ISO 27002 update

De wereld staat niet stil

De wereld draait door. Steeds meer organisaties in de cloud, thuiswerken en het belang van privacy. Genoeg voorbeelden waar informatie in verkeerde handen valt. Helaas. De internationale norm voor de informatiebeveiliging – ISO 27001 – staat om die reden ook niet stil. Binnenkort komt er een grote update aan van het broertje van de ISO 27001, de ISO 27002. We leggen graag uit wat die inhoudt en wat het voor u betekent.

Informatiebeveiliging vraagt steeds meer aandacht

Informatiebeveiliging is de afgelopen jaren voor veel organisaties een belangrijk thema geweest. Door de recente ‘gijzelsituaties’ en de continue verscherpingen van eisen vanuit wet- en regelgeving zal de aandacht verder toenemen. Hierdoor is het aantal ISO 27001-certificeringen enorm gegroeid.

Tegelijkertijd wordt al geruime tijd steeds duidelijker dat de huidige vorm van deze standaard niet altijd even goed aansluit op de praktijk. Veel organisaties maken tegenwoordig gebruik van cloudtechnologie en sinds de pandemie wordt er meer vanuit huis gewerkt. De huidige vorm van ISO 27001 dekt dit niet voldoende af.

Dit heeft bijgedragen aan het besluit om de huidige versie van de ISO 27001-norm te updaten. Na een langdurige voorbereiding is onlangs een vernieuwing van de ISO 27002:2022 gepubliceerd.

Hoe de nieuwe structuur eruit ziet en wat de concrete gevolgen daarvan zijn, is nog niet in detail bekend. Met deze blog willen wij u informeren over de zaken die al wel duidelijk zijn.

In dit blog leest u:

• Wat de belangrijkste wijzigingen zijn ten opzichte van de oude norm.
• Een aantal praktische zaken met betrekking tot bestaande certificeringen en lopende implementatieprojecten.
• Wat deze veranderingen betekenen voor uw organisatie.

Het verschil tussen ISO 27001 en ISO 27002

ISO 27001 kunt u zien als het WAT. De norm bevat alle eisen waaraan u moet voldoen en is de norm waarmee u uw organisatie kunt laten certificeren.

ISO 27002 is meer het HOE. Het is een hulpmiddel dat informatie en aanbevelingen bevat vanuit ‘best practices’. Informatie die helpt om te voldoen aan de eisen die 27001 stelt. Zie ISO 27002 als een handleiding die u helpt bij het implementeren van een managementsysteem onder ISO 27001. Het is om die reden dan ook geen certificeerbare standaard.

De belangrijkste wijzigingen

Ten opzichte van de oude versie (van 2017) zijn de volgende veranderingen het belangrijkst:

• De norm heeft een nieuwe structuur gekregen. De Appendix met veertien onderdelen is teruggebracht tot vier thema’s, namelijk:
  • Organisatorische beheersmaatregelen
  • Menselijke beheersmaatregelen
  • Fysieke beheersmaatregelen
  • Technologische beheersmaatregelen
• Het totale aantal beheersmaatregelen is gereduceerd van 114 naar 93.
• Er is een aantal nieuwe beheersmaatregelen toegevoegd rond onderwerpen als privacy, cloud en externe bedreigingen:
  • Threat intelligence (5.7)
  • Information security for use of cloud services (5.23)
  • ICT readiness for business continuity (5.30)
  • Physical security monitoring (7.4)
  • Configuration management (8.9)
  • Information deletion (8.10)
  • Data masking (8.11)
  • Data leakage prevention (8.12)
  • Monitoring activities (8.16)
  • Web filtering (8.23)
  • Secure coding (8.28)

Wat betekent dit voor uw huidige of aanstaande certificering?

Deze veranderingen roepen wellicht vragen op met betrekking tot uw bestaande of toekomstige certificaat. Het volgende is goed om te weten:

• Bestaande certificeringen onder de oude ISO 27001:2017 blijven vooralsnog circa 2 jaar geldig.
• Wilt u dit jaar nog een ISO 27001-certificaat behalen voor uw organisatie? Dan kunt u dat nog het beste doen onder de huidige versie.
• In mei/juni dit jaar wordt er een correctie gepubliceerd waarin de nieuwe clausules (zie boven) gaan gelden als basis voor de Verklaring van Toepasselijkheid (VvT). Met deze correctie zal er meer informatie komen over hoe de nieuwe structuur zich naar de huidige versie van ISO 27001 vertaalt en wat u daarbij als organisatie moet doen.
• De volledig herziene versie van de vernieuwde ISO 27001 zal naar verwachting pas over 2 tot 3 jaar gepubliceerd worden. Tot die tijd zal de correctie van mei/juni leidend zijn.
• Momenteel is alleen de Engelse versie beschikbaar. De Nederlandse versie verwachten we in september 2022.
• Aanverwante standaarden zoals NEN 7510 en BIO ondergaan de komende tijd vergelijkbare aanpassingen.

Reeds gecertificeerd?

Bent u al gecertificeerd voor de ISO 27001-norm? Dat is het van belang dat u zo spoedig mogelijk stappen zet om ervoor te zorgen dat u compliant blijft aan de (nieuwe) regels. De volgende aanbevelingen kunnen u daarbij helpen:

• Houd er rekening mee dat u vanaf mei/juni a.s. uw Verklaring van Toepasselijkheid moet aanpassen aan de nieuwe structuur. De correctie die in mei/juni gepubliceerd wordt, zal hier meer informatie over geven.
• Voer een review uit van uw risicoanalyse en pas de nieuwe beheersmaatregelen daarbinnen toe. Hierbij kunt u kijken naar de risico’s die u daarbinnen heeft geïdentificeerd en bepalen of daarbij aansluiting is met de nieuwe beheersmaatregelen.
• Onderzoek voor de vernieuwde beheersmaatregelen of deze inhoudelijk aansluiten op de beheersmaatregelen die op dit moment geïmplementeerd zijn. Hiervoor kunt u bijvoorbeeld een gap-analyse (laten) uitvoeren om te bepalen waar eventueel nog hiaten in uw organisatie zitten.

Bezig met een ISO 27001-traject?

Als u op dit moment bezig bent met een implementatietraject, houd er dan rekening mee dat er met de publicatie van de correctie in mei/juni nieuwe beheersmaatregelen gaan gelden waar u aan moet voldoen. Dit heeft ook gevolgen voor de documentatie die u nu wellicht al heeft.

Bent u benieuwd naar de daadwerkelijke inhoud van de nieuwe norm? Dan kunt u deze aanschaffen via de site van ISO.

Goed maar bewerkelijk

De vele technologische veranderingen en op afstand werken, maar ook de toename van de criminaliteit laten zien dat aanpassingen van de norm noodzakelijk en begrijpelijk zijn. Dat neemt niet weg dat er voor u en uw organisatie weer werk aan de winkel is.

Met deze blog helpen we u graag op weg met de eerste stappen. Heeft u vragen of loopt u ergens tegenaan? Neem gerust contact met ons op. We helpen u graag.

Zodra de correctie op de huidige ISO 27001 in mei/juni gepubliceerd is, hoort u weer van ons!

Blog geschreven door Sven van der Velden, Business consultant

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01