ISO 27001:2022 en ISO 27002:2022: wat zijn de wijzigingen in deze nieuwe ISO updates?

In de wereld van ISO-standaarden is het gebruikelijk om ongeveer elke vijf jaar te besluiten of een norm wordt geactualiseerd. De laatste versie van de ISO 27001 norm, dé norm voor informatiebeveiliging, dateert inhoudelijk uit 2013. Hoog tijd voor herziening! En dat is zeker geen overbodige luxe wanneer je kijkt naar de snel veranderende (digitale) wereld en de bedreigingen waarmee organisaties continu worden geconfronteerd. Per 2022 is de nieuwe versie van de ISO 27001 norm, de ISO/IEC 27001:2022, gepubliceerd en ook de ISO 27002:2022 deed haar intrede. Het aantal beheersmaatregelen is van 114 naar 93 teruggebracht. Uiteraard nemen wij dit mee in onze ondersteuning bij de transitie naar ISO 27001:2022.Maar wat is er precies anders in deze ISO 27001 en ISO 27002 updates? En wat betekent dat voor jouw organisatie?

ISO 27001 is één van de meest gewaardeerde en wereldwijd gebruikte standaarden voor informatiebeveiliging. Door de ontwikkelingen op dat gebied die elkaar in razend tempo opvolgen is het gebruikelijk om beveiligingsstandaarden elke paar jaar te updaten. Het is dan ook verrassend dat de ISO 27001 norm, waarvan de huidige versie dateert uit 2013, al bijna tien jaar niet meer is bijgewerkt. Hoog tijd voor een opfrisbeurt.

Onlangs is aangekondigd dat er, naar verwachting, in het vierde kwartaal van 2022 een nieuwe versie van de ISO 27001 norm wordt gepubliceerd. Dat betreft dan de Engelstalige variant. De Nederlandse versie zal kort daarna volgen.

Wat zijn dan precies de wijzigingen in ISO 27001 die op de planning staan? Om dat exact te kunnen benoemen moeten we de publicatie van de nieuwe versie van ISO 27001 afwachten. Vooralsnog zijn er wel een aantal zaken bekend over de ISO 27001 update. We zetten deze hieronder voor je op een rij.

De doorgevoerde wijzigingen in ISO 27001:

Naar verwachting vinden er in de ISO 27001:2022 versie geen grote veranderingen plaats aan de hoofdstukken 4 t/m 10 (de HLS structuur) van de norm. Enkel verfijningen, toevoegingen en opsplitsingen. Dit betekent:

Zoals aangegeven wordt de ISO 27001:2022 norm ergens in het vierde kwartaal van 2022 vrijgegeven. Daarbij wordt ervan uitgegaan dat ook deze update het standaard pad van nieuwe ISO-releases volgt. Naar verwachting wordt er daarom een transitieperiode van 36 maanden gehanteerd. Dit betekent dat organisaties vanaf het moment van publicatie van ISO 27002:2022 drie jaar de tijd hebben om processen en documentatie bij te werken, werknemers op te leiden etc. en zo het ISMS aan te passen op de nieuwe ISO 27001:2022 en ISO 27002:2022 normen.

Mocht je ISMS al ISO 27001 gecertificeerd zijn en vindt er in 2022 een hercertificeringsaudit plaats? Dan wordt die uitgevoerd tegen de 2013-normversie (of de inhoudelijk 99% gelijke 2017 versie). Ook wanneer je een eerste certificering wilt plannen/hebt gepland en je ISMS in 2022 of begin 2023 wilt laten certificeren, zal de 2013-norm van toepassing zijn. Organisaties die momenteel nog niet gecertificeerd zijn, kunnen in principe gelijk al aan de slag met de nieuwste versies van ISO 27001 en 27002.

In februari 2022, is de ISO 27002:2022 gepubliceerd ter vervanging van de eerdere ISO 27002:2013 versie. Dit omdat in die tekst dit jaar het meeste verandert. ISO 27002 vormt de basis voor de (verplichte) beheersmaatregelen die als Annex A in de ISO 27001 norm zijn opgenomen en geeft voorbeelden en aanwijzingen over hoe een ISMS ingericht kan worden. Organisaties die ISO 27001 gecertificeerd zijn (of willen worden), zullen in de komende tijd hun informatiebeveiligingsmanagementsysteem (ISMS) en verklaring van toepasselijkheid moeten aanpassen/inrichten op de gewijzigde ISO 27002 (/Annex A).

Inhoudelijk verandert de ISO 27002 voornamelijk door een nieuwe indeling/categorisering, met samenvoeging van bestaande maatregelen en uitbreiding met 11 nieuwe maatregelen. Het doel van ISO hierbij is om bij de tijd te blijven, de indeling logischer en praktischer te maken en aan te sluiten bij juiste verantwoordelijken. Ook stimuleert de nieuwe indeling meer tot ‘zelf nadenken’. Daarbij biedt de norm als hulpmiddel nieuwe ‘attributen’ ten behoeve overzichtelijke selectie, groepering e.d., gebaseerd op het type maatregel (preventief, correctief) en of de maatregel invloed heeft op Beschikbaarheid, Integriteit en Vertrouwelijkheid.

Certificerende instellingen zullen niet per direct de nieuwe beheersmaatregelen als uitgangspunt nemen bij hun audits. Er zal naar verwachting een overgangsperiode gehanteerd worden van drie jaar. Tenzij je organisatie op dit moment start met de invoering van een managementsysteem volgens ISO 27001 en je in dit project nog een risicoanalyse moet uitvoeren, kun je als je al een draaiend managementsysteem hebt naar verwachting wachten tot je eerstvolgende periodieke update van de risicoanalyse om deze verandering in te zetten.

Noot vooraf: De vernieuwde ISO 27002 is op dit moment alleen nog gepubliceerd in het Engels, vandaar dat je hieronder wat Engelse termen terugvindt.

Een in het oog springende ISO 27002 wijziging is dat het aantal beheersmaatregelen teruggaat van 114 naar 93. Dit komt praktisch volledig door samenvoeging van bestaande maatregelen; inhoudelijk is er nauwelijks iets geschrapt. Overigens wordt de tekst van de norm daarbij niet per se korter – de Engelse norm gaat van 80 naar 138+ pagina’s.

Van die 93 controls zijn er 11 nieuwe (hieronder in een niet-officiële vertaling):

Wat daarbij opvalt is dat slechts één nieuwe beheersmaatregel betrekking heeft op beveiliging van clouddiensten. Dat is beperkte aandacht te noemen voor deze moderne manier van werken. Voor meer detail met betrekking tot clouddiensten wordt er geleund op de ISO 27017 norm, die ook groeit in populariteit (tenminste, bij de grotere aanbieders). Een meer structurele aandacht voor cloud in ISO 27002 komt wellicht over vijf of tien jaar aan bod. Wat niet wegneemt dat je met de huidige ISO 27002 ook uit de voeten kunt voor cloudsecurity.

De nieuwe norm bevat meer meta-informatie over de maatregelen en spoort de organisatie aan om daar zelf ook gebruik van te maken. Elke beheersmaatregel wordt bijvoorbeeld voorzien van “Attributen” zoals:

Deze attributen kunnen ook worden ingezet om aan te haken bij andere frameworks, zoals NIST.

De intentie is daarbij dat er ook meer gekeken wordt naar het doel van de maatregel en niet de gangbare uitvoering van de maatregel. Bijvoorbeeld functiescheiding bij een eenmansorganisatie. Ook het oude, wellicht verwarrende ‘beveiligen van laad- en loslocaties’ komt niet meer onder die titel voor.

Wat is er dan met die hoofdstukindeling gebeurd? Daar is in de nieuwe ISO 27002 een grote verandering doorgevoerd: de beheersmaatregelen worden verdeeld in vier groepen (hieronder genummerd volgens de nieuwe hoofstukken / clauses en met het aantal maatregelen benoemd):

Dit maakt het in principe iets eenvoudiger om een ‘eigenaar’ toe te kennen aan een beheersmaatregel. Bijvoorbeeld de HR Manager voor de categorie ‘Mensen’, de Security Officer voor de categorie ‘Organisatorisch’, de Facility Manager voor de categorie ‘Fysiek’ en de ICT manager voor de categorie ‘Technologie’.

Er is een overgangsperiode van naar verwachting drie jaar, om je ISMS in te richten c.q. aan te passen op de wijzigingen in de ISO 27002 (/Annex A). Als jouw organisatie al ISO 27001 gecertificeerd is, dan is het verstandig om te kijken in welk jaar je hercertificeringsaudit valt. Als dit qua planning lukt, dan is het prettig om er naartoe te werken dat je op dat moment je ISMS hierop hebt aangepast. Dat voorkomt hopelijk aanvullende bezoeken van de certificerende instelling.

Hoe moet die transitie dan gemaakt worden? Het meest praktische is dat bij de eerstvolgende revisie/update van de risicoanalyse te doen (op het moment dat die gepland staat in je operationele planning). Als die nog lang op zich laat wachten, dan kun je er uiteraard één extra plannen. Daarbij kijk je op basis van de nieuwe indeling/maatregelen of er bij je huidige risicoanalyse toch niet iets gemist is. Mogelijk is dat niet eens zo. Als cloud diensten bijvoorbeeld een belangrijke rol spelen binnen je organisatie, zal je (als het goed is) de risico’s daarvan al eerder in beeld hebben gebracht en maatregelen hebben getroffen (ook al vroeg de norm daar nog niet expliciet om). En zo geldt dat wellicht ook voor de andere nieuwe zaken. In dat geval is het slechts een kwestie van duidelijk zichtbaar maken dat je ook onder de nieuwe indeling, je zaken op orde hebt.

Mocht je echter de maatregelen uit de Annex A heel letterlijk/rechtlijnig als uitgangspunt voor je risicoanalyse hebben genomen en geïmplementeerd, dan kan het zijn dat je toch nieuwe zaken tegenkomt in de vernieuwde ISO 27002 / Annex A. Het werk is in dat geval omvangrijker. Dat geldt ook wanneer je jouw managementsysteem sterk gekoppeld hebt aan (en ingedeeld hebt volgens) de Annex A en de daarbij behorende paragraafnummers. Veel (jongere) systemen kennen een dergelijke inrichting.

De nieuwe norm bevat een bijlage met een mapping van de 2013 versie naar de 2022 versie, die je voor een zoek- en vervang exercitie kan gebruiken.

Het is echter aan te bevelen om waar mogelijk de focus op/koppeling aan de norm(paragrafen) los te laten, zeker als je systeem al een tijd goed draait. Je processen werken dan immers goed en je hebt de ‘kruk’ van de normdetails steeds minder nodig om de relevante maatregelen te treffen en goed te houden. Uiteraard maak je de koppeling tussen je systeem en norm nog wel (in risicoanalyse en verklaring van toepasselijkheid), maar deze mag naar de achtergrond. Dat is ook goed voor het draagvlak en de effectiviteit in je organisatie. En je voorkomt dat je bij een toekomstige update aan de norm vast zit aan het framework.

Wat je ook doet: neem bij je eerstvolgende directiebeoordeling (of overleg tussen Security Officer en directie) deze ontwikkeling op basis van de ISO 27002 wijzigingen alvast mee.

Een aantal normen zijn afhankelijk van of gekoppeld aan ISO 27001/ISO 27002, zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510, de norm voor de zorg. Daarnaast zijn er verbanden of overlap met ABDO, TISAX en ISAE.

De beheerders van deze normen zullen op kortere of langere termijn naar verwachting de wijzigingen in de ISO 27002 in meer of mindere mate overnemen. De details en planning hiervan zijn nog niet bekend.

Heb je vragen of wil je meer informatie over de nieuwe ISO 27001:2022 of ISO 27002:2022 versie? Of ben je juist op zoek naar ondersteuning of advies bij het maken van de transitie naar de nieuwe 27001 (en 27002) norm? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!