De impact van de nieuwe ISO 27002 voor een ISO 27001 gecertificeerde organisatie
De nieuwe ISO 27002: Bepaal de consequenties en het stappenplan voor jouw organisatie.
CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!
info@certificeringsadvies.nlIn februari 2022 is de nieuwe versie van de ISO 27002 gepubliceerd (ISO 27002:2022). Over de inhoud van de wijzigingen schreven wij eerder het artikel ISO 27002 wijzigingen: wat betekent dat voor jouw organisatie?
Voor alle organisaties die ISO 27001 gecertificeerd zijn, of bezig zijn om de certificering te behalen, heeft deze wijziging op korte of langere termijn invloed. De ISO 27002 vormt namelijk de basis voor de (verplichte) beheersmaatregelen die als Annex A in de ISO 27001 zijn opgenomen. Het is niet zo dat de Annex A en de ISO 27002 1:1 aan elkaar gekoppeld zijn en de Annex A daarmee ook per direct wijzigt; daar zit nog een (formaliserings)stap tussen. Vooralsnog blijft de Annex A nog ongewijzigd en gebaseerd op de oude ISO 27002 norm, maar naar verwachting zullen de wijzigingen in de ISO 27002 in de loop van 2022 volledig worden overgenomen in de Annex A. Het is dus zaak om hier tijdig mee aan de slag te gaan, om de ISO 27002 transitie zo soepel mogelijk te kunnen maken.
De status van certificering bepaalt je plan
De wijze waarop je er als organisatie het beste op kunt inspelen, is afhankelijk van de status waarin het certificeringstraject van de organisatie zich bevindt:
- Organisaties die al ISO 27001 gecertificeerd zijn, zullen tot het moment dat de Annex A van ISO 27001 officieel wijzigt sowieso nog geauditeerd worden tegen de huidige (oude) versie. Daarna zal naar verwachting een overgangsfase van toepassing zijn, waarbij de organisatie zelf bij de Certificerende Instelling kan aangeven op welk moment (binnen die periode) ze op basis van de nieuwe Annex A getoetst willen gaan worden. Idealiter kies je daarbij voor het moment van hercertificering.
Het is echter aan te raden al wel op korte termijn de impact van de wijzigingen in kaart te brengen en hier vervolgens tijdig voorbereidingen voor te gaan treffen richting het moment van formele overgang, en tot dat moment te werken met een Verklaring van Toepasselijkheid waarin zowel de maatregelen en normindeling van de oude als de nieuwe Annex A/ISO 27002 terug te vinden zijn. - Voor organisaties die op dit moment in het implementatie-/certificeringstraject zitten en dat naar verwachting in 2022 zullen afronden, geldt in feite hetzelfde als hierboven: het is aan te raden om de nieuwe ISO 27002 norm bij de implementatie al mee te nemen en vooralsnog te werken met een Verklaring van Toepasselijkheid waarin zowel de maatregelen en normindeling van de oude als de nieuwe Annex A/ISO 27002 terug te vinden zijn.
- Organisaties die nog in het implementatie-/certificeringstraject zitten en dat naar verwachting niet voor het eind van 2022 zullen afronden, kunnen het beste direct de nieuwe ISO 27002 als ‘Annex A’ beschouwen en als uitgangspunt gebruiken voor de risicoanalyse, beheersmaatregelen en Verklaring van Toepasselijkheid.
Start met inzicht in de impact van de wijzigingen
De impact zal niet voor iedere organisatie hetzelfde zijn. Dit is sterk afhankelijk van hoe de huidige risicoanalyse in elkaar steekt, hoe de beheersmaatregelen zijn geïnterpreteerd en ingevuld en hoe de documentatie van het ISMS is ingericht. Bepaal dus eerst wat het voor jouw organisatie betekent.
Mocht je behoefte hebben aan (verdere) hulp bij het concreet in kaart brengen van de impact en de benodigde acties, dan kan je gebruik maken van onze ISO 27002:2022 TRANSITIESCAN.
Afhankelijk van de uitkomst van je eerste impactmeting, bepaal je de vervolgstappen. In onderstaand stappenplan nemen we je (alvast) mee in de stappen die je vervolgens kunt nemen om te de transitie te maken naar de nieuwe ISO 27002.
Overzicht van alle wijzigingen
Wil je een overzicht van alle wijzigingen met betrekking tot de nieuwe ISO 27002:2022 in een handzame PDF in je mailbox ontvangen? Vul je gegevens in op deze pagina ‘stappenplan transitie 27002‘ en ontvang het document direct in je mailbox.
Stap 1 – Update risicoanalyse en implementatie 11 nieuwe beheersmaatregelen
De ISO 27002:2022 kent 11 nieuwe beheersmaatregelen (op het totaal van 93). In het ISMS dient een duidelijke koppeling aanwezig te zijn tussen de geïdentificeerde risico’s en de beheersmaatregelen. Ga daarom na of deze nieuwe beheersmaatregelen uit ISO 27002 relevant zijn in relatie tot de scope van het ISMS van jouw organisatie. Pak vervolgens je risicoanalyse erbij en ga voor de relevante beheersmaatregelen na aan welke risico’s deze gekoppeld kunnen worden. Indien de nieuwe maatregelen tot nieuwe risico-inzichten leiden, voeg je die toe aan de risicoanalyse.
Vervolgens bepaal je of de nieuwe maatregel al in voldoende mate geïmplementeerd is binnen je organisatie en plan je waar nodig nadere implementatieacties.
Voor de volledigheid hieronder een korte weergave van de 11 nieuwe maatregelen:
5.7 Threat intelligence
Deze maatregel richt zich op het structureel verzamelen en analyseren van informatiebeveiligingsdreigingen vanuit interne en externe bronnen, teneinde deze tijdig te detecteren.
5.23 Information security for use of cloud services
Deze maatregel draait om het specificeren en beheersen van risico’s van het gebruik van cloud services en het communiceren van het beleid naar alle betrokkenen.
5.30 ICT readiness for business continuity
Deze maatregel draait om het benoemen van ICT continuïteitsvereisten en recovery time doelstellingen (als onderdeel van bedrijfscontinuïteit) en het implementeren, onderhouden en testen van het herstelproces.
7.4 Physical security monitoring
Bij deze maatregel gaat het om continue monitoring van fysieke locaties waar zich kritieke systemen en informatie bevinden, om ongeautoriseerde toegang te detecteren.
8.9 Configuration management
Deze maatregel vraagt om het documenteren, implementeren en monitoren van processen en tools om (beveiligings)configuraties van hardware, software, (cloud)services en netwerken af te dwingen.
8.10 Information deletion
Hierbij gaat het om het inrichten, implementeren en documenteren van processen, die waarborgen dat gevoelige informatie die niet langer nodig is, aantoonbaar verwijderd wordt uit systemen, apparaten en andere media.
8.11 Data masking
Deze maatregel vraagt om het toepassen van technieken zoals gegevensmaskering, pseudonimisering en/of anonimisering, waar vanuit wetgeving of stakeholdereisen juiste omgang met gevoelige data (bijv. persoonsgegevens) relevant is.
8.12 Data leakage prevention
Deze maatregel schrijft voor dat middelen waarmee persoonlijke gegevens verwerkt worden, worden ingericht met tools om datalekken te detecteren en te voorkomen.
8.16 Monitoring activities
Deze maatregel vraagt om een monitoringsystematiek voor netwerken, systemen en applicaties, waarmee werkelijk gedrag wordt afgezet tegen een ‘baseline’ voor gebruikelijk gedrag, zodat abnormaal gedrag wordt gesignaleerd en potentiële incidenten kunnen worden geïndentificeerd en geëvalueerd.
8.23 Web filtering
Deze maatregel geeft aan dat aantoonbaar maatregelen getroffen moeten worden om toegang van medewerkers tot externe websites (technisch) zodanig te reguleren, dat de kans op blootstelling aan schadelijke inhoud wordt gereduceerd.
8.28 Secure coding
Bij deze maatregel gaat het erom dat (bij softwareontwikkeling) principes voor veilig programmeren worden gehanteerd, dat deze zijn vastgelegd in organisatiebrede processen en richtlijnen (incl. componenten van derden en open source) en dat deze continu geupdate en verbeterd worden op basis van monitoring van dreigingsontwikkelingen (5.7).
Stap 2 Herindelen beheersmaatregelen en risico’s
In de nieuwe ISO 27002:2022 norm zijn de 114 maatregelen uit de oude ISO 27002 teruggebracht naar 93 maatregelen en is een indeling gemaakt naar vier categorieën:
- Organisatorisch: denk aan o.a. informatieclassificatie, toegangsrechten, authenticatie;
- Mensen: bijvoorbeeld screening voorafgaand aan indiensttreding en security awareness;
- Fysiek: denk o.a. aan de toegang tot de fysieke locatie en clean desk/clear screen beleid;
- Technologisch: bijvoorbeeld malwarebescherming, logging, configuratiemanagement.
Zorg dat deze categorisering terug te vinden is in jouw gedocumenteerde ISMS.
N.B. Dit maakt het ook eenvoudiger om een ‘eigenaar’ toe te kennen aan een beheersmaatregel. Bijvoorbeeld de Security Officer voor de categorie ‘Organisatorisch’, HR Manager voor de categorie ‘Mensen’, de Facility Manager voor de categorie ‘Fysiek’ en de ICT-manager voor de categorie ‘Technologisch’.
Stap 3 Attributen toevoegen
In de nieuwe ISO 27002 zijn ‘attributen’ gekoppeld aan de beheersmaatregelen. Zo zijn maatregelen getypeerd als Preventief, Correctief en Detectief en wordt er benoemd of ze invloed hebben op de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV).
Ga na of in het gedocumenteerde ISMS van jouw organisatie de beheersmaatregelen met dit soort attributen zijn gekenmerkt en voeg deze toe, indien deze ontbreken.
Stap 4 Verklaring van toepasselijkheid aanpassen
De Verklaring van Toepasselijkheid (VvT) is het overzicht van de beheersmaatregelen, waarin je aangeeft of deze van toepassing is binnen de scope van jouw ISMS. Alle beheersmaatregelen uit de Annex A van ISO 27001 moeten hierin terugkomen, dus op termijn zal de VvT niet uit de huidige 114 beheersmaatregelen moeten bestaan, maar uit de 93 maatregelen uit de nieuwe ISO 27002.
Stel daarom een nieuwe/aangepaste versie van de VvT op (gedurende de overgangsperiode NAAST je bestaande VvT) op basis van de nieuwe ISO 27002.
Stap 5 Bepaal het formele overgangsmoment
In overleg met je certificerende instelling, bepaal je het best passende moment waarop je getoetst kunt gaan worden tegen de nieuwe set beheersmaatregelen (nieuwe ISO 27001 Annex A, op basis van de ISO 27002:2022). Dit kan op ieder moment gedurende de overgangsperiode plaatsvinden. Je certificerende instelling kan je informeren wanneer de Annex A definitief is aangepast, wat de overgangstermijn is en wat voor jullie het beste moment is. Over het algemeen zal dat laatste neerkomen op het moment dat het huidige certificaat afloopt en je opgaat voor een hercertificering.
Transitie maken?
Heb je vragen of wil je meer informatie over de gewijzigde ISO 27002? Ondersteuning of advies nodig bij het maken van de transitie? Speciaal voor deze transitie bieden wij een Transitiescan ISO 27002 aan. Neem gerust contact met ons op. Onze adviseurs helpen je graag verder.
Transcriptie video: ISO 27001 wijzigingen: wat verandert er voor jou?
In deze video leg ik je uit wat er dit jaar, 2022, verandert in de ISO 27001 én ISO 27002 norm. De ISO 27001 en 27002 zijn samenwerkende normen waarin de 27002 norm een lange opsomming is van beheersmaatregelen die je wilt implementeren als je mee wilt gaan in de gangbare best practices op het gebied van informatiebeveiliging. De indeling van deze beheersmaatregelen verandert in 2022. Van de oude lijst van 114 beheersmaatregelen is er een klein stukje efficiency bereikt en is het teruggebracht naar 93. En een aantal normen die wat ouderwets taalgebruik hebben, zoals bijvoorbeeld telewerken zijn meer aangepast naar nu. En ook zijn omstandigheden zoals het toegenomen gebruik van cloud applicaties wat beter verwoord in de norm. Nu die normwijziging komt: weet ten eerste dat je ongeveer 3 jaar de tijd hebt om daarmee aan de slag te gaan. De impact van de verandering hangt eigenlijk af van hoe goed je met je risicoanalyse bezig was. Als jij zelf al in zicht had dat je bijvoorbeeld hele moderne cloud applicaties gebruikt, dan heb jij de norm niet nodig gehad om jou te vertellen dat je die risico’s in behandeling neemt. Dus daar was je toch al mee bezig. Dan is alleen het taalgebruik wat nieuwer. Als jij een systeem hebt wat heel erg sterk samenhangt met specifieke annex nummers uit de oude norm en je vindt dat nuttig, dan zal je daar wat tekstuele redactie in moeten doen om te zorgen dat dat weer aansluit. Inhoudelijk, als jij al goed bezig was dan kunnen wij je prima helpen met die transitie tussen die twee systemen. Want ze sluiten prima op elkaar aan. Wil je meer weten over specifieke veranderingen in die maatregelen? Of de nieuwe indeling die stuurt naar bepaalde verantwoordelijkheden voor bepaalde rollen? Neem dan contact met ons op!
CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!
info@certificeringsadvies.nl
Overgang maken naar de ISO 27002:2022?
Download het handige stappenplan! Lees alles over:
- Het herindelen van beheersmaatregelen en risico’s
- De risico-inventarisatie
- Het aanpassen van de verklaring van toepasselijkheid
