ISO 27001:2022: wat zijn de wijzigingen in deze ISO 27001 update?
In het najaar van 2022 wordt ISO 27001:2022 gepubliceerd, de nieuwe versie van de ISO 27001 norm. Maar wat verandert er? En wat betekent dat voor jouw organisatie?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlIn de wereld van ISO-standaarden is het gebruikelijk om ongeveer elke vijf jaar te besluiten of een norm wordt geactualiseerd. De laatste versie van de ISO 27001 norm, dé norm voor informatiebeveiliging, dateert inhoudelijk uit 2013. Hoog tijd voor herziening! En dat is zeker geen overbodige luxe wanneer je kijkt naar de snel veranderende (digitale) wereld en de bedreigingen waarmee organisaties continu worden geconfronteerd. Onlangs is aangekondigd dat, naar verwachting, in oktober/november 2022 de nieuwe versie van de ISO 27001 norm, de ISO/IEC 27001:2022, wordt gepubliceerd. Maar wat verandert er precies in deze ISO 27001 update? En wat betekent dat voor jouw organisatie?
Wat is ISO 27001?
ISO/IEC 27001 specificeert de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een informatiebeveiligingsmanagementsysteem (ISMS) binnen de context van de organisatie. Het bevat ook eisen voor de beoordeling en behandeling van informatiebeveiligingsrisico’s die zijn afgestemd op de behoeften van de organisatie. (Bron: ISO.org)
Inmiddels is de nieuwe versie van de ISO 27001 norm gepubliceerd. Het aantal beheersmaatregelen is van 114 naar 93 teruggebracht. Uiteraard nemen wij dit mee in onze ondersteuning bij de transitie naar ISO 27001:2022.
Nieuwe versie ISO 27001 norm
ISO 27001 is één van de meest gewaardeerde en wereldwijd gebruikte standaarden voor informatiebeveiliging. Door de ontwikkelingen op dat gebied die elkaar in razend tempo opvolgen is het gebruikelijk om beveiligingsstandaarden elke paar jaar te updaten. Het is dan ook verrassend dat de ISO 27001 norm, waarvan de huidige versie dateert uit 2013, al bijna tien jaar niet meer is bijgewerkt. Hoog tijd voor een opfrisbeurt.
Onlangs is aangekondigd dat er, naar verwachting, in het vierde kwartaal van 2022 een nieuwe versie van de ISO 27001 norm wordt gepubliceerd. Dat betreft dan de Engelstalige variant. De Nederlandse versie zal kort daarna volgen.
Ook interessant!
Lees ook: Wat is ISO 27001? Of download geheel vrijblijvend de handige gids ‘Informatiebeveiliging met ISO 27001’.
ISO 27002:2022
Alvorens we ingaan op de wijzingen in ISO 27001 die op komst zijn, grijpen we even terug op de herziene ISO 27002:2022 norm die eerder dit jaar, in februari 2022, is gepubliceerd ter vervanging van de eerdere ISO 27002:2013 versie. Dit omdat in die tekst dit jaar het meeste verandert.
Doe de ISO 27002 zelftest
Zoals benoemd is de herziene ISO 27002:2022 in februari gepubliceerd. Wil je weten wat de impact daarvan is voor jouw organisatie? Doe dan gratis onze ISO 27002 zelftest! Wil je direct aan de slag met de transitie naar ISO 27002:2022? Bekijk dan onze 27002:2022 transitiescan.
ISO 27002 vormt de basis voor de (verplichte) beheersmaatregelen die als Annex A in de ISO 27001 norm zijn opgenomen en geeft voorbeelden en aanwijzingen over hoe een ISMS ingericht kan worden.
Een herziening van ISO 27002 heeft onvermijdelijk ook gevolgen voor ISO 27001. ISO 27002 is de gedetailleerde implementatierichtlijn voor elke maatregel die in 27001 kort opgesomd is in Annex A. Zodra de ISO 27001 update in 2022 wordt gelanceerd zullen die Annex A maatregelen weer overeenkomen met die van de ISO 27002:2022 versie.
Alle ISO 27002:2022 wijzigingen op een rij
Voor het gemak nog even alle ISO 27002:2022 wijzigingen op een rij:
ISO 27002 is voornamelijk veranderd door een nieuwe indeling/categorisering, met samenvoeging van bestaande maatregelen en uitbreiding met 11 nieuwe maatregelen. Het doel van ISO hierbij is om bij de tijd te blijven, de indeling logischer en praktischer te maken en aan te sluiten bij juiste verantwoordelijken. Ook stimuleert de nieuwe indeling meer tot ‘zelf nadenken’. Daarbij biedt de norm als hulpmiddel nieuwe ‘attributen’ ten behoeve overzichtelijke selectie, groepering e.d., gebaseerd op het type maatregel (preventief, correctief) en of de maatregel invloed heeft op Beschikbaarheid, Integriteit en Vertrouwelijkheid. En, even simpel gezegd, de nieuwe 27002 norm leest een stuk begrijpelijker.
Meer lezen? Bekijk: ISO 27002 wijzigingen, wat betekent dat voor jouw organisatie?
Wijzigingen ISO 27001
Wat zijn dan precies de wijzigingen in ISO 27001 die op de planning staan? Om dat exact te kunnen benoemen moeten we de publicatie van de nieuwe versie van ISO 27001 afwachten. Vooralsnog zijn er wel een aantal zaken bekend over de ISO 27001 update. We zetten deze hieronder voor je op een rij.
De doorgevoerde wijzigingen in ISO 27001:
- Een stroomlijning met ISO 27002:2022;
- Eerdere correcties op ISO 27001:2013 direct doorgevoerd in de basistekst;
- Afgestemd met de geharmoniseerde structuur van alle ISO-managementsysteemnormen.
Naar verwachting vinden er in de ISO 27001:2022 versie geen grote veranderingen plaats aan de hoofdstukken 4 t/m 10 (de HLS structuur) van de norm. Enkel verfijningen, toevoegingen en opsplitsingen. Dit betekent:
- Verduidelijking van 4.2 Belanghebbenden
- Verduidelijking van 4.3 Scope
- Verduidelijking van 6.1.3 Risicobehandeling (mede door de koppeling naar de Verklaring van Toepasselijkheid en verhogen van de flexibiliteit van toepassing van eigen controls)
- Toevoeging van 6.3 Wijzigingsbeheer (zoals ook ISO 9001)
- Verduidelijking van 8.1 Operationele planning (dat voorheen deels beoogde wat de nieuwe 6.3 nu zal dekken)
- Opsplitsing van 9.2 in 9.2.1 Algemeen / 9.2.2 Auditprogramma
- Opsplitsing van 9.3 in 9.3.1 Algemeen / 9.3.3 Output
ISO 27001 update: wat betekent dat voor jouw organisatie?
Zoals aangegeven wordt de ISO 27001:2022 norm ergens in het vierde kwartaal van 2022 vrijgegeven. Daarbij wordt ervan uitgegaan dat ook deze update het standaard pad van nieuwe ISO-releases volgt. Naar verwachting wordt er daarom een transitieperiode van 36 maanden gehanteerd. Dit betekent dat organisaties vanaf het moment van publicatie van ISO 27002:2022 drie jaar de tijd hebben om processen en documentatie bij te werken, werknemers op te leiden etc. en zo het ISMS aan te passen op de nieuwe ISO 27001:2022 en ISO 27002:2022 normen.
Mocht je ISMS al ISO 27001 gecertificeerd zijn en vindt er in 2022 een hercertificeringsaudit plaats? Dan wordt die uitgevoerd tegen de 2013-normversie (of de inhoudelijk 99% gelijke 2017 versie). Ook wanneer je een eerste certificering wilt plannen/hebt gepland en je ISMS in 2022 of begin 2023 wilt laten certificeren, zal de 2013-norm van toepassing zijn. Organisaties die momenteel nog niet gecertificeerd zijn, kunnen in principe gelijk al aan de slag met de nieuwste versies van ISO 27001 en 27002.
Ondersteuning nodig bij de ISO 27001:2022 transitie?
Heb je vragen of wil je meer informatie over de nieuwe ISO 27001:2022 versie? Of ben je juist op zoek naar ondersteuning of advies bij het maken van de transitie naar de nieuwe 27001 (en 27002) norm? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!
Transcriptie video: Wat verandert er met de ISO 27001:2022 update?
Wat verandert er aan ISO 27001? Even wat context. ISO 27001 is een norm voor een managementsysteem voor informatiebeveiliging. Die norm die wordt uitgegeven door, in Nederland, de NEN. En die verandert periodiek. Dus we hebben het nu over een normtekst die in 2022 is geactualiseerd. Die norm is geactualiseerd voor zowel ISO 27001 (het management stuk van de norm) als ISO 27002. Het stuk waarin een aantal best practices (dus goede beheersmaatregelen) zowel organisatorisch als technisch bijvoorbeeld worden geactualiseerd. Die tekst is veranderd in 2022. Dat betekent dat organisaties die een werkend managementsysteem hebben voor informatiebeveiliging een nieuwe lat hebben om dat systeem tegen af te meten. Dat betekent dat in de komende periode van drie jaar jouw managementsysteem in transitie zal moeten gaan. Als je dat nog niet hebt, kun je gewoon beginnen aan een managementsysteem voor ISO 27001 alsof je elk willekeurig moment zou beginnen. Moet je een transitie doen, dan is het goed om te weten dat het management-denken fundamenteel niet aangepast is. Als je enigszins ingevoerd bent in die ISO 27001 norm zou ik je bij wijze van spreken in een half uurtje op detail wijze de ISO 27001 wijzigingen kunnen laten zien waarbij de grootste wijziging dan misschien wel is dat je iets beter over je inkomen moet nadenken. Met betrekking tot 27002: daar zitten nu 93 beheersmaatregelen in terwijl dit er vroeger 114 waren. Zijn die echt nieuw? Nee. Er zijn er misschien een paar waarvan je kan zeggen dat ze nieuw zijn. Het is goed om eens een keer via een risicoanalyse na te denken over wat dat precies voor je betekent. Maar in feite is misschien wel de grootste impact dat je even bekijkt in hoeverre jouw managementsysteem echt geënt is op 114 best practices (de oude werkwijze van de norm). Want dan heb je waarschijnlijk een harde koppeling naar de normtekst die immers moet gaan vervallen want er is een nieuwe norm. Daar kan ik je ook meer over vertellen, maar dat duurt wat langer want er zitten meer details aan vast. Dat doen we niet in deze video. In ieder geval: de transitie is goed te doen. Zeker voor iemand die ingevoerd is in het ISO-denken. Ik wens je sowieso succes daarbij!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlTransitie naar de nieuwe ISO 27002 maken?
Laat een transitiescan uitvoeren!
- Stap voor stap inzicht
- Scan op maat
- Antwoord op al je vragen
- Concreet advies