ISO 27001: wanneer ga je over op de 2022 versie?
ISO 27001:2022 is nog niet zo lang geleden gepubliceerd. Maar wanneer ga je als organisatie over?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlIn het vierde kwartaal van 2022 is de nieuwe versie van ISO 27001 gepubliceerd, de ISO 27001:2022. In onze adviespraktijk merken wij dat dit vragen oproept over het juiste moment om het informatiebeveiligingsmanagementsysteem (ISMS) op deze nieuwe versie te gaan baseren. Dit geldt voor zowel reeds gecertificeerde organisaties als organisaties waar het implementatietraject recent is gestart of binnenkort gaat starten. In dit artikel zetten we de belangrijkste uitgangspunten en overwegingen daarbij op een rij.
De wijzigingen in de ISO 27001:2022
De belangrijkste wijzigingen in de nieuwe versie van de ISO 27001 norm zijn terug te vinden in de Annex A, de bijlage met de best-practice beheersmaatregelen. Deze zijn in de nieuwe versie van ISO 27001 1:1 gebaseerd op de eerder in 2022 herziene versie van de ISO 27002. Wij schreven hier al eerder over; om niet in herhaling te vallen verwijzen we derhalve naar dit artikel: ISO 27002 wijzigingen, wat betekent dat voor jouw organisatie?
Naast de Annex A, zijn er ook enkele veranderingen in hoofdstuk 4-10 (de ‘managementmethode’), maar die zijn zeer beperkt. Dit deel wordt meer in lijn gebracht met de zogenaamde ‘Harmonized Structure’, de opvolger van de High Level Structure. In het (heel) kort: er is meer aandacht voor procesmatig werken en het procesmatig beheersen van ‘extern geleverde producten en diensten’ wordt belangrijker.
Richtlijnen bij het overgangsmoment naar ISO 27001:2022
De transitieperiode van de ISO 27001:2017 naar de ISO 27001:2022 kent een aantal relevante uitgangspunten/richtlijnen die van invloed zijn op het overgangsmoment:
- Vanaf 1 mei 2024 mogen certificerende instellingen (CI’s) geen initiële audits of hercertificeringsaudits meer uitvoeren op basis van ISO 27001:2013/2017;
- Houders van bestaande certificaten kunnen tot uiterlijk oktober 2025 tegen de oude versie van de norm gecertificeerd zijn.
- Certificerende instellingen zullen op zijn vroegst vanaf februari/maart 2023 initiële en hercertificeringsaudits kunnen uitvoeren op basis van de nieuwe ISO 27001:2022. Er zijn twee momenten in 2023 waarop CI’s hun accreditatie voor de nieuwe versie kunnen verkrijgen: de eerste in februari 2023 en de tweede in juni 2023. Dit moment zal per CI verschillen, dus doe daarover navraag bij de CI.
Organisaties die nog niet gecertificeerd zijn
Voor organisaties die nog niet gecertificeerd zijn, maar nog in het implementatietraject zitten (of dit binnenkort gaan starten) betekent dit praktisch dat:
- je nog kiest voor implementatie van en certificering tegen de oude versie (ISO 27001:2017) als de initiële certificeringsaudit plaatsvindt (=al gepland is) vóór maart 2023;
- de keuze voor (implementatie van en certificering tegen de oude versie of de nieuwe versie van de norm afhankelijk is van het moment waarop jouw CI opgaat voor accreditatie (februari of juni 2023) en deze behaalt, als de initiële certificeringsaudit naar verwachting plaatsvindt in de periode maart tot en met juni 2023; vraag jouw CI in dat geval om meer informatie/advies;
- je kiest voor implementatie van en certificering tegen de nieuwe 2022 versie van de norm, als je initiële certificeringsaudit naar verwachting plaatsvindt in of ná juli 2023. Want hoewel de CI in de periode juli-oktober nog tegen de oude versie van de norm kan certificeren, is het verstandig rekening te houden met eventuele non-conformiteiten die de initiële audit kan opleveren, waarvoor mogelijk nog enkele weken/maanden hersteltijd nodig is (waarmee de certificatiebeslissing zomaar na 1 mei 2024 zou kunnen vallen en dan geen certificaat op basis van de oude norm mag worden verstrekt).
Organisaties die al ISO 27001 gecertificeerd zijn
Voor organisaties die al ISO 27001 gecertificeerd zijn, kunnen de volgende praktische uitgangspunten gehanteerd worden:
- In de periode tussen nu en oktober 2025 dien je de overgang naar de 2022 versie van de norm te realiseren. Er dient hiervoor een transitieaudit ingepland te worden met de certificerende instelling. Idealiter laat je deze samenvallen met de eerstvolgende hercertificeringsaudit (dus niet met een tussentijdse surveillance audit).
- Indien je eerstvolgende hercertificeringsaudit gepland is vóór maart 2023, dan zal deze nog tegen de oude (2017) versie van de norm worden uitgevoerd. De transitie zal dan op een later moment (voor oktober 2025) alsnog moeten plaatsvinden.
- Indien je eerstvolgende hercertificeringsaudit gepland/verwacht is/wordt in de periode maart tot en met juni 2023, dan is de keuze of je tegen de oude of nieuwe versie van de norm hercertificeert afhankelijk van het moment waarop jouw CI opgaat voor accreditatie (februari of juni 2023) en deze behaalt; vraag jouw CI in dat geval om meer informatie/advies.
- Indien je eerstvolgende hercertificeringsaudit gepland/verwacht is/wordt in de periode juli 2023 tot april 2024, dan adviseren wij sterk om bij die audit de overgang naar de nieuwe 2022 versie te realiseren, om bij eventuele hersteltijd voor non-conformiteiten niet het risico te lopen dat de hercertificatiebeslissing pas na 1 mei 2024 genomen kan worden en niet meer tegen de oude versie van de norm gecertificeerd kan worden.
- In de je eerstvolgende hercertificeringsaudit gepland is/wordt na april 2024, dan zal deze tegen de 2022 versie van de norm plaatsvinden.
Uit het overgangsmoment dat voor jouw organisatie van toepassing is, volgt dus automatisch of je nu heel snel aan de slag moet met het ombouwen van je ISMS naar de nieuwe versie van de norm, of dat je daar nog enigszins of ruim de tijd voor hebt.
Stappenplan bij transitie van ISMS (voor gecertificeerde organisaties)
Nadat je, op basis van het bovenstaande, het overgangsmoment voor jouw organisatie/ISMS hebt bepaald, adviseren wij om ten behoeve van de transitie de volgende stappen uit te voeren:
- Stap 1: Voer een gap-analyse en een hernieuwde risicoanalyse Lees en begrijp hierbij de intentie van de 11 nieuwe beheersmaatregelen om de impact hiervan te bepalen (ook vanuit ‘proces denken’ en ‘extern geleverde diensten’) en bepaal daarna de impact op risicoanalyse- en behandeling.
- Stap 2: Bepaal de impact van de nieuwe categorisering/indeling op jouw ISMS documentatie (de impact is groter als de indeling van jouw ISMS sterk normgerelateerd is).
- Stap 3: Overweeg het opnemen van attributen in het gedocumenteerde ISMS.
- Stap 4: Informeer alle relevante betrokkenen over de veranderingen (intern, extern).
- Stap 5: Beoordeel de transitie bij de eerstvolgende interne audit en directiebeoordeling.
- Stap 6: Laat de transitieaudit uitvoeren door de CI (bij voorkeur dus bij hercertificering).
Wil jij in de toekomst op de hoogte worden gehouden van wijzigingen in normen, ontwikkelingen rondom certificeringen en trends uit de markt? Schrijf je dan snel in voor onze maandelijkse nieuwsbrief en krijg de updates automatisch in je mailbox!
Tenslotte: wat te doen bij een combinatie van ISO 27001 en NEN 7510?
Hoewel de ISO 27001 de basis vormt voor NEN 7510, de norm voor informatiebeveiliging in de zorgsector, betekent dit niet dat de nieuwe versie van de ISO 27001 ook direct een wijziging van de NEN 7510 met zich meebrengt. Hier zal nog enige tijd overheen gaan; naar verwachting zal pas in 2024 een nieuwe versie uitkomen. Als je als organisatie een ISMS hebt dat naast ISO 27001 ook gebaseerd is op NEN 7510 en/of BIO, zal er dus een periode ontstaan waarin de hoofdstukindelingen en inhoud van normparagrafen / beheersmaatregelen die voorheen 1:1 overeenkwamen voor ISO 27001 en NEN 7510, tijdelijk niet meer exact overeenkomen. Een periode die overbrugd kan worden met bijvoorbeeld kruisverwijzingstabellen tussen de verschillende normen en waarin je zal moeten werken met twee verschillende verklaringen van toepasselijkheid (VvT).
Advies of ondersteuning nodig?
Wil je snel weten waar jouw ISMS staat t.o.v. van de nieuwe versie van de norm, of heb je hulp nodig bij het maken van de transitie? Onze adviseurs helpen je graag op weg met bijvoorbeeld onze transitiescan of transitieondersteuningssessies. Neem gerust contact met ons op.
Transcriptie video: Wat verandert er met de ISO 27001:2022 update?
Wat verandert er aan ISO 27001? Even wat context. ISO 27001 is een norm voor een managementsysteem voor informatiebeveiliging. Die norm die wordt uitgegeven door, in Nederland, de NEN. En die verandert periodiek. Dus we hebben het nu over een normtekst die in 2022 is geactualiseerd. Die norm is geactualiseerd voor zowel ISO 27001 (het management stuk van de norm) als ISO 27002. Het stuk waarin een aantal best practices (dus goede beheersmaatregelen) zowel organisatorisch als technisch bijvoorbeeld worden geactualiseerd. Die tekst is veranderd in 2022. Dat betekent dat organisaties die een werkend managementsysteem hebben voor informatiebeveiliging een nieuwe lat hebben om dat systeem tegen af te meten. Dat betekent dat in de komende periode van drie jaar jouw managementsysteem in transitie zal moeten gaan. Als je dat nog niet hebt, kun je gewoon beginnen aan een managementsysteem voor ISO 27001 alsof je elk willekeurig moment zou beginnen. Moet je een transitie doen, dan is het goed om te weten dat het management-denken fundamenteel niet aangepast is. Als je enigszins ingevoerd bent in die ISO 27001 norm zou ik je bij wijze van spreken in een half uurtje op detail wijze de ISO 27001 wijzigingen kunnen laten zien waarbij de grootste wijziging dan misschien wel is dat je iets beter over je inkomen moet nadenken. Met betrekking tot 27002: daar zitten nu 93 beheersmaatregelen in terwijl dit er vroeger 114 waren. Zijn die echt nieuw? Nee. Er zijn er misschien een paar waarvan je kan zeggen dat ze nieuw zijn. Het is goed om eens een keer via een risicoanalyse na te denken over wat dat precies voor je betekent. Maar in feite is misschien wel de grootste impact dat je even bekijkt in hoeverre jouw managementsysteem echt geënt is op 114 best practices (de oude werkwijze van de norm). Want dan heb je waarschijnlijk een harde koppeling naar de normtekst die immers moet gaan vervallen want er is een nieuwe norm. Daar kan ik je ook meer over vertellen, maar dat duurt wat langer want er zitten meer details aan vast. Dat doen we niet in deze video. In ieder geval: de transitie is goed te doen. Zeker voor iemand die ingevoerd is in het ISO-denken. Ik wens je sowieso succes daarbij!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Voldoe aan de ISO 27002:2022 eisen!
Doe de transitiescan en breng alles op orde!
- Binnen één dagdeel
- Specialistische kennis
- Concreet actieplan
