| CTRL Disrupt | Enterprise Resilience | Insights |

ISO27005 series deel 2: Context Establishment

Geschreven door Gijs Brandenburg | 27-jun-2023 17:50:13

Introductie

ISO 27005, een onderdeel van de ISO 27000-serie van normen, biedt een raamwerk voor het beheer van informatiebeveiligingsrisico's. Een van de eerste en meest cruciale stappen in dit proces is het vaststellen van de context. Dit artikel zal ingaan op wat contextvaststelling in ISO 27005:2018 inhoudt, het belang ervan, hoe organisaties het kunnen gebruiken en hoe te beginnen, met praktische voorbeelden van een beursgenoteerde bank en een particuliere supermarkt.

Dit artikel is het tweede deel van onze serie over the ISO27005:2018. Vorig artikel gemist? Lees deze hier: Understanding ISO 27005: A Guide for Organizations

Wat is Context Esthablisment in ISO 27005:2018?

De initiële fase van het ISO 27005:2018 proces is het vaststellen van de context. Tijdens deze fase worden de interne en externe parameters gedefinieerd die relevant zijn voor het beheren van informatiebeveiligingsrisico's. Ook wordt de reikwijdte en grenzen van het risicobeheerproces vastgesteld en wordt de risicobeoordelingsmethodologie gedefinieerd.

Het vaststellen van de context in ISO 27005:2018 omvat diverse belangrijke aspecten:

  1. Algemene overwegingen:
    Dit omvat het begrijpen van de algemene context waarin de organisatie opereert, inclusief haar missie, visie, waarden en strategische doelstellingen.

  2. Basis criteria:
    Dit omvat het definiëren van de basis criteria voor het risicomanagementproces, zoals de risico-identificatiemethoden, risicoanalyse benaderingen en risico-evaluatietechnieken.

    1. Risicomanagement aanpak:
      Dit omvat het definiëren van de aanpak van de organisatie voor het management van risico's, inclusief de risicomanagement principes, het raamwerk en het proces.

    2. Risico-evaluatiecriteria:
      Dit omvat het definiëren van de criteria voor het evalueren van risico's, zoals de risiconiveaus, risicodrempels en risico-acceptatiecriteria.

    3. Impactcriteria:
      Dit omvat het definiëren van de criteria voor het beoordelen van de impact van risico's, zoals de mogelijke gevolgen en hoe erg de impact is.

    4. Risico-acceptatiecriteria:
      Dit omvat het definiëren van de criteria voor het accepteren van risico's, zoals het acceptabele risiconiveau en de risicotolerantie.

  3. Reikwijdte en grenzen:
    Dit omvat het definiëren van de reikwijdte en grenzen van het risicobeheerproces, zoals de gebieden van de organisatie die zullen worden opgenomen in het proces en de limieten van het proces.

  4. Organisatie voor informatiebeveiligingsrisicomanagement:
    Dit omvat het definiëren van de rollen en verantwoordelijkheden voor het risicomanagementproces, de benodigde middelen voor het proces en de communicatie- en rapportagemechanismen.

Het vaststellen van de context staat niet op zichzelf, maar is juist nauw verbonden met andere processen in ISO 27005:2018, zoals Monitoring & Review en Communicatie & Consultatie.

Waarom is het vaststellen van context Belangrijk?

Het vaststellen van de context is cruciaal omdat het de basis legt voor het gehele risicomanagementproces. Het helpt organisaties hun omgeving te begrijpen, de factoren te identificeren die de risico's kunnen beïnvloeden, en de parameters te definiëren voor het management van deze risico's.

Door het begrijpen van de externe context, kunnen organisaties de externe factoren identificeren die hun informatiebeveiligingsrisico's kunnen beïnvloeden. Dit kan hen helpen deze factoren te anticiperen en zich erop voor te bereiden, en ervoor te zorgen dat hun risicomanagementproces is afgestemd op de externe omgeving.

Het begrijpen van de interne context kan organisaties helpen hun sterke en zwakke punten te identificeren in het management van informatiebeveiligingsrisico's. Dit kan hen helpen hun sterke punten te benutten en hun zwakke punten aan te pakken, en ervoor te zorgen dat hun risicomanagementproces is afgestemd op hun interne capaciteiten en behoeften.

Het definiëren van de risicobeoordelingsmethodologie is ook cruciaal omdat het bepaalt hoe risico's zullen worden beheerd. Door de risicocriteria en de risico-acceptatiecriteria te definiëren, kunnen organisaties ervoor zorgen dat hun risicomanagementbeslissingen consistent, objectief en afgestemd zijn op hun risicotolerantie.

Hoe kunnen organisaties hun context vaststellen?

Organisaties kunnen hun context in kaart brengen door een grondige analyse van hun externe en interne context uit te voeren en hun risicobeoordelingsmethodologie te definiëren.

Om de externe context te begrijpen, kunnen organisaties de externe omgeving monitoren, marktonderzoek uitvoeren, raadplegen met externe experts, en juridische en regelgevende vereisten analyseren. Om de interne context te begrijpen, kunnen organisaties interne audits uitvoeren, raadplegen met interne belanghebbenden, en hun interne documenten en gegevens analyseren.

Om de risicobeoordelingsmethodologie te definiëren, kunnen organisaties raadplegen met risicobeheerexperts, risicobeheerstandaarden en beste praktijken bekijken, en de methodologie afstemmen op hun risicotolerantie en bedrijfsdoelstellingen.

Praktische voorbeelden van het vaststellen van context

Laten we twee fictieve voorbeelden bekijken: een beursgenoteerde bank en een particuliere supermarkt.

Beursgenoteerde Bank:

  • Externe Context:
    De bank opereert in een sterk gereguleerde financiële markt met strenge cyberbeveiligingseisen. De concurrerende aard van de markt en het hoge risico van cyberdreigingen, vanwege de gevoelige financiële gegevens die ze verwerken, zijn belangrijke overwegingen in hun externe context.

  • Interne Context:
    De complexe organisatiestructuur van de bank, het brede scala aan informatieactiva en de robuuste technologische capaciteiten vormen haar interne context. De structuur en capaciteiten van de bank vereisen een uitgebreide en robuuste benadering van informatiebeveiligingsrisicobeheer.

  • Risicobeheerbenadering:
    Gezien de mogelijke impact van informatiebeveiligingsincidenten op de reputatie en financiële stabiliteit van de bank, zou de risicobeheerbenadering van de bank waarschijnlijk een hoge mate van risicoaversie inhouden. Bovendien moet, vanwege de zware regulering in de banksector, het risicobeheerproces controleerbaar zijn. Dit betekent dat de risicobeheerbenadering goed gedocumenteerd, transparant en in staat moet zijn om auditvereisten te faciliteren.

  • Risico-evaluatiecriteria en Impactcriteria:
    De bank zou strenge risico-evaluatie- en impactcriteria moeten definiëren vanwege de hoge inzet bij mogelijke beveiligingsinbreuken.

  • Risico-acceptatiecriteria:
    Gezien de mogelijke impact van risico's, zouden de risico-acceptatiecriteria van de bank waarschijnlijk zeer laag zijn.

  • Reikwijdte en grenzen:
    De reikwijdte en grenzen zouden waarschijnlijk alle afdelingen en functies omvatten vanwege de onderling verbonden aard van informatiesystemen in een bank.

  • Organisatie voor informatiebeveiligingsrisicobeheer:
    De bank zou het drievoudige verdedigingsmodel kunnen aannemen voor haar informatiebeveiligingsrisicobeheer. De eerste verdedigingslinie is het operationeel management dat risico's bezit en beheert. In de context van informatiebeveiliging kunnen dit IT-managers zijn die verantwoordelijk zijn voor het implementeren van beveiligingscontroles en procedures.
    De tweede verdedigingslinie omvat functies die toezicht houden op of gespecialiseerd zijn in risicobeheer en naleving. Voor de bank zou dit een speciaal informatiebeveiligingsteam kunnen zijn dat het informatiebeveiligingsbeleid vaststelt, de risicobeheeractiviteiten coördineert en zorgt voor naleving van regelgevende vereisten.
    De derde verdedigingslinie is de interne auditfunctie, die onafhankelijke zekerheid biedt aan de raad van bestuur en het senior management over de effectiviteit van risicobeheer. In het geval van de bank zou de interne auditfunctie onafhankelijke audits uitvoeren van de informatiebeveiligingscontroles en het risicobeheerproces, en hun bevindingen en aanbevelingen rapporteren aan de raad en het senior management.
    Dit model zorgt ervoor dat risicobeheer de nodige aandacht en middelen krijgt, en dat er meerdere lagen van controle en toezicht zijn. Voor een meer gedetailleerde uitleg van het drievoudige verdedigingsmodel, kunt u dit artikel "Versterking van IT-risico management met het 3 Lines of Defense Model" raadplegen.

Particuliere Supermarkt:

  • Externe Context:
    De supermarkt opereert in een concurrerende retailmarkt met evoluerende consumentenvoorkeuren. Het risico van cyberdreigingen is matig, maar nog steeds significant, vooral gezien de persoonlijke gegevens van klanten die ze verwerken.

  • Interne Context:
    De eenvoudige organisatiestructuur van de supermarkt, het beperkte scala aan informatieactiva en de basis technologische capaciteiten vormen haar interne context. Deze factoren vereisen een meer eenvoudige, maar nog steeds effectieve, benadering van informatiebeveiligingsrisicobeheer.

  • Risicobeheerbenadering:
    Gezien de mogelijke impact van informatiebeveiligingsincidenten op de bedrijfsvoering van de supermarkt en het vertrouwen van de klant, zou de risicobeheerbenadering van de supermarkt waarschijnlijk een matige mate van risicoaversie inhouden.

  • Risico-evaluatiecriteria en Impactcriteria:
    De supermarkt zou risico-evaluatie- en impactcriteria moeten definiëren die de mogelijke operationele en reputatieschade van beveiligingsinbreuken weerspiegelen.

  • Risico-acceptatiecriteria:
    Gezien de mogelijke impact van risico's, zouden de risico-acceptatiecriteria van de supermarkt waarschijnlijk matig zijn.

  • Reikwijdte en grenzen:
    De reikwijdte en grenzen kunnen worden ingesteld om het hoofdkantoor en alle winkels te omvatten, maar derde partijen leveranciers uit te sluiten. Dit komt omdat de supermarkt directe controle heeft over haar eigen kantoren en winkels, maar niet over de leveranciers.

  • Organisatie voor informatiebeveiligingsrisicobeheer:
    De supermarkt zou de IT-afdeling kunnen betrekken bij risicobeheer, met toezicht van de Chief Information Officer, om ervoor te zorgen dat risicobeheer is geïntegreerd met de IT-strategie en -operaties van de supermarkt.

Aan de slag met Contextvaststelling

Aan de slag gaan met contextvaststelling omvat de volgende stappen:

  1. Begrijp het Concept:
    De eerste stap is het begrijpen van het concept van contextvaststelling en het belang ervan in het ISO 27005:2018 proces. Dit kan worden gedaan door het lezen van de ISO 27005:2018 standaard en gerelateerde materialen, het volgen van trainingen, of het raadplegen van experts.

  2. Voer contextanalyse uit:
    De volgende stap is het uitvoeren van een grondige analyse van de externe en interne context. Dit omvat het verzamelen en analyseren van gegevens, het raadplegen van belanghebbenden, en het identificeren van de factoren die de informatiebeveiligingsrisico's kunnen beïnvloeden.

  3. Definieer Risicobeoordelingsmethodologie:
    Dit omvat het definiëren van de risicocriteria, de risico-acceptatiecriteria, en de methoden voor het identificeren, analyseren, en evalueren van risico's.

  4. Communicatie & Consultatie:
    Betrek relevante belanghebbenden gedurende het hele proces van contextvaststelling. Dit kan organisaties helpen de standpunten en zorgen van de belanghebbenden te begrijpen, hun steun te krijgen voor het risicobeheerproces, en ervoor te zorgen dat het risicobeheerproces transparant en inclusief is. Het communicatie- en consultatieproces kan ook waardevolle input leveren voor het definiëren van de context en de risicobeoordelingsmethodologie.

  5. Monitoring & Review:
    Stel een proces in voor het regelmatig monitoren en herzien van de context. De context van een organisatie is niet statisch, maar kan in de loop van de tijd veranderen door verschillende factoren, zoals veranderingen in de externe omgeving, veranderingen in de strategie en doelstellingen van de organisatie, en veranderingen in de informatiebeveiligingsrisico's. Daarom is het belangrijk om de context regelmatig te monitoren en te herzien om ervoor te zorgen dat deze relevant en up-to-date blijft. De bevindingen van het monitoring- en reviewproces kunnen leiden tot een herziening van de context en de risicobeoordelingsmethodologie.

Conclusie

Contextvaststelling is een cruciale stap in het ISO 27005:2018 proces. Het legt de basis voor het gehele risicobeheerproces, helpt organisaties hun omgeving te begrijpen en hun risicobeoordelingsmethodologie te definiëren, en zorgt ervoor dat hun risicobeheerbeslissingen consistent, objectief, en afgestemd zijn op hun risicotolerantie en bedrijfsdoelstellingen. Door het begrijpen en implementeren van contextvaststelling, kunnen organisaties hun informatiebeveiligingsrisico's effectiever beheren en hun algehele beveiligingshouding verbeteren.

In ons volgende artikel gaan we verder met het verkennen van het ISO 27005:2018 proces en duiken we in de cruciale stap van risico-identificatie. We bespreken wat dit inhoudt, waarom het belangrijk is en hoe organisaties effectief risico's kunnen identificeren. Mis het niet en blijf op de hoogte voor waardevolle inzichten om jouw begrip en implementatie van het ISO 27005:2018 proces verder te verbeteren.