Impact van ISO 27001:2022

Welke veranderingen brengt de ISO 27001

De internationale norm voor informatiebeveiliging ISO 27001 is geüpdatet. De norm biedt een kader met eisen voor een sterk informatiebeveiligingsmanagementsysteem (ISMS). Het geeft een leidraad bij het vaststellen van procedures en maatregelen voor uw organisatie op een dusdanige manier dat de vertrouwelijkheid, beschikbaarheid en integriteit van informatie gewaarborgd is. Een actueel ISMS is onmisbaar. De toepassing van de norm neemt door exponentiële groei van (cyber)criminaliteit en (digitale) risico’s ook toe in populariteit. Deze update heeft ook impact op uw organisatie. Wat is er veranderd in de norm? En wat betekent dat voor uw bedrijf?

Wat is er veranderd ten opzichte van de vorige norm?

Het grootste verschil met de norm uit 2013/2017 is de bijlage A. In deze bijlage staan de te nemen beheersmaatregelen. De eerste grote verandering is de hoofdstukindeling. Voorheen bestond Bijlage A (de Appendix) uit 14 hoofdstukken – nu zijn dit 4 hoofdthema’s geworden.  Dit betekent voor veel bedrijven dat de Verklaring van Toepasselijkheid opnieuw opgesteld moet worden.

Als tweede zijn er 11 nieuwe beheersmaatregelen toegevoegd. De beheersmaatregelen gaan over meer en uiteenlopende onderwerpen. Zo zijn er bijvoorbeeld beheersmaatregelen over het gebruik van cloud-services, de verantwoordelijkheid voor het filteren van het internetverkeer en het monitoren van de fysieke beveiliging. Als laatste zijn verschillende beheersmaatregelen samengevoegd, verscherpt en/of verwijderd.

De nieuwe bepalingen en wijzigingen qua indeling en structuur:

• Hoofdstuk 1: Organisatorisch (37 maatregelen) (3 nieuwe)
• Hoofdstuk 2: Mensen (8 maatregelen) (0 nieuwe)
• Hoofdstuk 3: Fysiek (14 maatregelen) (1 nieuwe)
• Hoofdstuk 4: Technologie (34 maatregelen) (7 nieuwe)

ISO 27001 gecertificeerd? Wat betekent dit voor mijn organisatie?

Bent u momenteel ISO 27001 gecertificeerd? Dan heeft u 3 jaar de tijd om uw (ISMS) managementsysteem voor informatiebeveiliging te updaten. De nieuwe norm biedt sowieso een goede gelegenheid om een frisse blik te werpen op uw huidige informatiebeveiligingsrisico’s en genomen beheersmaatregelen. Gaat u binnenkort een risicoanalyse uitvoeren? Dan is het handig om alvast te kijken naar de 11 toegevoegde beheersmaatregelen en deze mee te nemen. We kunnen u begeleiden in de vorm van een overstap service, neem contact op.

Gestart maar nog niet ISO 27001 gecertificeerd?

Voor organisaties die gaan starten of bezig zijn met de implementatie is het nuttig om een volledige gap-analyse uit te voeren. Dit doet u op basis van de nieuwe bijlage A-controles voordat u overgaat tot een certificeringsaudit. Vanaf medio mei 2023 kunt u zich laten certificeren aan de vernieuwde norm. Meer informatie over ISO 27001 certificering vindt u hier.

Wat kunt u als organisatie zelf doen?

Werp een kritische blik op uw huidige (bedrijfs)risico’s, kijk naar de nieuwe beheersmaatregelen en bepaal hoe deze beheersmaatregelen geïmplementeerd gaan worden. Pas ook de verklaring van toepasselijkheid (VVT) aan en uw organisatie is klaar om gecertificeerd te worden op de nieuwe norm.

Heeft u hier hulp bij nodig? BMGRIP helpt, begeleidt en adviseert u in de vorm van een transitiebegeleiding. Neem contact op – wij helpen u graag verder.

Blog geschreven door Pieter Kuijpers, Business Consultant.

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01