Operationele Capaciteiten: De Ruggengraat van Informatiebeveiliging

In de wereld van informatiebeveiliging wordt vaak gesproken over beheersmaatregelen en controles. Deze maatregelen vormen de bouwstenen van een beveiligingsbeleid dat organisaties helpt hun informatie te beschermen. Maar er is een dieperliggende laag die net zo belangrijk is: operationele capaciteiten.

In deze blog leggen we uit wat operationele capaciteiten (OC’s) zijn en hoe ze worden geclassificeerd volgens de ISO 27002:2022. We vertellen ook waarom Brand Compliance haar ISO 27001-audits baseert op deze capaciteiten in plaats van op individuele beheersmaatregelen.

Wat zijn operationele capaciteiten?

Operationele capaciteiten vormen een attribuut om beheersmaatregelen te bekijken vanuit het perspectief van professionals op informatiebeveiligingscapaciteiten. Ze kunnen de basis vormen waarop de beveiligingsmaatregelen van een organisatie worden gebouwd.  

Operationele capaciteiten omvatten onder andere:

• Technologische middelen: De hardware en software die nodig zijn om beveiligingsmaatregelen te implementeren en te ondersteunen.
• Menselijke resources: De vaardigheden, kennis en beschikbaarheid van personeel om de benodigde maatregelen effectief te beheren en uitvoeren.
• Operationele processen: De procedures en workflows die zijn ontworpen om beveiligingsmaatregelen consistent en herhaalbaar uit te voeren.
• Fysieke faciliteiten: De fysieke beveiliging en omgeving waarin IT-systemen worden beheerd en opgeslagen.

Welke soorten operationele capaciteiten kent de ISO 27002:2022?

De ISO 27002:2022 benadrukt een breed scala aan operationele capaciteiten die nodig zijn voor een effectief informatiebeveiligingsmanagementsysteem (ISMS). De norm verdeelt deze capaciteiten in verschillende categorieën.

Hieronder enkele voorbeelden:

• Toegang tot systemen en data: Beheersing van wie toegang heeft tot systemen en gegevens, en onder welke omstandigheden.
• Communicatiebeveiliging: Bescherming van de integriteit en vertrouwelijkheid van informatie tijdens transmissie.
• Incidentbeheer: De capaciteiten om beveiligingsincidenten te detecteren, erop te reageren en ervan te herstellen.
• Continuïteitsbeheer: De capaciteit om kritieke functies voort te zetten in het geval van een verstoring of ramp.
• Leveranciersbeheer: Het waarborgen dat derde partijen voldoen aan de beveiligingseisen van de organisatie.

Wat is de samenhang tussen operationele capaciteiten en individuele beheersmaatregelen?

Individuele beheersmaatregelen zijn specifieke acties of controles die worden geïmplementeerd om een bepaald beveiligingsdoel te bereiken. Operationele capaciteiten bieden de infrastructuur en middelen om deze beheersmaatregelen effectief te maken.

De effectiviteit van de maatregelen hangt af van de kwaliteit van de operationele capaciteiten, zoals:

• De beschikbaarheid van getraind personeel om toegangsverzoeken te beheren en te controleren;
• Processen voor het regelmatig herzien en updaten van toegangsrechten;
• Technologieën die multifactor-authenticatie ondersteunen.

Zonder de juiste OC’s zouden de beheersmaatregelen kunnen falen, ongeacht hoe goed ze op papier zijn ontworpen.

Auditen op basis van operationele capaciteiten

Waarom is Brand Compliance overgegaan om een ISMS op basis van operationele capaciteiten te auditen in plaats van op beheersmaatregelen? Brand Compliance gebruikt de structuur van operationele capaciteiten om audits te plannen en te rapporteren. Operationele capaciteiten kunnen daarnaast een completer beeld bieden van de effectiviteit van een informatiebeveiligingsmanagementsysteem.

Door audits te richten op OC’s, biedt Brand Compliance een diepere en bredere beoordeling van de beveiliging binnen een organisatie, wat leidt tot een meer veerkrachtige en beveiligde operationele omgeving.

Geen kennisartikelen missen?

Vul uw gegevens in en u ontvangt regelmatig een update met onze nieuwste artikelen.