Bijlage A van de NEN 7510 (deel 1) en de ISO 27001 zijn beroemd en berucht. Vanuit de ISO 27001 worden er 93 algemene maatregelen aangereikt, aangevuld met 22 zorgspecifieke maatregelen in de NEN 7510. Deze in totaal 115 maatregelen zijn onderverdeeld in de categorieën:
- Organisatorisch
- Mensgericht
- Fysiek
- Technologisch
Met deze bijlages hangen twee andere nauw verwante kaders samen: de NEN 7510 (deel 2) en ISO 27002. Waar in “Bijlage A” de maatregelen als een bondige, globale stelling worden aangereikt, voorzien deze twee aanvullende kaders in meer context:
- Attributen: Verschillende kenmerken om maatregelen te groeperen
- Doelen: Een korte toelichting bij wat een maatregel beoogt te bereiken
- Richtlijnen: Voorbeelden hoe een maatregel geïmplementeerd zou kunnen worden
- Overige informatie: Aanvullende achtergrondinformatie.
Verplichting versus aanbevelingen
Een belangrijk verschil tussen bovengenoemde kaders is dat NEN 7510 (deel 1) en ISO 27001 normatieve eisen bevatten (“moeten“), en de NEN 7510 (deel 2) en ISO 27002 aanbevelingen (“behoren te“). Dit betekent dat bij certificeringsaudits alleen wordt getoetst tegen geselecteerde maatregelen uit “Bijlage A”.
Afvinken van aanbevelingen
Ik kom nog wel eens bij organisaties die ijverig met alle aanbevelingen aan de slag zijn gegaan en het hele risicomanagementproces zijn vergeten. Ergens is dit te begrijpen: de meeste maatregelen zijn herkenbaar terwijl een uitgebreid risicomanagementproces veel organisaties vreemd is. En, redeneert men: “beter te veel inrichten dan te weinig, want dat is wel zo veilig”.
De praktijk leert dat deze aanpak nooit goed uitpakt. Er worden regels verzonnen voor problemen die niet duidelijk zijn, en er misschien helemaal niet zijn. Dit betekent: onnodige barrières waar de organisatie niets aan heeft en veel te dikke lappen tekst die niemand leest. Ik hamer bij organisaties op doelmatigheid: eerst duidelijk de problemen inzichtelijk maken, dan pas bepalen wat je hier tegenover wilt zetten. Er zijn vele wegen die naar Rome leiden, dus weer alle voor- en nadelen vooral goed af.
Bijlage A, of eigen maatregelen?
Iets anders dat opvalt, is dat organisaties vrijwel nooit afwijken van de maatregelen uit Bijlage A. Alsof dit de heilige graal is die alle informatiebeveiligingsproblemen als sneeuw voor de zon doet smelten. De NEN 7510 (deel 1) en ISO 27001 zijn in hoofdstuk 6.1.3 duidelijk:
- 6.1.3 b) Stel éérst zelf vast welke maatregelen jij nodig acht om een dreiging te beheersen .
- 6.1.3 opmerking 1 Je mag ook je eigen maatregelen bepalen, of uit een andere bron halen!
- 6.1.3 c) Vergelijk deze maatregelen dan pas met Bijlage A, om zeker te weten dat je geen maatregelen bent vergeten.
- 6.1.3 opmerking 3 Maar let op: Bijlage A is zeker niet compleet, en mag worden aangevuld met eigen maatregelen!
- 6.1.3 d) Stel een Verklaring van Toepasselijkheid op, waarin je alle geselecteerde maatregelen beschrijft. Hierin neem je op waarom een maatregel is opgenomen, en als een maatregel uit Bijlage A niet is geselecteerd, waarom deze is uitgesloten.
Theoretisch gezien is het dus toegestaan om alle “Bijlage A” maatregelen uit te sluiten, en een lijst met eigen maatregelen op te stellen. Of een mix van beiden, of je kunt kiezen om wel alleen “Bijlage A” maatregelen te gebruiken.
In de praktijk zie ik dus vrijwel alleen de laatste situatie. Heel jammer, want er staan dus ook een hoop mogelijk maatregelen niet in “Bijlage A”. Dit leidt er ook toe dat “Bijlage A” maatregelen als een doel op zichzelf gezien worden, en dat men amper meer kritisch nadenkt in het risicomanagementproces.
Onduidelijkheid: comply or explain bij richtlijnen
In hoofdstuk 0.1.3 van NEN 7510 (deel 1), versie 2024, is een dubieus stuk tekst opgenomen:
Daar waar in NEN 7510-2 zorgspecifieke richtlijnen zijn beschreven voor een beheersmaatregel, en de beheersmaatregel is geselecteerd en geïmplementeerd, zijn er twee mogelijkheden:
— óf de richtlijnen worden gevolgd;
— óf de reden om de richtlijnen niet te volgen wordt beschreven met een toelichting hoe de doelstelling van de beheersmaatregel wordt bereikt.
Dit principe wordt ook wel omschreven als ‘comply or explain’.
Dit is een bijzondere tekst om een aantal redenen:
- Deze ‘eis’ staat niet in de ISO 27001, terwijl de schrijvers van de NEN 7510 juist het uitgangspunt hanteren om zelf geen eisen toe te voegen ten opzichte van internationale documenten.
- Deze ‘eis’ staat in een niet-normatieve (niet verplichte) deel van de norm en is ook niet met het gangbare ‘moeten’ beschreven.
- Het in zijn geheel inrichten van richtlijnen is onwenselijk om eerder genoemde redenen (niet doelmatig, onnodige barrières en boekwerken).
- Van alle niet ingerichte richtlijnen beschrijven waarom deze niet zijn ingericht is onbegonnen werk. NEN 7510 (deel 2) kent 327 pagina’s!
Het is nog niet duidelijk hoe dit in de praktijk gaat uitpakken, mede omdat er pas sinds kort officiële certificeringsaudits plaatvinden tegen NEN 7510 (deel 1), versie 2024. De verwachting is echter dat aan deze tekst weinig gewicht zal worden gegeven.
