In de ISO 27002:2022 is voor het eerst een beschrijving op genomen over het filteren van webinhoud. Tot nu toe is hier nog amper over geschreven. Dat komt grotendeels omdat de norm pas begin dit jaar geldig is geworden en er nog betrekkelijk weinig bedrijven naar die nieuwe criteria zijn beoordeeld.
Informatiebeveiliging
De meeste IT dienstverleners weten ongeveer waar ISO 27001 en 27002 voor staat. Het is de meest gebruikte internationale norm die aangeeft welke maatregelen zijn genomen voor de informatiebeveiliging. Een groot aantal landen heeft ook nog nationale normen. Sectoren kunnen specifieke normen hebben, zoals in Nederland de NEN 7510 voor de medische sector, die zwaar aanleunen tegen de genoemde ISO.
Weten dat de norm bestaat wil niet zeggen dat iedereen er mee te maken heeft. Een certificeringsproces is kostbaar en vergt veel tijd. Zolang klanten er niet specifiek om vragen zal een IT dienstverlener dat proces dus voor zich uitschuiven. Elke professional zal zich er wel door laten leiden.
De ISO 27002:2022 is daarmee belangrijk en relevant voor de bedrijven die wel al gecertificeerd zijn en de komende periode naar de nieuwe criteria geauditeerd gaan worden. Bedrijven die zonder certificering in de pas willen blijven lopen krijgen er ook mee te maken.
Web filtering
In de 2022 staat als control 8:23 web filtering genoemd. Dat is een nieuwe set van maatregelen. Het filteren van webinhoud klinkt in eerste instantie als een maatregelen om consumenten te behouden voor fouten of het bezoeken van illegale content. Hier gaat het om het blokkeren van webinhoud voor medewerkers van bedrijven.
Welke websites zijn toegestaan en welke niet moet ergens bijgehouden gaan worden. Dat geldt ook voor browser gebaseerde diensten die voor de gebruikers niet eens als een website te herkennen zijn. Denk daarbij aan cloud omgevingen voor het delen en opslaan van data. WeTransfer, Dropbox zijn daar voorbeelden van.
Met uitsluitend het blokkeren van IP adressen is niet voldaan aan ISO 27002:2022. Webomgevingen met slechte inhoud wisselen immers heel vaak van IP adres. Een blacklist van domeinnamen is evenmin afdoende.
Sjabloon
Het filteren van het webinhoud op een manier die aan de criteria van ISO 27002:2022 voldoet vereist nog wel het nodige. Omdat er op dit moment nog weinig nieuwe certificeringstrajecten zijn afgerond is het dus ook lastig in te schatten wat als een goed sjabloon kan dienen.
