De 2022-versie van de norm voor het managementsystemen voor informatiebeveiliging (ISMS) stelt organisaties in staat een beter inzicht te krijgen in het huidige risicobeeld en de noodzakelijke beveiligingscontrole te implementeren.
Informatiebeveiliging is een onderwerp dat steeds hoger op de agenda van organisaties staat. Door de toenemende invoering van cloud- en automatiseringstechnologieën, kunstmatige intelligentie, cyberbeveiliging, privacy, malware en ransomware worden organisaties gedwongen na te denken over nieuwe omstandigheden. Dit betekent dat ze hun huidige risicobeeld opnieuw moeten beoordelen en nieuwe bedreigingen actief en gestructureerd moeten beheren.
Belangrijkste wijzigingen in ISO 27001
De nieuwe versie van ISO/IEC 27001:2022 gaat in op de nieuwe scenario's die organisaties moeten aanpakken. De wijzigingen bevinden zich voornamelijk in bijlage A, vooruitlopend op de publicatie van ISO/IEC 27002, waar beveiligingscontroles zijn toegevoegd, geschrapt of samengevoegd. De wijzigingen breiden zich uit tot cyberbeveiliging en privacyaspecten en de controletaal is opgefrist en er zijn aanvullende richtsnoeren toegevoegd. Dit helpt organisaties risico's te beheren, ervoor te zorgen dat niets over het hoofd wordt gezien en een goede follow-up te garanderen.
De laatste versie stamt uit 2013. De veranderingen in beveiligingsmaatregelen zijn opmerkelijk: 11 nieuwe, 58 herziene en 24 samengevoegde maatregelen. De voornaamste aanpassingen richten zich op:
- Invoering van digitale technologieën zoals cloud en automatisering
- Recente, toegenomen toepassing van dergelijke technologieën
- Erkenning van risico's op het gebied van cyberbeveiliging en privacy
- Het veranderende dreigingslandschap weerspiegelen, bijv. nieuwe soorten malware en ransomware.
- Afstemming op andere best practices, zoals NIST, COBIT, enz.
- Vernieuwing van de controletaal en toevoeging van aanvullende richtlijnen.
Deze aanpassingen hebben invloed op belangrijke bedrijfsgebieden zoals:
- leiderschap
- bedrijfsbeveiliging
- IT-functie
- andere ondersteunende functies
- levering (voor dienstverleners).
Om aan de eisen te voldoen, moeten organisaties hun risicobeoordelingen opnieuw evalueren en hun beveiligingscontroles opnieuw instellen.
Naast de wijzigingen in de controles is de 2022-editie ook opnieuw afgestemd op de laatste updates van ISO's High Level Structure (HLS). Deze wijzigingen zijn gebaseerd op de laatste versie van bijlage SL van de ISO/IEC-richtlijnen deel 1 (2022). Deze wijzigingen worden echter als gering beschouwd, aangezien de editie 2013 een van de eerste normen was waarin de HLS werd overgenomen.
Transitieperiode
De nieuwe versie van ISO/IEC 27001 is uitgegeven op 25 oktober 2022. De overgangsperiode is vastgesteld op 36 maanden, wat betekent dat alle bestaande certificaten vóór 30 oktober 2025 naar de nieuwe versie moeten worden overgezet. De laatste mogelijkheid tot (her)certificering tegen de oude 2013-versie van de norm was precies halverwege die periode, namelijk 30 april 2024. Het ‘oude’ ISO/IEC 27001:2013 certificaat vervalt automatisch per 1 november 2025.
Dit betekent dat voor iedere audit tot 30 oktober 2025 waarbij aansluitend een nieuw certificaat wordt uitgegeven (dus bij hercertificatie, maar bijvoorbeeld ook bij aanpassingen van de scope) deze audit altijd tegen de ISO/IEC 27001:2022 moet worden uitgevoerd. Alle volledig nieuwe certificeringen worden dit automatisch al. Een overgangsaudit kan in die periode worden gecombineerd met iedere geplande audit, maar mag ook worden uitgevoerd als speciale separate overgangsaudit.
Hoe kunt u zich voorbereiden op de implementatie van de nieuwe versie?
Wij raden u aan om zo vroeg mogelijk te beginnen met de voorbereiding op ISO/IEC 27001:2022. Daarnaast is het goed om het proces te plannen zodat u de benodigde veranderingen in uw managementsysteem kunt opnemen.
Aanbevolen stappen voor de overgang:
- Maak kennis met de inhoud en eisen van de nieuwe versie. Als u de ISO 27001 versie van 2013 heeft, moet u zich richten op de wijzigingen die de herziening met zich meebrengt;
- Zorg ervoor dat het personeel in uw organisatie getraind is en de belangrijkste veranderingen en eisen begrijpt;
- Identificeer zwakke plekken die aandacht nodig hebben om aan de nieuwe eisen te voldoen en stel een uitvoeringsplan op;
- Voer acties uit en update uw managementsysteem om aan de nieuwe eisen te voldoen.
Hoe kunnen we u ondersteunen?
Of u nu al gecertificeerd bent volgens ISO/IEC 27001 of de norm nog niet kent, DNV kan u ondersteunen bij de certificering en overgang van uw beheersysteem voor informatiebeveiliging. Als wereldwijd toonaangevende certificeringsinstantie werken wij met kleine en grote organisaties over de hele wereld voor hun behoeften op het gebied van informatiebeveiliging en privacy.
DNV kan u ondersteunen op het gebied van bedrijfscontinuïteit en de transitie door:
- Volg de training Normkennis ISO 27001:2022;
- Gap-analyse waarbij we uw managementsysteem toetsen aan de eisen van de nieuwe standaard en de tekortkomingen identificeren die moeten worden aangepakt. Dit levert nuttige input op voor uw proces om aan de norm te voldoen. De mate van detail van een dergelijke beoordeling kan worden afgestemd op de behoeften van uw organisatie.
Begin met de voorbereiding van uw transitie en neem contact met ons op. DNV helpt u graag bij deze transitie.
Overweegt u voor het eerst een certificering volgens ISO/IEC 27001? Bezoek onze pagina over het managementsysteem voor informatiebeveiliging voor meer informatie over de kenmerken, voordelen en de weg naar certificering.