.webp)
Wat zijn de belangrijkste wijzigingen?
De wijzigingen hebben effect op de Annex A van de ISO 27001. Hieronder worden de belangrijkste wijzigingen opgesomd:
1. De indeling van hoofdstukken is gewijzigd;
Van 14 hoofdstukken met beheersmaatregelen naar een duidelijkere onderverdeling in 4 hoofdstukken:
- Organisatorisch
- Personeel
- Fysiek
- Technologisch
Dit is gedaan om duidelijker de beheersmaatregelen aan de juiste verantwoordelijkheden te koppelen.
2. Er zijn beheersmaatregelen samengevoegd;
Een gedeelte van de controls uit de ISO 27001:2017 norm zijn samengevoegd, waardoor de Annex A compacter en algemener geworden is. Van 114 beheersmaatregelen in totaal, zijn er nu nog 93 over. Dit is een stap in de richting van een meer toekomstbestendige norm
3. Er zijn 11 nieuwe beheersmaatregelen toegevoegd;
De vernieuwde maatregelen spelen in op moderne trends, zoals de normalisering van het gebruik van ‘Cloud services’, ‘secure coding’ en ‘data masking’.
4. De invoering van attributen aan beheersmaatregelen;
Er zijn attributen, of eigenschappen, aan beheersmaatregelen toegevoegd. Dit is een manier om de beheersmaatregelen te categoriseren. De toegevoegde attributen zijn:
- Type (preventief, detecterend of correctief);
- IB-eigenschappen (beschikbaarheid, integriteit of vertrouwelijkheid);
- Vijf functies van Cybersecurity (identificeren, detecteren, beschermen, reageren en herstellen)
- Operationele capabiliteit (bijv. bedrijfscontinuïteit en databescherming)
- Veiligheidsdomein (Defence, Resilience, Protection, Governance en Ecosystem)
Geassocieerde normen
Naast de invloed die de verandering heeft op de ISO 27001 norm, heeft deze norm ook invloed op andere normen. Denk hierbij aan:
- NEN 7510: Informatiebeveiliging voor de zorg;
- BIO: Baseline Informatiebeveiliging Overheid;
- BIC: Baseline Informatiebeveiliging (woning) Corporaties;
- ISO 27701: Privacy informatiemanagement;
- ISO 27017: Specifieke risico’s en maatregelen voor klanten (‘Cloud service customer’) en leveranciers (‘Cloud serviceprovider’) van clouddiensten; en
- ISO 27018: Cloud aanbieders die persoonsgegevens verwerken.
Wat voor invloed kunnen deze wijzigingen hebben op jouw organisatie?
Wanneer jouw organisatie al gecertificeerd is volgens ISO 27001 zal er op de korte termijn geen impact zijn. Er geldt een overgangstermijn van een paar jaar voor reeds gecertificeerde organisaties. Dit betekent dat de volledige auditcyclus afgemaakt kan worden met de huidige versie van de norm. Deze overgangstermijn gaat in op het moment dat ISO 27001 officieel is bijgewerkt.
Voor organisaties zonder ISO 27001 certificaat is het verstandig om bij de implementatie rekening te houden met de nieuwe 27001 norm, dit kan je in de toekomst veel werk besparen.
Conclusie
Kortom, met een snel veranderend onderwerp als informatiebeveiliging werd het hoog tijd dat er een actualisering van de ISO-norm kwam. ISO 27001:2022 is toekomstbestendiger en houdt dus meer rekening met het tempo van innovatie. Dit vereist daardoor meer eigen interpretatie van de eisen van de norm door jouw organisatie. Daarnaast zijn er door de uitbreiding van de categoriseringsmechanismes meer mogelijkheden tot verduidelijking welke beheersmaatregelen tot welke output, op het gebied van informatiebeveiliging, leiden.
Qua acties die nu gedaan moeten worden kan ik je geruststellen. Op dit moment moet er namelijk nog niks gedaan te worden. Zodra de 27001 norm is aangepast volgen er nog een paar jaar waarin jouw organisatie de nodige aanpassingen in je ISMS kan doen en daarna pas zal het een harde vereiste worden voor een ISO 27001 certificaat. Mocht je nu een ISO 27001 certificaat willen behalen, is het waardevol om het ISMS zo in te richten dat je gemakkelijk over kan gaan naar de aankomende versie. Van 14 hoofdstukken zou je bijvoorbeeld al meer in de 4 hoofdstukkenstructuur kunnen gaan werken met de categoriseringsattributen van ISO 27001:2022.
Voor de overzichtelijkheid van je ISMS is ISO 27001:2022 absoluut een positieve invloed. De Transitiescan ISO 27001:2022 helpt jouw organisatie bij het aanpassen van het managementsysteem om te voldoen aan de nieuwe norm.
