ISO27001 : 2022 - 2023 versie

De International Organization for Standardization (ISO) heeft eind 2022 een update doorgevoerd aan de ISO27001 en ISO27002 normen.[1] Hierbij zijn een aantal extra eisen toegevoegd aan beide normen, en zijn oude normteksten gewijzigd. Dit gaat gevolgen hebben voor behalen en het in stand houden van ISO27001 certificeringen. Maar wat houden deze veranderingen nu precies in en hoe kunt u met uw organisatie zorgen dat u aan de nieuwe norm voldoet?

Wat is er veranderd?

Certificeringen
Vanaf (op zijn vroegst) Q1 2023 zullen alle nieuwe certificeringen moeten voldoen aan de nieuwe ISO27001 en ISO27002 normen. Voor her-certificeringen zal dit vanaf november 2023 van toepassing zijn. Hierbij geldt er een overgangsperiode van november 2023 tot een nader te bepalen moment in 2025 om voor te kunnen bereiden op de nieuwe toegevoegde eisen. Hierbij zal een transitieaudit verplicht zijn.[2]

Indien u al gecertificeerd bent, heeft u dus te maken met deze overgangsperiode. Onderstaand schema geeft aan wanneer u aan de eisen van de nieuwe normen moet voldoen. Hierbij geeft de paarse kleur aan wanneer u moet voldoen aan de nieuwe norm, waarbij rood nog de oude norm weergeeft.

ISO 27001 Er zijn enkele tekstuele wijzigingen doorgevoerd in de nieuwe ISO27001[3]. De grootste veranderingen op een rijtje zijn:

• Hoofdstuk 4: De eerste nieuwe toevoeging is dat de eisen/verwachtingen van stakeholders van het ISMS duidelijker/explicieter moeten terugkomen. Hierin moeten volgens de nieuwe norm duidelijk de eisen die geadresseerd worden door het managementsysteem voor informatiebeveiliging (ISMS). Ook moeten benodigde processen voor het ISMS, en de interacties tussen deze processen, worden ingericht, geïmplementeerd, onderhouden worden en continue verbeterd worden.
• Hoofdstuk 6: Strengere eisen aan het monitoren en het doorvoeren van veranderingen van het ISMS. Zo moet volgens de nieuwe norm de opgestelde informatiebeveiligingsdoelstellingen zowel worden gemonitord als beschikbaar zijn als gedocumenteerde informatie en moeten alle veranderingen aan het ISMS uitgevoerd worden volgens een geplande werkwijze.
• Hoofdstuk 7: Er moet volgens de nieuwe norm ook invulling worden gegeven aan hoe er gecommuniceerd dient te worden over informatiebeveiliging. Wat dit in de praktijk zal betekenen is dat u in uw communicatieplan, of een andere plek waar de communicatie gedocumenteerd is, niet alleen moet specificeren met wie, wanneer een waarover te communiceren, maar ook hoe deze communicatie moet verlopen.
• Hoofdstuk 8: Dit hoofdstuk voegt een explicietere vertaling van (uitbesteedde) processen toe. De begrippen ‘uitbesteding’ en ‘beheersing’ worden niet meer toegepast. Voortaan worden er eisen gesteld aan alle extern geleverde processen, producten en diensten die relevant zijn voor het ISMS. Voor deze processen moeten criteria vast worden gesteld, en moet procesbeheersing om te voldoen aan deze criteria worden toegepast. Ook moeten alle door externen geleverde processen, producten of diensten, die relevant zijn voor het ISMS, worden beheerst.
• Hoofdstuk 9: Extra aandacht voor het monitoren van prestaties en de doeltreffendheid van het ISMS. De nieuwe norm eis schrijft voor dat er tijdens het management review aandacht moet worden geschonken aan wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het ISMS.[4]