Verwachte veranderingen rondom ISO 27001 en ISO 27002

Alle ISO-standaarden, waaronder ISO 27001 en ISO 27002, worden in principe iedere 5 jaar herzien. Na een lange tijd geen aanpassingen aan de ISO 27001 en de ISO 27002 te hebben gedaan, is besloten om een nieuwe versie van beide documenten te publiceren. Ondanks dat er nog geen officiële datum is bekend gemaakt, wordt de nieuwe versie van de ISO 27001 later dit jaar verwacht. De 2022 iteratie van de ISO 27002 werd gepubliceerd op 15 februari 2022.

Aanleidingen van de ISO 27002 mutaties zijn:

  • Het creëren van een beter begrip omtrent de toe te passen beveiligingspraktijken.
  • Het updaten van de bestaande controlset naar aanleiding van de technologische ontwikkelingen.
  • Het vinden van betere aansluiting tussen proces en implementatie.
  • Het creëren van alignment met andere frameworks.
  • Behandelt nieuwe scenario's en risico's

Wat gaan de veranderingen betekenen voor organisaties?

Nadat beide documenten gepubliceerd zijn, zullen organisaties die op dit moment zijn gecertificeerd op termijn te maken krijgen met de nieuwe eisen. Een belangrijk gegeven is dat organisaties een transitieperiode toegekend krijgen om hun Informatiebeveiligingsmanagementsysteem (of: ISMS) hierop aan te passen. De verwachting is dat men hier 2 jaar de tijd voor krijgt. De veranderingen hebben dus op korte termijn geen impact op de huidige certificering.

Voor de organisaties die nog niet gecertificeerd zijn, maar wel de ambitie hebben dit in de toekomst te realiseren, wordt aanbevolen de meest recente versie als leidraad aan te houden. De verwachte inspanning om vervolgens te voldoen aan de 2022 iteratie zullen beperkt zijn. Reden hiervoor is dat een groot gedeelte van de vereiste onderdelen van het ISMS qua opzet en bestaan zal overeenkomen met de nieuwe iteratie. 

Wat zijn de doorgevoerde aanpassingen?

Hieronder vindt u alle doorgevoerde aanpassingen op een rijtje:

  • De ISO 27001 blijft de norm waar organisaties zich tegen kunnen laten certificeren. Dit is niet mogelijk voor de ISO 27002.
  • De huidige HLS structuur van de ISO 27001 norm (hoofdstuk 4 tot en met 10), zal niet veranderen.
  • De doorgevoerde aanpassingen zijn gericht op de Bijlage A van de ISO 27001. De updates van de ISO 27002 zullen uiteindelijk ook doorgevoerd worden in de ISO 27001, zodat beide documenten weer met elkaar overeenkomen.
  • Totaal aantal maatregelen is van 114 naar 93 gegaan.
    • 1 maatregel is gesplitst in 2 maatregelen
    • 11 nieuwe maatregelen zijn toegevoegd
      • Threat intelligence; Information security for the use of cloud services; ICT readiness for business continuity; Physical security monitoring; Configuration management; Information deletion; Data masking; Data leakage prevention; Monitoring activities; Web filtering; Secure coding.
    • 57 maatregelen zijn samengevoegd tot 24 maatregelen
  • Ondanks dat het totaal aantal maatregelen verminderd is, zijn er geen maatregelen verwijderd, maar samengevoegd.
  • De maatregelen zijn verdeeld over 4 domeinen in plaats van 14, namelijk: Organizational, People, Physical en Technological.
  • Ook zijn de benamingen van een aantal maatregelen aangepast om onduidelijkheid te voorkomen.
  • Daarnaast zijn nieuwe attributen gekoppeld zijn aan de maatregelen, welke organisaties zouden moeten helpen bij het filteren en categoriseren van maatregelen, voorbeelden van zulke attributen zijn:
    • Control type: preventief, detectief, correctief
    • Information security properties: beschikbaarhied, integriteit, vetrouwelijk
    • Cybersecurity concepts: identify, protect, detect, respond, recover
    • Operational capabilities: governance, asset management, information protection
    • Security domains: governance and ecosystem, protection, defence, resilience

Wat zijn de eerstvolgende stappen voor organisaties?

De beoogde iteratie van de ISO 27001 zou geen rol moeten spelen in de keuze om wel of niet een certificering te behalen. Bepaal als organisatie allereerst wat de prioriteit heeft voor het huidige certificeringstraject. Maak bijvoorbeeld een kosten-batenanalyse.

Voor organisaties die al een certificering hebben is het belangrijk om een evaluatie in te plannen met betrekking tot de huidige risicobehandeling. Breng in kaart in hoeverre er al invulling wordt gegeven aan de nieuwe ISO 27002 structuur en waar van toepassing aanvullende stappen gezet dienen te worden. Zorg er vervolgens bijtijds voor dat de verklaring van toepasselijkheid overeenkomt met de nieuwe versie van de beoogde vernieuwde annex A van de ISO 27001. Mocht u hier vragen over hebben, of graag wat ondersteuning bij zou willen, neem dan gerust contact met ons op. 

Meer informatie over ISO 27001 certificering

 

 

Terug naar overzicht