Update je ISO27001!

ISO27001

In december 2022 is de Nederlandse versie van de nieuwste ISO27001 norm gepubliceerd; versie 2022. Heeft uw organisatie reeds een ISO27001 certificaat, lees dan zeker verder!

ISO27001

De nieuwe versie, voluit “ISO/IEC 27001:2022_nl” geheten, vervangt versie 2013 (en de praktisch identieke versie uit 2017).
Het werd hoog tijd voor een nieuwe versie van de norm. ISO normen worden gemiddeld elke 5 jaar geactualiseerd middels een nieuwe versie. Voor 27001 heeft dit echter dus bijna 10 jaar geduurd, een eeuwigheid in het huidige digitale tijdperk. Sprekend voorbeeld is het gebruik van de term “Telewerken” in de 2013 versie, een term die nu associaties oproept met het geluid van krakende modems die een trage verbinding naar een terminal server opzetten, iets uit vorige decennia….

De belangrijkste wijzigingen in de nieuwe versie:

  • Overgang van High Level Structuur (HLS) naar Harmonized Structure (HS).
    Elke nieuwe ISO norm dient vanaf 2021 opgebouwd te zijn middels deze HS, een doorontwikkeling van de HLS. Dus ook 27001 in deze nieuwe versie.

Hiermee wordt consistenter gebruik gemaakt van duidelijkere definities en termen, krijgen de belangen van stakeholders een grotere rol, is het verandermanagement gelijk gemaakt aan die in andere ISO normen en is de format eis voor gedocumenteerde informatie komen te vervallen.

Verder is er meer aandacht voor procesmatig werken en het procesmatig beheersen van ‘extern geleverde producten en diensten’ wordt belangrijker.

  • Nieuwe indeling van beheersmaatregelen in Annex A.

Annex A van 27001 verwijst naar de beheersmaatregelen in ISO27002. Hiervan is eerder in 2022 een nieuwe versie uitgekomen, met een nieuwe indeling naar organisatorische, mensgerichte, fysiek en technologische maatregelen. Dit zal voor de meeste organisaties betekenen dat zij de verwijzingen - die op diverse plekken in hun ISMS kunnen staan - moeten wijzigen. Denk bijvoorbeeld aan de risicoanalyse, eventueel het risicobehandelplan en de VvT.

  • Verandering van beheersmaatregelen.
    Diverse bestaande maatregelen zijn geclusterd, 11 nieuwe maatregelen zijn geïntroduceerd en enkele zijn vervallen. In totaal zijn er nu 93 beheersmaatregelen, tegen voorheen 114.
  • Introductie van attributen.

Deze optioneel te gebruiken attributen kunnen groepering en selectie van maatregelen vergemakkelijken. Zo kunnen maatregelen o.a. getypeerd worden middels het label correctief of preventief en kunnen de IB-elementen B-I-V als label gebruikt worden om aan te geven op welke aspecten een maatregel invloed heeft.

Bij de tijd

Al met al is de ISO27001 norm met deze nieuwe versie weer ‘bij de tijd’. De nieuwe indeling maakt de norm leesbaarder en begrijpelijker. Tegelijkertijd zorgt deze nieuwe versie voor noodzakelijke wijzingen in uw ISMS. Zo zult u onder andere uw risicoanalyse en VvT moeten herzien en aanpassen, 11 nieuwe maatregelen dienen te beoordelen en zo nodig implementeren en – last but not least – gecertificeerd dienen te worden voor deze nieuwe norm. Een zogenaamde transitie-audit kan separaat uitgevoerd worden indien gewenst, logischer en efficiënter is het echter om dit te combineren met de eerstvolgende hercertificeringsaudit. Uiterlijk op 1 november 2025 dienen organisaties overgestapt te zijn op de nieuwe norm, dus plan deze overgang tijdig!

Pas in 2024 zullen er naar verwachting nieuwe versies verschijnen van op ISO27001 gebaseerde normen, zoals NEN7510 en de BIO. Er zal dus een periode ontstaan waarin de beheersmaatregelen niet meer 1 op 1 met elkaar overeenkomen en waardoor er gewerkt moet worden met verschillende Verklaringen van Toepassing en eventueel met tabellen kruisverwijzingen of mappings tussen de twee dan verschillende managementsystemen.

Wilt u meer weten over de nieuwe norm? En hoe hiermee om te gaan in combinatie met NEN7510 en/of de BIO?

MySecurityOffice informeert en adviseert u graag. Middels een GAP-analyse brengen wij in kaart wat de te nemen stappen zijn en maken wij samen met u een implementatieplan. Neem nu vrijblijvend contact met ons op.