G-7BYT35YYX8
top of page
Laptop%20Writing_edited.jpg
Basis-strip-blok.png
  • Foto van schrijverProtify

Wat staat er in de nieuwe norm voor ISO 27001 versie 2022?

Bijgewerkt op: 30 nov. 2023

De ISO 27001 norm voor informatiebeveiliging is herzien en is op 25 oktober 2022 gepubliceerd, de voorgaande versie stamde nog uit 2013. De vernieuwde ISO 27001 norm is in lijn gebracht met de al eerder gepubliceerde, herziene versie voor de ISO 27002 norm. De herziening van de norm was belangrijk, omdat de vorige norm bijna tien jaar oud was en zeker in de wereld van informatiebeveiliging er in die tijd veel veranderd is. De nieuwe ISO 27001:2022 richt zich nu ook op de cloud, maakt gebruik van # (hashtags) en er zijn wijzigingen doorgevoerd in High Level Structure (HLS) en in de beheersmaatregelen uit Annex A is op een andere manier ingericht.


Harmonized structure In 2021 is een nieuwe Harmonized Structure gepubliceerd. Dit is een aangepaste versie van de zogenaamde High Level Structure (HLS), die als normopzet gebruikt wordt voor alle ISO managementsysteemnormen (zoals ISO 9001, ISO 14001 en ISO 22301). Deze nieuwe Harmonized Structure is nu ook overgenomen, in de nieuwe versie van de ISO 27001 norm.

In deze Harmonized Structure van de norm is een aantal kleinere wijzigingen doorgevoerd:

  • Eis met betrekking tot het identificeren van eisen van belanghebbenden is verder verduidelijkt (artikel 4.2).

  • Eisen aangaande het beheersen van processen voor het ISMS, wijzigingen hierbinnen en risico’s die hieraan gerelateerd zijn verduidelijkt (artikel 4.4, 6.3 en 8.1).

  • Tevens zijn aanvullende eisen aan extern geleverde processen, producten en diensten opgenomen.

Annex A beheersmaatregelen: controls De wijzigingen zitten vooral in de beheersmaatregelen uit Annex A. De nieuwe ISO 27002 norm bestaat natuurlijk uit de HLS en de beheersmaatregelen uit Annex A. Die beheersmaatregelen uit Annex A zijn herzien in ISO 27002. In de basis is de hele structuur aan beheersmaatregelen omgegooid, eerst waren de beheersmaatregelen verdeeld over 14 hoofdstukken, dit is nu teruggebracht naar vier hoofdstukken:

  • Organisational controls (Organisatie)

  • People controls (Mens)

  • Physical controls (Fysieke beveiliging)

  • Technological controls (Technologie)

Daarnaast zijn verschillende beheersmaatregelen samengevoegd, ook zijn 11 nieuwe maatregelen toegevoegd. Dat resulteert erin dat het totaal aantal is teruggebracht van 114 naar 93.

Aan alle beheersmaatregelen zijn nu attributen gekoppeld. Hiermee wordt bijvoorbeeld aangegeven of een beheersmaatregel betrekking heeft op #beschikbaarheid, #Integriteit of #vertrouwelijkheid (information security properties) of dat het een #preventieve, #correctieve of #detectieve maatregel is (control type). Deze attributen kunnen bijvoorbeeld gebruikt worden voor het eenvoudiger identificeren en selecteren van beheersmaatregelen.


Welke beheersmaatregelen zijn nieuw? Het is belangrijk dat deze nieuwe maatregelen zijn toegevoegd, aangezien de vorige norm bijna tien jaar oud was. Toen bijvoorbeeld werken in cloud nog niet tot de standaard behoorde. De nieuwe beheersmaatregelen richten zich onder andere op informatiebeveiliging bij het gebruik van cloud services, threat intelligence, privacy, secure coding en configuration management. Dit dat de norm met deze beheersmaatregelen beter aansluit bij de huidige stand van de techniek en risico’s die hierbij horen. Daarnaast helpt de nieuwe opbouw van de beheersmaatregelen en de koppeling met attributen bij het op een doeltreffende wijze beheren van het managementsysteem en risico’s op het gebied van informatiebeveiliging.


Wat betekent de nieuwe versie van ISO 27001 voor mijn organisatie? Wanneer jouw organisatie op dit moment is gecertificeerd voor ISO 27001 blijft je certificaat geldig, pas bij hercertificering (na periode van drie jaar) zal deze plaatsvinden volgens de 2022 versie van de norm. Pas bij de volgende audit, wordt jouw organisatie meegenomen in de nieuwe versie. Het is uiteraard wel mogelijk om eerder naar de nieuwste versie van de norm over te aan, hiervoor kan een zogenaamde (extra) transitieaudit worden uitgevoerd door de certificerende instelling.

Meer informatie over ISO 27001 certificering? Neem contact met ons op en we bespreken graag de mogelijkheden voor het behalen van deze certificering of overgang naar de nieuwe versie van de norm voor jouw organisatie.


Comments


bottom of page