15.1
 5.21 Beheer van informatiebeveiliging in de ICT-toeleveringsketen  A15.2
 5.22 Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten  A15.2
 5.23 Informatiebeveiliging bij het gebruik van cloud diensten   Nieuw
 5.24 Planning en voorbereiding van informatiebeveiligingsincidenten  A16.1
 5.25 Beoordeling en besluit over informatiebeveiligingsgebeurtenissen  A16.1.4
 5.26 Reactie op informatiebeveiligingsincidenten  A16.1.5
 5.27 Leren van informatiebeveiligingsincidenten  A16.1.6
 5.28 Verzameling van bewijs  A16.1.7
 5.29 Informatiebeveiliging tijdens verstoring  A17.1
 5.30 ICT-gereedheid voor bedrijfscontinuïteit  Nieuw
 5.31 Identificatie van wettelijke, statutaire, regelgevende en contractuele vereisten  A18.1.1
 5.32 Intellectuele eigendomsrechten  A18.1.2
 5.33 Gegevensbescherming  A18.1.3
 5.34 Privacy en bescherming van PII  A18.1.4
 5.35 Onafhankelijke beoordeling van informatiebeveiliging  A18.2.1
 5.36 Naleving van beleidslijnen en normen voor informatiebeveiliging  A18.2.2
 5.37 Gedocumenteerde bedieningsprocedures  A12.1.1
     
 6.   Maatregelen tav mensen  
 6.1  Screening  A7.1.1
 6.2  Arbeidsvoorwaarden  A7.1.2
 6.3  Bewustwording, opleiding en training op het gebied van informatiebeveiliging  A7.2.2
 6.4  Disciplinair proces  A7.2.3
 6.5  Verantwoordelijkheden na beëindiging of verandering van dienstverband  A7.3.1
 6.6  Geheimhoudings- of geheimhoudingsovereenkomsten  A7.2/A15.1.2
 6.7  Werken op afstand  A6.2.2
 6.8  Rapportage van informatiebeveiligingsgebeurtenissen  A12.4
     
 7.  Fysieke maatregelen  
 7.1  Fysieke beveiligingszone  A11.1.1
 7.2  Fysieke toegangscontroles  A11.1.2
 7.3  Beveiligen van kantoren, kamers en faciliteiten  A11.1.3
 7.4  Fysieke beveiligingsmonitoring  Nieuw
 7.5  Bescherming tegen fysieke en omgevingsbedreigingen  A11.1.4
 7.6  Werken in beveiligde ruimtes  A11.1.5
 7.7  Clear desk, clear screen  A11.2.9
 7.8  Plaatsing en bescherming van de uitrusting  A11.2.1
 7.9  Beveiliging van assets buiten de bedrijfsruimten  A11.2.6
 7.10  Opslagmedia  A8.3
 7.11  Ondersteunende systemen  A11.2.2
 7.12  Bekabelingbeveiliging  A11.2.3
 7.13  Onderhoud van de apparatuur  A11.2.4
 7.14  Veilige verwijdering of hergebruik van apparatuur  A11.2.7
     
 8.   Technische maatregelen  
 8.1  Eindgebruikers apparatuur  A6.2.1, A11.2.8
 8.2  Speciale toegangsrechten  A9.2.3
 8.3  Beperking van toegang tot informatie  A9.4.1
 8.4  Toegang tot broncode  A9.4.5
 8.5  Beveiligde authenticatie  A9.3
 8.6  Capaciteitsbeheer  A12.1.3
 8.7  Bescherming tegen malware  A12.2
 8.8  Beheer van technische kwetsbaarheden  A12.6
 8.9  Configuratiebeheer  Nieuw
 8.10  Informatie verwijderen  Nieuw
 8.11  Gegevensmaskering  Nieuw
 8.12  Preventie van datalekken  Nieuw
 8.13  Informatie back-up  A12.3
 8.14  Redundantie van informatieverwerkingsfaciliteiten  A17.2
 8.15  Loggen  A12.4
 8.16  Bewaking van activiteiten  Nieuw
 8.17  Kloksynchronisatie  A12.4.4
 8.18  Gebruik van geprivilegieerde hulpprogramma's  A12.7.1
 8.19  Installatie van software op operationele systemen  A12.5.1
 8.20  Netwerkbediening  A13.1
 8.21  Beveiliging van netwerkdiensten  A13.1
 8.22  Segregatie in netwerken  A13.1.3
 8.23  Webfiltering   Nieuw 
 8.24  Gebruik van cryptografie  A10
 8.25  Veilige ontwikkelingslevenscyclus  A10.1.3
 8.26  Beveiligingsvereisten voor toepassingen  A14.1
 8.27  Veilige systeemarchitectuur en engineeringprincipes  A14.2.5
 8.28  Veilig programmeren  Nieuw
 8.29  Beveiligingstesten in ontwikkeling en acceptatie  A14.2.8/9
 8.30  Uitbestede ontwikkeling  A14.2.7
 8.31  Scheiding van ontwikkel-, test- en productieomgevingen  A12.1.4
 8.32  Wijzigingsbeheer  A14.2.2
 8.33  Testinformatie  A14.3
 8.34  Bescherming van informatiesystemen tijdens audit en testen  A12.7.1
     
     
     
     





 

 

 

 

 

 

 

Gratis Live
QuickScan
Share |
false