ISO/IEC JTC 1/SC 27/WG 4

IT
IT Security Controls 
Security Controls
and Services
and Services
M. De Soete, ISO/IEC JTC 1 SC27 Vice Chair

© copyright ISO/IEC JTC 1/SC 27, 2014.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 
standards and so the text is not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / 
presentations requires prior permission of the ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)
 Mi i (1)
Mission (1)
Security
Secu y co
controls
osa and
d se
services
ces
• Developing and maintaining International
Standards, Technical Specifications and
Technical Reports for information security in the
area of Security Controls and Services

• Assist organizations in the implementation of the

ISO/IEC 27000
27000-series
series of Information Security
Management Systems (ISMS) International
Standards and Technical Reports

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is 
not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the 
ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)
 Mi i (2)
Mission (2)
Security controls and services

• The scope
p of WG4 also includes evaluating g and
developing International Standards for
addressing existing and emerging information
security issues and needs and other security
aspects that resulted from the proliferation and
use of ICT and Internet related technology in
organizations (such as multi nationals
multi-nationals
corporations, SMEs, government departments,
and non-profit organisations)

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is 
not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the 
ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)
 Security and Privacy Topic Areas 
y y p
Information security and privacy governance

Information security management system (ISMS) requirements, methods 
y g y ( ) q ,

d methods for Managementt 
mation security and privacy

and processes

certification and auditing 
Privacy controls and 

Methods and Specification (products, devices 
identity 

Security Evvaluation, Testting, Processees, 
Security controls 
Security controls Security controls & 
Security controls &
management 
(including  services (including 
methods (including 

Systems
application and  application specific 

and system of prroducts) 
application specific 
sector specific  e.g. Cloud), IT network 
e.g. cloud), 
e.g. Cloud,  security, 3rd party 
techniques,
techniques, 
omics of inform

uirements and
Telecoms, Energy, 
l services, IDS, incident 
i S i id

Accreditation, 
frameworks, 
WG 1  FInance), codes  management, cyber 
biometric 
WG 2 of practice,  security, application 
information 
frameworks security, disaster 
WG 3 protection, 
recovery, forensics
y,

requ
bi
biometric 
ti

A
Econo

WG 4
authentication
WG 5

Cryptographic and security mechanisms and technologies

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is 
not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the 
ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)
 Domains
• SSecurity
it iincidents
id t
• System
y and system
y life cycle
y
security
 Security incidents
Security incidents

• Management
• Detection
• Investigation
• Recovery
 System and
System
System and system life 
and system life 
system life
cycle security
cycle  security
• Acquisition and supply
• Security related to storage
• Security related to processing
• Security related to communication
 WG4 Published Standards
Standard Title Status Abstract
ISO/IEC TR Guidelines for the  1st Ed. 2002 Provides guidance for the use and management of Trusted Third 
14516 use and management
use and management  Party (TTP) services a clear definition of the basic duties and
Party (TTP) services, a clear definition of the basic duties and 
of Trusted Third  services provided, their description and their purpose, and the 
Party services  roles and liabilities of TTPs and entities using their services.
ISO/IEC 15816 Security information  1st Ed. 2002 Provides object definitions that are commonly needed in 
objects for access  security standards to avoid multiple and different definitions of 
control the same functionality
the same functionality. 
ISO/IEC 15945 Specification of TTP  1st Ed. 2002 Defines the services required to support the application of 
services to support  digital signatures for non‐repudiation of creation of a document. 
the application of 
digital signatures 
ISO/IEC 18028‐4 IT network security – 1st Ed. 2005 Provides guidance for securely using remote access and its 
Part 4: Securing  implication for IT security. In this it introduces the different 
remote access types of remote access including the protocols in use, discusses 
the authentication issues related to remote access and provides 
support when setting up remote access securely. 
ISO/IEC 18043 Selection,  1st Ed. 2006 Provides guidelines to assist organizations in preparing to 
deployment and  (Being  deploy Intrusion Detection System (IDS). In particular, it 
operations of  revised by  addresses the selection, deployment and operations of IDS. 
intrusion detection  ISO/IEC 
y
systems 27039)

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is 
not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the 
ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)
 WG4 Published Standards
Standard Title Status Abstract

ISO/IEC 27031 Guidelines for ICT  1st Ed. 2011 Describes the concepts and principles ICT readiness for business 

readiness for  continuity, and provides a framework of methods and processes to 
business continuity identify and specify all aspects for improving an organizationʹs ICT 
readiness to ensure business continuity. 
eadi e to e u e bu i e o ti uity
ISO/IEC 27032 Guidelines for  1st Ed. 2012 Provides guidance for improving the state of Cybersecurity, drawing 
cybersecurity out the unique aspects of that activity and its dependencies on other 
security domains. It covers the baseline security practices for 
stakeholders in the Cyberspace.
ISO/IEC 27035 Information  1st Ed. 2011 Provides a structured and planned approach to detect, report and 
security incident  (Currently assess information security incidents; respond to and manage 
management under  information security incidents; detect, assess and manage information 
revision) security vulnerabilities; and continuously improve information 
security and incident management.
ISO/IEC 27037 Guidelines for the  1st Ed. 2012 Guidelines for specific activities in the handling of digital evidence 
identification,  that can be of evidential value. It provides guidance to individuals 
collection,  with respect to common situations encountered throughout the digital 
acquisition and  evidence handling process and assists organizations in their 
preservation of 
p disciplinary procedures and in facilitating the exchange of potential 
p yp g g p
digital evidence digital evidence between jurisdictions. 
 WG4 Published Standards
Standard Title Status Abstract
ISO/IEC 27033‐1 Network Security – Part 1:  1st Ed. 2009 Provides an overview of network security and related 
Overview and concepts (Currently  definitions. It defines and describes the concepts 
under
under  associated with, and provides management guidance on,
associated with, and provides management guidance on, 
revision) network security.  Overall, it provides an overview of the 
ISO/IEC 27033 series and a “road map” to all other parts.
ISO/IEC 27033‐2 Network Security – Part 2:  1st Ed. 2012 Provides guidelines for organizations to plan, design, 
Guidelines for the design  implement and document network security.
and implementation of
and implementation of 
network security
ISO/IEC 27033‐3 Network Security – Part 3:  1st Ed. 2010 Describes the threats, design techniques and control 
Reference networking  issues associated with reference network scenarios. For 
scenarios – Risks, design  each scenario, it provides detailed guidance on the 
techniques and control
techniques and control  security threats and the security design techniques and
security threats and the security design techniques and 
issues controls required to mitigate the associated risks. 
ISO/IEC 27033‐4 Network security — Part 4:  1st Ed. Gives guidance for securing communications between 
Securing communications  (To be  networks using security gateways in accordance with a 
between networks using published) documented
security gateways
it t i f
information security policy of the security gateways.
ti it li f th it t
ISO/IEC 27033‐5 Network security — Part 5: 1st Ed. 2013 Gives guidelines for the selection, implementation and 
Securing communications  monitoring of the technical controls necessary to provide 
across networks using VPNs network security using VPN connections to inter‐
connect networks and connect remote users to networks.
 WG4 Published Standards
Standard Title Status Abstract
ISO/IEC 27034‐1 Application security – 1st Ed. 2011 ISO/IEC 27034 provides guidance to assist organizations in 
Part 1: Overview and  integrating security into the processes used for managing their 
concepts applications. This International Standard presents an overview
applications. This International Standard presents an overview 
of application security. It introduces definitions, concepts,
principles and processes involved in application security.
ISO/IEC 27036‐1 Information security for  1st Ed. Provides an overview of the guidance intended to assist 
supplier relationships – (To be  organizations in securing their information and information 
Part 1: Overview and
Part 1: Overview and  published) systems within the context of supplier relationships It addresses
systems within the context of supplier relationships. It addresses 
concepts perspectives of both acquirers and suppliers.
ISO/IEC 27036‐3 Information security for  1st Ed. 2013 Provides product and service acquirers and suppliers in ICT 
supplier relationships – supply chain.
Part 3:
Guidelines for ICT
Guidelines for ICT 
supply chain security
ISO/IEC 27038 Specification for digital  1st Ed. Specifies characteristics of techniques for performing digital 
redaction (To be  redaction on digital documents. It also specifies requirements for 
published) software redaction tools and methods of testing that digital 
redaction has been securely completed.
d ti h b l l t d
ISO/IEC TR  Best practice on the  1st Ed. 2012 This Technical Report explains how to provide and use time‐
29149 provision and use of  stamping services so that time‐stamp tokens are effective when 
time‐stamping services used to provide timeliness and data integrity services, or non‐
repudiation services (in conjunction with other mechanisms). It 
covers time‐stamp services, explaining how to generate, renew, 
and verify time‐stamp tokens. 
 Under development
Under development
Security Incidents
• 27035-x - Information security incident management
o Part 1 – Principles, Part 2 – Guidelines to plan and prepare for incident
response, Part 3 – Guidelines for incident response operations

• 27042 - Guidelines for the analysis and interpretation

of digital evidence
• 27043 - Incident investigation principles and
processes
• 27044 - Guidelines for security information and event
management (SIEM)
 Under development
Under development
System / System Life Cycle Security
• 27040 – Storage Security
• 27036-4 - Information security for supplier relationships
– Guidelines for security of cloud services
• 27034-3 -Application security –Application security
management process
• 27034-5 - Application security –Protocols and
application security controls data structure
• 27033-6 - Network security –Securing wireless IP
network access
 Collaboration with ETSI
Collaboration with ETSI 
ISG ISI
• Liaison on standards under development
o 27044 (guidelines for security information and event management
(SIEM)
o 27035-1 -2 -3 (information security incident management)

• Works are complementary

o WG 4 is more focusing on policy and strategic aspects
o ETSI ISG ISI more on operational aspects and detail indicators

• Establishment of a cat. C liaison

o Jan de Meer is the liaison officer
Further information

http://www.jtc1sc27.din.de