ISO 27001:2022 en ISO 27002:2022: Wat gaat er veranderen?

    Ad van 't Hoenderdal - Gekwalificeerd IT-auditor
    30-08-2022

    De norm voor informatiebeveiligingsbeheer ISO 27001 en de bijbehorende praktijkcode ISO 27002 zijn bijna tien jaar geleden voor het laatst bijgewerkt. Een nieuwe versie van ISO 27002 verscheen in februari 2022, en een herziene versie van ISO 27001 zal naar verwachting in oktober 2022 worden gepubliceerd. De impact hiervan is beperkt, maar vraagt wel om aanpassingen in het ISMS.

    Wat we tot nu toe weten

    De set beheersmaatregelen van ISO 27002 – en daarmee ook van de Annex van ISO 27001 – is danig opgeschud. Van 14 aandachtsgebieden gaan we over naar 4 hoofdstukken: organisatorisch, mensgericht, fysiek en technologisch. Daarnaast is het totaal aantal maatregelen teruggebracht van 114 naar 93. Een aantal onderwerpen zijn samengevoegd, en nieuwe elementen zoals Threat Intelligence, Data Masking en Cloud Services hebben een plaats gekregen binnen de ISO-richtlijnen.

    Nieuw is dat er aan maatregelen attributen gekoppeld zijn, zoals ‘type maatregel’ (#Preventief, #Detectief, #Corrigerend) of ‘beveiligingsdomein’ (#Governance_en_Ecosysteem, #Bescherming, #Verdediging, #Veerkracht). Dit biedt mogelijkheden voor filtering en categorisering, wat weer kan helpen bij de inrichting van de securityorganisatie en het Information Security Management System (ISMS).  Wat niet veranderd is, is de hoofdstructuur van hoofdstuk 4 tot en met 10 van ISO 27001; de eisen die gesteld worden aan een ISMS blijven ongewijzigd.

    Wat betekent dat voor uw ISO 27001 certificering?

    Voorlopig geen reden tot bezorgdheid; ten eerste is de impact van de wijzigingen op alledaagse processen redelijk beperkt. Wel verwachten wij dat u binnen het ISMS een aantal wijzingen door zal moeten voeren. Zo moeten ondernemingen hun risicoregister en de toegepaste risicobehandelingen herzien om ervoor te zorgen dat ze in overeenstemming zijn met de herziene norm. Bovendien moeten zij de verklaring van toepasselijkheid bijwerken om deze in overeenstemming te brengen met de bijgewerkte bijlage A.

    Ten slotte raden wij aan dat u uw documentatie herziet en actualiseert, met inbegrip van beleidslijnen en procedures, om aan de nieuwe set van maatregelen te voldoen. De verwachting is dat u hiervoor tot uiterlijk 2024 de tijd krijgt. Geaccrediteerde instanties mogen vanaf begin volgend jaar certificaten voor ISO 27001:2022 uitgeven. De bedoeling van de norm blijft dezelfde, u moet nog steeds een risicogebaseerde aanpak hanteren om alleen de geschikte en juiste maatregelen te selecteren die bij uw organisatie passen.

    Moeten organisaties die willen certificeren volgens ISO 27001 wachten tot de nieuwe normen worden gepubliceerd?

    Nee, u verliest niets door een ISMS te implementeren dat voldoet aan ISO 27001:2013 en de bestaande Annex A checklist gebruikt. Als u wacht tot de nieuwe versie van ISO 27001 is gepubliceerd, loopt u waarschijnlijk een groter risico.

    Hulp nodig bij ISO 27001?

    Wijzigende omstandigheden van zowel binnen als buiten uw organisatie hebben effect op uw informatiebeveiliging. Onze consultants adviseren over het up-to-date houden van uw ISMS. Wij beantwoorden graag uw vragen over het onderhoud proces, en lichten u vrijblijvend in over de mogelijkheden die Enshore biedt bij het implementeren van ISO 27001.