Wat is een beheersmaatregel (control) in ISO 27001?

Overzicht

Een beheersmaatregel (control) in ISO 27001 is een maatregel die het informatiebeveiligingsrisico wijzigt of vermindert. Beheersmaatregelen zijn beleidsregels, procedures, praktijken, organisatiestructuren of technische mechanismen die de vertrouwelijkheid, integriteit en beschikbaarheid van informatie-assets beschermen.

Wat het in de praktijk betekent

Beheersmaatregelen zijn het "hoe" van beveiliging - de specifieke acties die u onderneemt om geïdentificeerde risico's aan te pakken. Nadat de risicobeoordeling de bedreigingen heeft geïdentificeerd, zijn beheersmaatregelen de tegenmaatregelen die u implementeert om die risico's tot aanvaardbare niveaus te verlagen.

Voorbeeld uit de praktijk: Als een risicobeoordeling "ongeautoriseerde toegang tot de klantendatabase" identificeert als een hoog risico, kunt u beheersmaatregelen implementeren zoals: een toegangscontrolebeleid (organisatorische maatregel), multi-factor authenticatie (technische maatregel) en training in beveiligingsbewustzijn (personeelsmaatregel). Samen verminderen deze beheersmaatregelen het risico.

Typen beheersmaatregelen

Op functie

Preventieve maatregelen: Voorkomen beveiligingsincidenten voordat ze plaatsvinden (toegangscontroles, firewalls, versleuteling)
Detectieve maatregelen: Identificeren beveiligingsincidenten wanneer ze plaatsvinden (monitoring, logging, inbraakdetectie)
Correctieve maatregelen: Beperken de impact nadat incidenten hebben plaatsgevonden (herstel van back-ups, procedures voor incidentrespons)

Op aard

Technische maatregelen: Op technologie gebaseerde maatregelen (versleuteling, authenticatie, bescherming tegen malware)
Organisatorische maatregelen: Beleid, procedures en managementpraktijken (risicomanagement, classificatie van assets)
Fysieke maatregelen: Bescherming van de fysieke omgeving (sloten, bewaking, toegang tot faciliteiten)
Personeelsmaatregelen: Op mensen gerichte maatregelen (training, screening, geheimhoudingsverklaringen)

Op implementatiebenadering

Administratieve maatregelen: Gedocumenteerde regels en procedures
Logische maatregelen: Software- en systeemgebaseerde controles
Fysieke maatregelen: Tastbare beschermende maatregelen

Annex A beheersmaatregelen

ISO 27001:2022 Annex A bevat 93 specifieke beheersmaatregelen, verdeeld over vier thema's, waaruit organisaties kunnen kiezen op basis van de risicobeoordeling:

Organisatorische maatregelen (A.5.1-A.5.37): 37 maatregelen voor governance, beleid, assetmanagement, leveranciersbeheer en incidentmanagement
Personeelsmaatregelen (A.6.1-A.6.8): 8 maatregelen voor de levenscyclus van het dienstverband en menselijke risico's
Fysieke maatregelen (A.7.1-A.7.14): 14 maatregelen voor de beveiliging van faciliteiten en bescherming van fysieke assets
Technische maatregelen (A.8.1-A.8.34): 34 maatregelen voor IT-beveiliging, toegangsbeheer en technische waarborgen

Selectie van maatregelen: U bent niet verplicht om alle 93 Annex A-beheersmaatregelen te implementeren. Uw risicobeoordeling bepaalt welke maatregelen noodzakelijk zijn. Documenteer de beslissingen over de selectie in uw Verklaring van Toepasselijkheid (SoA).

Beheersingsdoelstellingen vs. beheersmaatregelen

Beheersingsdoelstelling

De gewenste uitkomst of het beveiligingsdoel (bijv. "voorkom ongeautoriseerde toegang tot gevoelige gegevens").

Beheersmaatregel

De specifieke maatregel die de doelstelling implementeert (bijv. "multi-factor authenticatie voor alle gebruikers die toegang hebben tot de klantendatabase").

Waarom het onderscheid belangrijk is

ISO 27001 Annex A vermeldt beheersingsdoelstellingen. Hoe u elke maatregel implementeert, hangt af van uw organisatorische context, technologie en risicoprofiel. Twee organisaties kunnen hetzelfde doel bereiken met verschillende implementaties.

Proportionele implementatie: Een kleine startup kan "beveiligingsbewustzijnstraining" (A.6.3) implementeren via maandelijkse teamvergaderingen, terwijl een grote onderneming een leermanagementsysteem met rolgebaseerde curricula kan gebruiken. Beiden voldoen aan de beheersingsdoelstelling als dit passend is voor hun context.

Effectiviteit van beheersmaatregelen

Wat een beheersmaatregel effectief maakt

Beheersmaatregelen moeten het risico daadwerkelijk verminderen en niet alleen op papier bestaan. Effectieve maatregelen zijn:

Geïmplementeerd: Daadwerkelijk ingezet en operationeel
Passend: Geschikt voor het risico en de organisatorische context
Meetbaar: U kunt verifiëren dat ze werken
Consistent: Uniform toegepast binnen de hele organisatie
Onderhouden: Actueel gehouden als risico's en de omgeving veranderen

Testen van de effectiviteit van beheersmaatregelen

Beoordeling van documentatie: Verifiëren of documentatie van maatregelen bestaat en actueel is
Observatie: Bekijken of maatregelen in de praktijk werken
Interview: Bevestigen of personeel de procedures begrijpt en opvolgt
Technische testen: Verifiëren of technische maatregelen werken zoals geconfigureerd
Steekproeven van bewijsmateriaal: Controleren van records die de voortdurende werking van maatregelen bewijzen

Veelvoorkomende auditbevinding: Maatregelen die zijn vastgelegd in beleidsregels maar niet daadwerkelijk zijn geïmplementeerd of onderhouden. Auditors verifiëren of maatregelen effectief werken, niet alleen of u mooie documentatie heeft.

Compenserende beheersmaatregelen

Wanneer compenserende maatregelen worden gebruikt

Soms kunt u een specifieke maatregel niet implementeren vanwege technische beperkingen, kostenoverwegingen of operationele redenen. Compenserende maatregelen zijn alternatieve maatregelen die dezelfde risicoreductie bereiken.

Vereisten voor compenserende maatregelen

Bieden een vergelijkbare of betere risicoreductie dan de oorspronkelijke maatregel
Richten zich op dezelfde beheersingsdoelstelling
Worden gedocumenteerd en onderbouwd in uw Verklaring van Toepasselijkheid
Zijn acceptabel voor auditors en belanghebbenden

Voorbeelden

Oorspronkelijke maatregel: Netwerksegmentatie om gevoelige systemen te isoleren
Compenserende maatregel: Verbeterde monitoring en toegangscontroles als de netwerkarchitectuur segmentatie verhindert

Oorspronkelijke maatregel: Biometrische toegang voor de serverruimte
Compenserende maatregel: Toegang met badge in combinatie met cameratoezicht en toegangslogs als biometrie niet haalbaar is

Bewijsvoering van beheersmaatregelen

Waar auditors naar kijken

Voor elke geïmplementeerde maatregel vragen auditors om bewijs dat het volgende aantoont:

Bestaan: De maatregel is vastgesteld (beleidsdocumenten, systeemconfiguraties)
Werking: De maatregel functioneert regelmatig (logs, rapporten, records)
Effectiviteit: De maatregel vermindert het risico (metingen, testresultaten, incidentgegevens)

Voorbeelden van bewijsmateriaal per type maatregel

Beleidsmaatregelen: Goedgekeurde beleidsdocumenten, versiebeheer, bevestigingen van personeel
Technische maatregelen: Screenshots van configuraties, systeemlogs, scanrapporten
Procesmaatregelen: Ingevulde checklists, workflow-tickets, beoordelingsverslagen
Trainingsmaatregelen: Certificaten van voltooiing, presentielijsten, testscores

Bewijsstrategie: Integreer de verzameling van bewijsmateriaal vanaf het begin in de uitvoering van de maatregel. Driemaandelijkse toegangsbeoordelingen genereren bewijs voor toegangsbeheer, back-up logs bewijzen dat back-upmaatregelen werken, en rapportages over trainingen ondersteunen de awareness-maatregelen.

Levenscyclus van een beheersmaatregel

1. Selectie (Planning)

Identificeer op basis van de risicobeoordeling welke maatregelen de gevonden risico's aanpakken. Documenteer dit in de Verklaring van Toepasselijkheid.

2. Implementatie (Inzet)

Implementeer de geselecteerde maatregelen met de juiste scope, planning en middelen. Stel beleid op, configureer systemen en train personeel.

3. Uitvoering (Dagelijks)

Voer de beheersmaatregelen uit als onderdeel van de normale bedrijfsvoering. Genereer bewijsmateriaal via logs, rapporten en records.

4. Monitoring (Continu)

Volg de effectiviteit van maatregelen via statistieken, beoordelingen en testen. Identificeer defecten of zwakheden in de maatregelen in een vroeg stadium.

5. Beoordeling (Periodiek)

Beoordeel of maatregelen passend blijven wanneer risico's, technologie en de organisatie veranderen. Actualiseer of verwijder maatregelen indien nodig.

6. Verbetering (Continu)

Verbeter maatregelen op basis van incidenten, auditbevindingen, nieuwe bedreigingen of technologische verbeteringen.

Veelvoorkomende fouten bij implementatie

Maatregelen implementeren zonder risicobeoordeling

Maatregelen selecteren op basis van sjablonen of "best practices" in plaats van uw eigen risicobeoordeling. Dit verspilt middelen en kan gaten in de beveiliging laten bestaan.

Over-documentatie, onder-implementatie

Uitgebreide beleidsregels en procedures creëren, maar de maatregelen niet daadwerkelijk inzetten of uitvoeren.

Eenmalige actie-mentaliteit

Maatregelen eenmalig implementeren tijdens de voorbereiding op de certificering, maar ze vervolgens niet onderhouden of doorlopend bewijs verzamelen.

Geen meting van effectiviteit

Ervat uitgaan dat maatregelen werken zonder de impact op de risicoreductie te testen of te meten.

Point-oplossingen in plaats van 'defense in depth'

Vertrouwen op afzonderlijke maatregelen in plaats van gelaagde verdediging. Het falen van één maatregel mag niet leiden tot een volledige inbreuk.

Best practice: Implementeer beheersmaatregelen in lagen (defense in depth). Bescherm gevoelige gegevens bijvoorbeeld met: classificatiebeleid (organisatorisch), toegangscontrole (technisch), versleuteling (technisch), monitoring (detectief) en back-ups (correctief). Als één maatregel faalt, bieden de andere nog steeds bescherming.

Volwassenheidsniveaus van beheersmaatregelen

Niveau 1: Initieel/Ad-hoc

Maatregelen bestaan informeel of inconsistent. Geen documentatie of standaardisatie.

Level 2: Herhaalbaar

Maatregelen zijn gedocumenteerd en worden over het algemeen opgevolgd, maar de implementatie verschilt per afdeling of persoon.

Level 3: Gedefinieerd

Maatregelen zijn gestandaardiseerd, gedocumenteerd en consistent geïmplementeerd in de gehele organisatie.

Level 4: Beheerd

Maatregelen worden gemeten en bewaakt. Statistieken houden de effectiviteit en prestaties bij.

Level 5: Geoptimaliseerd

Maatregelen worden continu verbeterd op basis van statistieken, incidenten en de veranderende risico-omgeving.

ISO 27001-certificering vereist doorgaans Niveau 3 (gedefinieerd en consistent). Volwassen organisaties streven naar Niveau 4-5.

Maatregelen in verschillende frameworks

ISO 27001 beheersmaatregelen

93 maatregelen in Annex A, selectie op basis van risico, internationaal erkend.

NIST-frameworks

NIST CSF gebruikt vijf functies (Identify, Protect, Detect, Respond, Recover). NIST 800-53 biedt een gedetailleerde catalogus van maatregelen, primair voor Amerikaanse federale systemen.

SOC 2 Trust Service Criteria

Criteria voor Beveiliging, Beschikbaarheid, Verwerkingsintegriteit, Vertrouwelijkheid en Privacy met specifieke beveiligingseisen voor serviceorganisaties.

PCI DSS-vereisten

12 vereisten gericht op het beschermen van betaalkaartgegevens, verplicht voor organisaties die kaartbetalingen verwerken.

Veel beheersmaatregelen overlappen tussen verschillende frameworks. De risico-gebaseerde aanpak van ISO 27001 dekt vaak gelijktijdig de vereisten van meerdere frameworks af.

Gerelateerde concepten

Annex A Beheersmaatregelen - De 93 specifieke maatregelen in ISO 27001:2022
Risicobeoordeling - Het proces dat bepaalt welke maatregelen geïmplementeerd moeten worden
Verklaring van Toepasselijkheid (SoA) - Document waarin uw selectie van maatregelen wordt opgesomd
Risicobehandeling - De implementatie van maatregelen om risico's aan te pakken
Hoe ISO 27001 Annex A maatregelen te implementeren met AI

Hulp nodig?

Gebruik ISMS Copilot om passende maatregelen voor uw risico's te identificeren, documentatie voor de implementatie van maatregelen op te stellen en strategieën voor bewijsverzameling te ontwikkelen ter voorbereiding op een audit.

Was dit nuttig?