Event:

Cyber Future Event - 12 september

Lees verder

ISO/IEC 27001:2022 – Een nieuw tijdperk voor informatiebeveiliging. Wat verandert er?

In de laatste week van oktober 2022 heeft ISO/IEC een nieuwe versie van de veelgebruikte norm voor informatiebeveiliging ISO/IEC 27001 uitgebracht (ISO/IEC 27001:2022). Deze nieuwe ISO versie biedt allerlei organisaties, sectoren en locaties een geüpdatet kader om het steeds complexere dreigingslandschap aan te pakken. Wat zijn de belangrijkste veranderingen en wat zijn de gevolgen voor organisaties die met ISO/IEC 27001 aan de slag gaan? We zetten het allemaal voor je op een rij.

Waarom deze wijziging?

Om bij te blijven bij de veranderingen op het gebied van security wordt de norm om de vijf jaar aangepast. De nieuwe lijst van ISO/IEC 27001:2022 is een soort best practice guide om informatiebeveiliging te verbeteren. Het is de bedoeling dat organisaties door middel van een risicoanalyse zelf maatregelen selecteren. Deze belangrijke update is bedoeld om:

  • meer duidelijkheid, focus en verantwoordelijkheid voor informatiebeveiliging binnen een organisatie te bereiken;
  • een beter begrip te creëren omtrent de toe te passen beveiligingspraktijken;
  • de bestaande controlset te updaten naar aanleiding van de technologische ontwikkelingen;
  • een betere aansluiting te vinden tussen proces en implementatie.

Wat ga je merken van deze update?

Organisatie krijgen te maken met nieuwe geautomatiseerde eisen. In het traject van de certificering moet met deze eisen rekening gehouden worden. Certificering volgens vorige norm is niet meer mogelijk, na de overgangsperiode. Organisaties krijgen hier 3 jaar de tijd voor. De veranderingen hebben dus op korte termijn geen impact op de huidige certificering.

Voor de organisaties die nog niet gecertificeerd zijn, maar wel de ambitie hebben dit in de toekomst te realiseren, wordt aanbevolen de meest recente versie als leidraad aan te houden.

Wat is het verschil met de oude versie?

De norm ISO 27001 is geactualiseerd. Het belangrijkste verschil is dat de Annex A in lijn is gebracht met de eerder dit jaar gepubliceerde norm ISO 27002. Daarnaast is een aantal kleine aanpassingen doorgevoerd, die hieronder kort aan bod komen:

4 duidelijke thema’s

De nieuwe versie van de ISO 27001-norm helpt organisaties de controles doeltreffender te beheren door ze te groeperen in vier duidelijke thema’s: Organisatorisch, Persoonsgericht, Technologisch en Fysiek

Cybersecurity en privacybescherming

De titel is aangepast, en verwijst nu ook naar cybersecurity en privacybescherming. In het algemeen zijn de hoofdstukken 4 tot en met 10 niet fundamenteel aangepast (op wat kleine technische aanpassingen na). Er is een aantal nieuwe eisen gesteld in artikels 4.2, 6.2, en 6.3.

Belangen stakeholders

In artikel 4.2 moet een organisatie de relevante belanghebbende partijen identificeren. In aanvulling daarop vereist de nieuwe norm dat een organisatie ook aangeeft hoe de belangen van die stakeholders met het ISMS worden ingevuld.

Doelen

De doelen van informatiebeveiliging en de manier waarop die doelen bereikt zullen worden moeten in lijn met de eisen van artikel 6.2 beschreven worden. Nieuw is nu dat ook moet worden aangegeven hoe de doelen beoordeeld worden, en dat de doelen ook beschreven worden.

Controle wijzigingen ISMS

Als een organisatie wijzigingen wil aanbrengen aan het ISMS, dan moet volgens het nieuwe artikel 6.3 de wijziging uitgevoerd worden op een gecontroleerde wijze, waarbij rekening wordt gehouden met de aanleiding voor de wijziging, de mogelijke gevolgen, de beschikbaarheid van resources en de mogelijke aanpassing van verantwoordelijkheden.

Minder beheersmaatregelen

Annex A van ISO 27001 is in lijn gebracht met ISO 27002:2022. Dat betekent dat de 114 beheersmaatregelen zijn teruggebracht naar 95. Ook verschijnen enkele nieuwe beheersmaatregelen en worden ze anders gegroepeerd. De maatregelen zijn nu gecategoriseerd in vier groepen: organisatorisch, persoonsgericht, fysiek en technisch. De nieuwe maatregelen in ISO 27002:2022 vinden we ook terug in de bijgewerkte Annex:

  • Bedreigingsinformatie (5.7);
  • Informatiebeveiliging bij het gebruik van cloud diensten (5.23);
  • ICT-gereedheid voor bedrijfscontinuïteit (5.30);
  • Fysieke beveiligingsmonitoring (7.4);
  • Configuratiebeheer (8.9);
  • Informatie verwijderen (8.10);
  • Gegevensmaskering (8.11);
  • Voorkomen van datalekken (8.12);
  • Bewaken van activiteiten (8.16);
  • Webfiltering (8.23);
  • Veilig programmeren (8.28).

Wat is het overgangstermijn?

Voor de transitie naar de nieuwe Annex A geldt een overgangstermijn van drie jaar. In deze periode zijn beide versies geldig en certificeerbaar. Dit betekent dat een snelle overgang naar de nieuwe set met beheersmaatregelen mogelijk is, maar ook dat de volgende audit nog op de oude versie gedaan kan worden. In de tussentijd kunnen organisatie en processen aangepast worden aan de nieuwe beheersmaatregelen. Bestaande certificaten moeten voor 1 november 2025 naar de nieuwe versie zijn overgezet.

Wat zijn de belangrijke eerste stappen?

De publicatie en implementatie van de nieuwe ISO-normen kan veel vragen oproepen voor organisaties. Pinewood adviseert om de volgende stappen te nemen:

  • De beoogde iteratie van de ISO 27001 zou geen rol moeten spelen in de keuze om wel of niet een certificering te behalen. Bepaal als organisatie allereerst wat de prioriteit heeft voor het huidige certificeringstraject. Maak bijvoorbeeld een kosten-batenanalyse;
  • Kennis maken met de inhoud en eisen van de nieuwe versies;
  • Train het personeel en zorg ervoor dat de belangrijkste veranderingen en eisen worden begrepen;
  • Voer een beknopte gap-analyse uit om gebieden te identificeren die aandacht behoeven;
  • Neem actie om de gaps op te lossen en om het ISMS te laten voldoen aan de nieuwe eisen.

Hoe kunnen wij ondersteunen?

De consultants van Pinewood staan voor je klaar om te helpen. Neem contact op als u meer informatie wil.

Download hier het whitepaper: Wat zijn de tien stappen voor een succesvolle overgang naar ISO 27001:2022?