ISO 27001:2022 en ISO 27002:2022: wat zijn de wijzigingen in deze nieuwe ISO updates?

In de wereld van ISO-standaarden is het gebruikelijk om ongeveer elke vijf jaar te besluiten of een norm wordt geactualiseerd. De laatste versie van de ISO 27001 norm, dé norm voor informatiebeveiliging, dateert inhoudelijk uit 2013. Hoog tijd voor herziening! En dat is zeker geen overbodige luxe wanneer je kijkt naar de snel veranderende (digitale) wereld en de bedreigingen waarmee organisaties continu worden geconfronteerd. Per 2022 is de nieuwe versie van de ISO 27001 norm, de ISO/IEC 27001:2022, gepubliceerd en ook de ISO 27002:2022 deed haar intrede. Het aantal beheersmaatregelen is van 114 naar 93 teruggebracht. Uiteraard nemen wij dit mee in onze ondersteuning bij de transitie naar ISO 27001:2022.Maar wat is er precies anders in deze ISO 27001 en ISO 27002 updates? En wat betekent dat voor jouw organisatie?

ISO 27001 is één van de meest gewaardeerde en wereldwijd gebruikte standaarden voor informatiebeveiliging. Door de ontwikkelingen op dat gebied die elkaar in razend tempo opvolgen is het gebruikelijk om beveiligingsstandaarden elke paar jaar te updaten. Het is dan ook verrassend dat de ISO 27001 norm, waarvan de huidige versie dateert uit 2013, al bijna tien jaar niet meer is bijgewerkt. Hoog tijd voor een opfrisbeurt.

Onlangs is aangekondigd dat er, naar verwachting, in het vierde kwartaal van 2022 een nieuwe versie van de ISO 27001 norm wordt gepubliceerd. Dat betreft dan de Engelstalige variant. De Nederlandse versie zal kort daarna volgen.

Wat zijn dan precies de wijzigingen in ISO 27001 die op de planning staan? Om dat exact te kunnen benoemen moeten we de publicatie van de nieuwe versie van ISO 27001 afwachten. Vooralsnog zijn er wel een aantal zaken bekend over de ISO 27001 update. We zetten deze hieronder voor je op een rij.

De doorgevoerde wijzigingen in ISO 27001:

Naar verwachting vinden er in de ISO 27001:2022 versie geen grote veranderingen plaats aan de hoofdstukken 4 t/m 10 (de HLS structuur) van de norm. Enkel verfijningen, toevoegingen en opsplitsingen. Dit betekent:

De wijze waarop je er als organisatie het beste op kunt inspelen, is afhankelijk van de status waarin het certificeringstraject van de organisatie zich bevindt:

Voor organisaties die op dit moment in het implementatie-/certificeringstraject zitten en dat naar verwachting in 2022 zullen afronden, geldt in feite hetzelfde als hierboven: het is aan te raden om de nieuwe ISO 27002 norm bij de implementatie al mee te nemen en vooralsnog te werken met een Verklaring van Toepasselijkheid waarin zowel de maatregelen en normindeling van de oude als de nieuwe Annex A/ISO 27002 terug te vinden zijn.

In februari 2022, is de ISO 27002:2022 gepubliceerd ter vervanging van de eerdere ISO 27002:2013 versie. Dit omdat in die tekst dit jaar het meeste verandert. ISO 27002 vormt de basis voor de (verplichte) beheersmaatregelen die als Annex A in de ISO 27001 norm zijn opgenomen en geeft voorbeelden en aanwijzingen over hoe een ISMS ingericht kan worden. Organisaties die ISO 27001 gecertificeerd zijn (of willen worden), zullen in de komende tijd hun informatiebeveiligingsmanagementsysteem (ISMS) en verklaring van toepasselijkheid moeten aanpassen/inrichten op de gewijzigde ISO 27002 (/Annex A).

Inhoudelijk verandert de ISO 27002 voornamelijk door een nieuwe indeling/categorisering, met samenvoeging van bestaande maatregelen en uitbreiding met 11 nieuwe maatregelen. Het doel van ISO hierbij is om bij de tijd te blijven, de indeling logischer en praktischer te maken en aan te sluiten bij juiste verantwoordelijken. Ook stimuleert de nieuwe indeling meer tot ‘zelf nadenken’. Daarbij biedt de norm als hulpmiddel nieuwe ‘attributen’ ten behoeve overzichtelijke selectie, groepering e.d., gebaseerd op het type maatregel (preventief, correctief) en of de maatregel invloed heeft op Beschikbaarheid, Integriteit en Vertrouwelijkheid.

Certificerende instellingen zullen niet per direct de nieuwe beheersmaatregelen als uitgangspunt nemen bij hun audits. Er zal naar verwachting een overgangsperiode gehanteerd worden van drie jaar. Tenzij je organisatie op dit moment start met de invoering van een managementsysteem volgens ISO 27001 en je in dit project nog een risicoanalyse moet uitvoeren, kun je als je al een draaiend managementsysteem hebt naar verwachting wachten tot je eerstvolgende periodieke update van de risicoanalyse om deze verandering in te zetten.

Noot vooraf: De vernieuwde ISO 27002 is op dit moment alleen nog gepubliceerd in het Engels, vandaar dat je hieronder wat Engelse termen terugvindt.

Een in het oog springende ISO 27002 wijziging is dat het aantal beheersmaatregelen teruggaat van 114 naar 93. Dit komt praktisch volledig door samenvoeging van bestaande maatregelen; inhoudelijk is er nauwelijks iets geschrapt. Overigens wordt de tekst van de norm daarbij niet per se korter – de Engelse norm gaat van 80 naar 138+ pagina’s.

Van die 93 controls zijn er 11 nieuwe (hieronder in een niet-officiële vertaling):

Wat daarbij opvalt is dat slechts één nieuwe beheersmaatregel betrekking heeft op beveiliging van clouddiensten. Dat is beperkte aandacht te noemen voor deze moderne manier van werken. Voor meer detail met betrekking tot clouddiensten wordt er geleund op de ISO 27017 norm, die ook groeit in populariteit (tenminste, bij de grotere aanbieders). Een meer structurele aandacht voor cloud in ISO 27002 komt wellicht over vijf of tien jaar aan bod. Wat niet wegneemt dat je met de huidige ISO 27002 ook uit de voeten kunt voor cloudsecurity.

De nieuwe norm bevat meer meta-informatie over de maatregelen en spoort de organisatie aan om daar zelf ook gebruik van te maken. Elke beheersmaatregel wordt bijvoorbeeld voorzien van “Attributen” zoals:

Deze attributen kunnen ook worden ingezet om aan te haken bij andere frameworks, zoals NIST.

De intentie is daarbij dat er ook meer gekeken wordt naar het doel van de maatregel en niet de gangbare uitvoering van de maatregel. Bijvoorbeeld functiescheiding bij een eenmansorganisatie. Ook het oude, wellicht verwarrende ‘beveiligen van laad- en loslocaties’ komt niet meer onder die titel voor.

Wat is er dan met die hoofdstukindeling gebeurd? Daar is in de nieuwe ISO 27002 een grote verandering doorgevoerd: de beheersmaatregelen worden verdeeld in vier groepen (hieronder genummerd volgens de nieuwe hoofstukken / clauses en met het aantal maatregelen benoemd):

Dit maakt het in principe iets eenvoudiger om een ‘eigenaar’ toe te kennen aan een beheersmaatregel. Bijvoorbeeld de HR Manager voor de categorie ‘Mensen’, de Security Officer voor de categorie ‘Organisatorisch’, de Facility Manager voor de categorie ‘Fysiek’ en de ICT manager voor de categorie ‘Technologie’.

De ISO 27002:2022 kent 11 nieuwe beheersmaatregelen (op het totaal van 93). In het ISMS dient een duidelijke koppeling aanwezig te zijn tussen de geïdentificeerde risico’s en de beheersmaatregelen. Ga daarom na of deze nieuwe beheersmaatregelen uit ISO 27002 relevant zijn in relatie tot de scope van het ISMS van jouw organisatie. Pak vervolgens je risicoanalyse erbij en ga voor de relevante beheersmaatregelen na aan welke risico’s deze gekoppeld kunnen worden. Indien de nieuwe maatregelen tot nieuwe risico-inzichten leiden, voeg je die toe aan de risicoanalyse.

Vervolgens bepaal je of de nieuwe maatregel al in voldoende mate geïmplementeerd is binnen je organisatie en plan je waar nodig nadere implementatieacties.

In de nieuwe ISO 27002:2022 norm zijn de 114 maatregelen uit de oude ISO 27002 teruggebracht naar 93 maatregelen en is een indeling gemaakt naar vier categorieën:

Zorg dat deze categorisering terug te vinden is in jouw gedocumenteerde ISMS.

N.B. Dit maakt het ook eenvoudiger om een ‘eigenaar’ toe te kennen aan een beheersmaatregel. Bijvoorbeeld de Security Officer voor de categorie ‘Organisatorisch’, HR Manager voor de categorie ‘Mensen’, de Facility Manager voor de categorie ‘Fysiek’ en de ICT-manager voor de categorie ‘Technologisch’.

In de nieuwe ISO 27002 zijn ‘attributen’ gekoppeld aan de beheersmaatregelen. Zo zijn maatregelen getypeerd als Preventief, Correctief en Detectief en wordt er benoemd of ze invloed hebben op de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV).

Ga na of in het gedocumenteerde ISMS van jouw organisatie de beheersmaatregelen met dit soort attributen zijn gekenmerkt en voeg deze toe, indien deze ontbreken.

De Verklaring van Toepasselijkheid (VvT) is het overzicht van de beheersmaatregelen, waarin je aangeeft of deze van toepassing is binnen de scope van jouw ISMS. Alle beheersmaatregelen uit de Annex A van ISO 27001 moeten hierin terugkomen, dus op termijn zal de VvT niet uit de huidige 114 beheersmaatregelen moeten bestaan, maar uit de 93 maatregelen uit de nieuwe ISO 27002.

Stel daarom een nieuwe/aangepaste versie van de VvT op (gedurende de overgangsperiode NAAST je bestaande VvT) op basis van de nieuwe ISO 27002.

In overleg met je certificerende instelling, bepaal je het best passende moment waarop je getoetst kunt gaan worden tegen de nieuwe set beheersmaatregelen (nieuwe ISO 27001 Annex A, op basis van de ISO 27002:2022). Dit kan op ieder moment gedurende de overgangsperiode plaatsvinden. Je certificerende instelling kan je informeren wanneer de Annex A definitief is aangepast, wat de overgangstermijn is en wat voor jullie het beste moment is. Over het algemeen zal dat laatste neerkomen op het moment dat het huidige certificaat afloopt en je opgaat voor een hercertificering.

Er is een overgangsperiode van naar verwachting drie jaar, om je ISMS in te richten c.q. aan te passen op de wijzigingen in de ISO 27002 (/Annex A). Als jouw organisatie al ISO 27001 gecertificeerd is, dan is het verstandig om te kijken in welk jaar je hercertificeringsaudit valt. Als dit qua planning lukt, dan is het prettig om er naartoe te werken dat je op dat moment je ISMS hierop hebt aangepast. Dat voorkomt hopelijk aanvullende bezoeken van de certificerende instelling.

Een aantal normen zijn afhankelijk van of gekoppeld aan ISO 27001/ISO 27002, zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510, de norm voor de zorg. Daarnaast zijn er verbanden of overlap met ABDO, TISAX en ISAE.

De beheerders van deze normen zullen op kortere of langere termijn naar verwachting de wijzigingen in de ISO 27002 in meer of mindere mate overnemen. De details en planning hiervan zijn nog niet bekend.

Heb je vragen of wil je meer informatie over de nieuwe ISO 27001:2022 of ISO 27002:2022 versie? Of ben je juist op zoek naar ondersteuning of advies bij het maken van de transitie naar de nieuwe 27001 (en 27002) norm? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!