Het filteren van het webinhoud onderdeel van ISO 27002

In de ISO 27002:2022 staat voor het eerst iets over het filteren van webinhoud. Tot nu toe is hier nog amper over geschreven. Dat komt grotendeels omdat de norm pas begin dit jaar geldig is geworden. Er zijn dus nog betrekkelijk weinig bedrijven naar die nieuwe criteria zijn beoordeeld.

Informatiebeveiliging

De meeste IT dienstverleners weten ongeveer waar ISO 27001 en 27002 voor staat. Het is de meest gebruikte internationale norm die aangeeft welke maatregelen zijn genomen voor de informatiebeveiliging. Een groot aantal landen heeft ook nog nationale normen. Sectoren kunnen specifieke normen hebben, zoals in Nederland de NEN 7510 voor de medische sector, die zwaar aanleunen tegen de genoemde ISO. Weten dat de norm bestaat wil niet zeggen dat iedereen er mee te maken heeft. Een certificeringsproces is kostbaar en vergt veel tijd. Zolang klanten er niet specifiek om vragen zal een IT dienstverlener dat proces dus voor zich uitschuiven. Elke professional zal zich er wel door laten leiden. De ISO 27002:2022 is daarmee belangrijk en relevant voor de bedrijven die wel al gecertificeerd zijn en de komende periode naar de nieuwe criteria geauditeerd gaan worden. Bedrijven die zonder certificering in de pas willen blijven lopen krijgen er ook mee te maken.

Web filtering

In de ISO 27002:2022 staat als control 8:23 web filtering. Dat is een nieuwe regel. Het filteren van webinhoud klinkt als een maatregel om consumenten te behouden voor fouten of het bezoeken van illegale content. Hier gaat het echter om iets heel anders. Namelijk om het blokkeren van webinhoud voor medewerkers van bedrijven. Welke websites zijn toegestaan en welke niet moet ergens bijgehouden gaan worden. Dat geldt ook voor browser gebaseerde diensten die voor de gebruikers niet eens als een website te herkennen zijn. Denk daarbij aan cloudomgevingen voor het delen en opslaan van data. WeTransfer, Dropbox zijn daar voorbeelden van. Het blokkeren van IP adressen lijkt niet het antwoord om aan ISO 27002:2022 te voldoen. Webomgevingen met slechte inhoud wisselen immers heel vaak van IP adres. Een blacklist van domeinnamen is evenmin afdoende. Het filteren van webinhoud op een manier die aan de criteria van ISO 27002:2022 voldoet is daarom een onderwerp waar beter naar gekeken moet worden. Omdat er op dit moment nog weinig nieuwe certificeringstrajecten zijn afgerond is het nog moeilijk in te schatten wat de beste procedure is.