Academie thuis
Blogs
Top 7 informatiebeveiligingsstandaarden, kaders en wetten uitgelegd
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Top 7 informatiebeveiligingsstandaarden, kaders en wetten uitgelegd

ISO 27001 collectie
Top 7 informatiebeveiligingsstandaarden, kaders en wetten uitgelegd
NIS2-verzameling
Top 7 informatiebeveiligingsstandaarden, kaders en wetten uitgelegd
Cyberday blog
Top 7 informatiebeveiligingsstandaarden, kaders en wetten uitgelegd

Er zijn meerdere raamwerken voor informatiebeveiliging en cyberveiligheid beschikbaar om organisaties te helpen hun eigen informatiebeveiligingsplannen op te stellen. Veel van deze raamwerken worden ook al ondersteund in Cyberday.

Informatiebeveiligingsraamwerken zijn er in vele soorten - bijv. internationale standaarden, lokale programma's, EU-verordeningen of -richtlijnen, branchespecifieke wetgeving, organisatiespecifieke criteriacatalogi of andere sets van best practices op het gebied van beveiliging.

Hier vindt u belangrijke informatie over enkele van de populairste standaarden voor informatiebeveiliging.

Laatst bijgewerkt: 4.3.2024

ISO 27001-norm

ISO/IEC 27001 is een internationale norm voor het beheren van informatiebeveiliging. De norm beschrijft de vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een beheersysteem voor informatiebeveiliging (ISMS) - met als doel organisaties te helpen hun informatiemiddelen beter te beveiligen.

ISO 27001 benadrukt het belang van het identificeren en beoordelen van risico's voor informatiebeveiliging. Organisaties moeten risicomanagementprocessen implementeren om potentiële bedreigingen te identificeren, hun impact te evalueren en passende risicobeperkende strategieën te ontwikkelen.

ISO 27001 bevordert ook een cultuur van voortdurende verbetering op het gebied van informatiebeveiliging. Regelmatige controle, prestatie-evaluatie en periodieke beoordelingen helpen organisaties zich aan te passen aan veranderende bedreigingen en de effectiviteit van hun ISMS te verbeteren.

ISO 27001-structuur

22 topmanagementvereisten voor het beheren van informatiebeveiliging

  • 4. Context van de organisatie
  • 5. Leiderschap
  • 6. Planning
  • 7. Middelen
  • 8. Werking
  • 9. Prestatie-evaluatie
  • 10. Verbetering

93 controles voor het implementeren van informatiebeveiliging

  • 5. Organisatorische controles (bijv. activabeheer, relaties met leveranciers, continuïteit)
  • 6. Controle van mensen
  • 7. Fysieke controles
  • 8. Technologische controles (bijv. beheer van kwetsbaarheden, incidentenbeheer, veilige ontwikkeling, veilige configuratie)

ISO 27001 specialiteiten

  • Oorspronkelijk gepubliceerd in 2005, herzien in 2013 en voor het laatst in 2022.
  • Een gouden standaard: bekend over de hele wereld met vele andere wetten, kaders etc. die verwijzen naar ISO 27001
  • Certificering beschikbaar en veel geaccrediteerde auditbedrijven in meerdere landen
  • Veel uitbreidende normen beschikbaar (ISO 27017 (cloudbeveiliging), ISO 27018 (cloudprivacy), ISO 27701 (privacybeheer), ISO 27799 (gezondheidsindustrie), ISO 27031 (rampenherstel), ISO 27040 (opslagbeveiliging)).

DORA (Wet Digitale Operationele Weerbaarheid)

Vóór de DORA beheersten financiële instellingen de belangrijkste categorieën van operationeel risico voornamelijk met de toewijzing van kapitaal, maar ze beheerden niet alle componenten van operationele veerkracht.

Na DORA moeten ze ook regels volgen voor de bescherming, detectie, insluiting, herstel en reparatiecapaciteit tegen ICT-gerelateerde incidenten. Het DORA verwijst expliciet naar ICT-risico's en stelt regels op voor ICT-risicobeheer, incidentrapportage, het testen van de operationele veerkracht en ICT-risicomonitoring door derden.

DORA erkent dat ICT-incidenten en een gebrek aan operationele veerkracht de soliditeit van het hele financiële systeem in gevaar kunnen brengen, zelfs als er "voldoende" kapitaal is voor de traditionele risicocategorieën.

DORA structuur

DORA bevat in totaal 41 vereisten. De hoofdinhoud voor eindgebruikersorganisaties staat in de hoofdstukken II - VI.

  • ICT-risicobeheer (artikelen 5-16)
  • Beheer, classificatie en rapportage van ICT-gerelateerde incidenten (artikelen 17-23)
  • Testen van de digitale operationele veerkracht (artikelen 24-27)
  • Beheer van ICT-risico's voor derden (artikelen 28-44)
  • Regelingen voor het delen van informatie (artikel 45)

DORA specialiteiten

  • EU-verordening
  • Geldt vanaf 17 januari 2025
  • Van invloed op financiële entiteiten zoals banken, verzekeringsmaatschappijen of beleggingsondernemingen en hun toeleveringsketens

NIS2-richtlijn

NIS2 (Network and Information Systems Directive 2) is het nieuwe regelgevingskader van de EU voor informatiebeveiliging in belangrijke sectoren.

Het legt een nieuwe lat voor informatiebeveiligingsnormen, breidt het toepassingsgebied uit ten opzichte van de oorspronkelijke NIS, introduceert strenge toezichthoudende activiteiten voor naleving en ook mogelijke sancties voor overtredingen. Het doel is om de Europese informatie-infrastructuur beter te beveiligen.

Het is vooral belangrijk op te merken dat NIS2 niet alleen de normen voor cyberbeveiliging van organisaties vaststelt, maar ook het topmanagement verantwoordelijk houdt voor het bereiken van deze normen. Nalatigheid of onvoldoende betrokkenheid bij deze regelgeving kan aanzienlijke juridische gevolgen hebben. Als u geen blijk geeft van gepaste zorgvuldigheid bij het implementeren van robuuste cyberbeveiligingsmaatregelen die voldoen aan de NIS2-standaarden, kan het topmanagement persoonlijk verantwoordelijk worden gehouden voor eventuele resulterende beveiligingsproblemen.

NIS2-structuur

In de volledige tekst van NIS2 worden alleen in hoofdstuk IV vereisten voor eindgebruikersorganisaties genoemd.

Hoofdstuk IV "Risicobeheersmaatregelen voor cyberbeveiliging en rapportageverplichtingen" bevat de volgende artikelen:

  • 20 - Governance: Onderstreept de rol van het topmanagement als verantwoordelijke voor de implementatie van de informatiebeveiligingsmaatregelen.
  • 21 - Risicobeheersmaatregelen voor cyberbeveiliging: Toont de informatiebeveiligingsgebieden waarvoor organisaties gedocumenteerde en geïmplementeerde maatregelen moeten hebben.
  • 22 - Gecoördineerde veiligheidsrisicobeoordelingen van kritieke bevoorradingsketens op EU-niveau
  • 23 - Rapportageverplichtingen: Bevat vereisten voor het melden van incidenten aan autoriteiten en gebruikers van diensten.
  • 24 - Gebruik van Europese certificeringsprogramma's voor cyberbeveiliging
  • 25 - Standaardisatie

NIS 2 vereist dat organisaties maatregelen hebben gedocumenteerd en geïmplementeerd voor de volgende informatiebeveiligingsgebieden:

  • Risicobeheer en beveiliging van informatiesystemen
  • Incidentbeheer en rapportage
  • Incidenten registreren en detecteren
  • Bedrijfscontinuïteit en back-ups
  • Beveiliging en bewaking van de toeleveringsketen
  • Veilig systeem verwerven en ontwikkelen
  • Effectiviteit van beveiligingsmaatregelen beoordelen
  • Cyberhygiënepraktijken en -training
  • Encryptie
  • Personeelsbeveiliging
  • Toegangscontrole
  • Activabeheer
  • Multi-factor authenticatie (MFA)

NIS2-specialiteiten

  • EU-richtlijn
  • NIS2 wordt van kracht op 18 oktober 2024.
  • Gespecificeerde industrieën in het toepassingsgebied
  • Supply chain effect verbreedt de reikwijdte naar ook de belangrijke leveranciers van NIS2-organisaties

NIST CSF (1.1)

Het NIST Cybersecurity Framework (CSF) is een verzameling beste praktijken en aanbevelingen voor cyberbeveiliging van het National Institute of Standards and Technology (NIST) uit de Verenigde Staten.

Het CSF zet een reeks aanbevelingen en standaarden uiteen waarmee organisaties beter voorbereid zijn op het identificeren en detecteren van cyberaanvallen, en biedt ook richtlijnen voor het reageren op, voorkomen van en herstellen van cyberincidenten.

NIST CSF wordt algemeen beschouwd als de gouden standaard voor het bouwen van een cyberbeveiligingsprogramma.

Structuur van het NIST-CF

Het NIST CSF bevat in totaal 108 vereisten. Deze vereisten zijn ondergebracht in 5 kernfuncties: Identify (ID), Protect (PR), Detect (DE), Respond (RS) en Recover (RC).

De functie Identify (ID) heeft betrekking op de volgende beveiligingsaspecten:

  • Activabeheer
  • Bedrijfsomgeving
  • Bestuur
  • Risicobeoordeling
  • Strategie voor risicobeheer
  • Risicobeheer van de toeleveringsketen

De functie Protect (PR) heeft betrekking op de volgende beveiligingsaspecten:

  • Identiteitsbeheer, authenticatie en toegangscontrole
  • Bewustwording en training
  • Gegevensbeveiliging
  • Informatiebeschermingsprocessen en -procedures
  • Onderhoud
  • Proactieve technologie

De functie Detect (DE) heeft betrekking op de volgende beveiligingsaspecten:

  • Anomalieën en gebeurtenissen
  • Continue bewaking van beveiliging
  • Opsporingsprocessen

De functie Respond (RS) heeft betrekking op de volgende beveiligingsaspecten:

  • Planning van reacties
  • Communicatie
  • Analyse
  • Mitigatie
  • Verbeteringen

De functie Recover (RC) heeft betrekking op de volgende beveiligingsaspecten:

  • Herstelplanning
  • Verbeteringen
  • Communicatie

NIST CSF specialiteiten

  • Wordt beschouwd als een gouden standaard voor het opbouwen van een cyberbeveiligingsprogramma, vooral op de Noord-Amerikaanse markt.
  • Veel andere raamwerken hebben de kernfunctie-indeling van het NIST CSF omarmd: Identify-Protect-Detect-Respond-Recover
  • NIST heeft ook meer technische catalogi van beveiligings- en privacycontroles gepubliceerd, bijv. NIST SP 800-53 en NIST SP 800-171.
  • Oorspronkelijk gepubliceerd in 2014, bijgewerkt in april 2018 tot v1.1

NIST CSF (2.0)

Het NIST CSF wordt begin 2024 bijgewerkt.

Belangrijkste wijzigingen

  • Introductie van een zesde kernfunctie "Regeren" om de nadruk te leggen op governance-gerelateerde vereisten
  • Expliciete richtlijnen voor organisaties van alle groottes, sectoren en volwassenheidsniveaus
  • Doel om kleinere bedrijven in staat te stellen het kader effectief te gebruiken

Cyberbeveiligingscapaciteitenmodel (C2M2)

Het Cybersecurity Capability Maturity Model (C2M2) helpt organisaties hun cyberbeveiligingscapaciteiten te evalueren en beveiligingsinvesteringen te optimaliseren.

Hoewel het Amerikaanse Ministerie van Energie en de energie-industrie in het algemeen de ontwikkeling van C2M2 hebben geleid en de invoering ervan hebben bepleit, kan elke organisatie - ongeacht de grootte, het type of de branche - het model gebruiken om hun cyberbeveiligingscapaciteiten te evalueren, prioriteren en verbeteren.

C2M2-structuur

C2M2 is een groot raamwerk met in totaal 356 vereisten (of praktijken, zoals ze ze noemen), onderverdeeld in 3 verschillende volwassenheidsniveaus.

Niveau 1 bevat 56 vereisten, niveau 2 in totaal 222 en niveau 3 de volledige 356.

De inhoud van het framework is opgesplitst in

  • ASSET: 5 secties en 23 vereisten met betrekking tot activabeheer, wijzigingsbeheer en configuratiebeheer
  • THREATS: 3 secties en 19 vereisten met betrekking tot beheer van bedreigingen en kwetsbaarheden
  • RISICO: 5 secties en 23 vereisten met betrekking tot risicobeheer
  • TOEGANG: 4 secties en 25 vereisten met betrekking tot identiteits- en toegangsbeheer
  • SITUATIE: 4 secties en 16 vereisten met betrekking tot situationeel bewustzijn
  • RESPONS: 5 secties en 32 vereisten met betrekking tot respons op gebeurtenissen en incidenten & continuïteit van de activiteiten
  • DERDEN: 3 secties en 14 vereisten met betrekking tot risicobeheer voor derden
  • WERKGELEGENHEID: 5 secties en 19 vereisten met betrekking tot personeelsbeheer
  • ARCHITECTUUR: 6 secties en 36 vereisten met betrekking tot cyberbeveiligingsarchitectuur
  • PROGRAMMA: 3 secties en 15 vereisten met betrekking tot het beheer van cyberbeveiligingsprogramma's

C2M2 specialiteiten

  • Verdeelt alle praktijken in 3 afzonderlijke MIL's (volwassenheidsniveaus) zodat organisaties hun eigen volwassenheid op het gebied van cyberbeveiliging kunnen berekenen en vergelijken.
  • Er zijn nationale toepassingen van het C2M2-kader gecreëerd (bijvoorbeeld in Finland bekend als Kybermittari).
  • MIL's en het verdelen van vereisten in Volledig / Grotendeels / Gedeeltelijk / Niet geïmplementeerd helpen bij het berekenen van je relatieve volwassenheid en bij het vergelijken met andere organisaties.

CIS essentiële beveiligingscontroles v8 (CIS 18)

De Critical Security Controls van het Center for Internet Security (CIS) (voorheen bekend als de SANS Top 20) is een geprioriteerde verzameling beveiligingsmaatregelen om de meest voorkomende cyberaanvallen op systemen en netwerken te beperken.

CIS Controls gaat uit van een vrij technische benadering van informatiebeveiliging en kan met succes worden toegepast naast raamwerken voor beveiligingsbeheer, zoals ISO 27001 of NIST CSF, om de technische bescherming te versterken.

In de loop der jaren zijn de CIS Controls uitgegroeid tot een internationale gemeenschap van vrijwillige individuen en instellingen die inzichten in cyberbedreigingen delen, achterliggende oorzaken identificeren en dit vertalen naar defensieve actie.

CIS-besturingsstructuur

De 18 controles die in CIS Controls worden behandeld, zijn beveiligingsfuncties op het hoogste niveau en zijn verder onderverdeeld naar de feitelijke vereisten (safeguards genoemd).

CIS Controls bevat in totaal 163 vereisten (d.w.z. beveiligingen).

18 CIS-controles zijn de volgende:

  • 01 - Inventarisatie en controle van bedrijfsmiddelen (5 beveiligingen)
  • 02 - Inventarisatie en controle van softwaremiddelen (7 beveiligingen)
  • 03 - Gegevensbescherming: Gegevens identificeren en classificeren. Gegevens veilig behandelen, bewaren en verwijderen. (14 waarborgen)
  • 04 - Veilige configuratie van bedrijfsmiddelen en software (12 beveiligingen)
  • 05 - Accountbeheer: Autorisatie toewijzen en beheren voor credentials voor gebruikersaccounts. (6 waarborgen)
  • 06 - Beheer van toegangscontrole: Veilig toegangscodes aanmaken, toewijzen, beheren en intrekken. (8 beveiligingen)
  • 07 - Continu beheer van kwetsbaarheden (7 waarborgen)
  • 08 - Beheer auditlogboek (12 beveiligingen)
  • 09 - Bescherming van e-mail en webbrowsers (7 beveiligingen)
  • 10 - Bescherming tegen malware (7 beveiligingen)
  • 11 - Gegevensherstel: Praktijken voor het herstellen van bedrijfsmiddelen binnen de scope naar een vertrouwde staat van voor het incident. (5 waarborgen)
  • 12 - Beheer netwerkinfrastructuur (8 waarborgen)
  • 13 - Netwerkbewaking en -verdediging (11 beveiligingen)
  • 14 - Veiligheidsbewustzijn en vaardigheidstraining (9 waarborgen)
  • 15 - Beheer dienstverlener (7 waarborgen)
  • 16 - Beveiliging van toepassingssoftware: De beveiligingslevenscyclus van ontwikkelde of aangeschafte software beheren om zwakke plekken te voorkomen. (14 beveiligingen)
  • 17 - Incident response management (19 waarborgen)
  • 18 - Penetratietest (5 waarborgen)

CIS Controls specialiteiten

  • De eerste versie van CIS Controls werd gepubliceerd in 2008. De laatste update (versie 8) werd uitgebracht in 2021.
  • Implementatiegroepen (IG's): CIS-controles zijn onderverdeeld in 3 afzonderlijke implementatiegroepen - een beetje zoals niveaus. IG1 is gedefinieerd als "essentiële cyberhygiëne" en de latere waarborgen bouwen daarop voort.
  • In kaart brengen: CIS-controles worden heel mooi in kaart gebracht in gemeenschappelijke raamwerken voor naleving, zoals ISO 27001 en NIST CSF, om afstemming te garanderen en gemeenschappelijke doelen zichtbaar te maken.
Geschreven door
Aleksi Pulkkanen
4.3.2024
@
apulkkanen
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Artikel delen

Andere vergelijkbare content van Academy

Blogs

10 meest voorkomende non-conformiteiten in ISO 27001-audits

Audits en non-conformiteiten zetten organisaties aan tot voortdurende verbetering. Maar voor uw eerste ISO 27001 certificering is het goed om op de hoogte te zijn van een aantal veelvoorkomende non-conformiteiten, zodat u deze kunt vermijden tijdens uw certificeringsaudit.
18.2.2025

Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?

In deze blog bespreken we het belang van werknemersparticipatie in het auditinterviewproces, waarom auditors de inzichten van werknemers waarderen en kijken we naar mogelijke vragen die worden gesteld in een ISO 27001-interview.
13.2.2025

Controlelijst voor naleving en certificering van ISO 27001

Wilt u ervoor zorgen dat u voldoet aan de ISO 27001-eisen? Deze checklist presenteert duidelijk geordende belangrijke stappen die uw organisatie begeleiden bij het bouwen van een ISMS en het voldoen aan de ISO 27001-norm.
6.2.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid