Pragmatisch
Kwaliteit
Flexibel
Relevant

ISO27001 : 2022 - 2023 versie

dinsdag 07 februari 2023

De International Organization for Standardization (ISO) heeft eind 2022 een update doorgevoerd aan de ISO27001 en ISO27002 normen.[1] Hierbij zijn een aantal extra eisen toegevoegd aan beide normen, en zijn oude normteksten gewijzigd. Dit gaat gevolgen hebben voor behalen en het in stand houden van ISO27001 certificeringen. Maar wat houden deze veranderingen nu precies in en hoe kunt u met uw organisatie zorgen dat u aan de nieuwe norm voldoet?

Wat is er veranderd?

Certificeringen
Vanaf (op zijn vroegst) Q1 2023 zullen alle nieuwe certificeringen moeten voldoen aan de nieuwe ISO27001 en ISO27002 normen. Voor her-certificeringen zal dit vanaf november 2023 van toepassing zijn. Hierbij geldt er een overgangsperiode van november 2023 tot een nader te bepalen moment in 2025 om voor te kunnen bereiden op de nieuwe toegevoegde eisen. Hierbij zal een transitieaudit verplicht zijn.[2]

Indien u al gecertificeerd bent, heeft u dus te maken met deze overgangsperiode. Onderstaand schema geeft aan wanneer u aan de eisen van de nieuwe normen moet voldoen. Hierbij geeft de paarse kleur aan wanneer u moet voldoen aan de nieuwe norm, waarbij rood nog de oude norm weergeeft.

ISO 27001 Er zijn enkele tekstuele wijzigingen doorgevoerd in de nieuwe ISO27001[3]. De grootste veranderingen op een rijtje zijn:

  • Hoofdstuk 4: De eerste nieuwe toevoeging is dat de eisen/verwachtingen van stakeholders van het ISMS duidelijker/explicieter moeten terugkomen. Hierin moeten volgens de nieuwe norm duidelijk de eisen die geadresseerd worden door het managementsysteem voor informatiebeveiliging (ISMS). Ook moeten benodigde processen voor het ISMS, en de interacties tussen deze processen, worden ingericht, geïmplementeerd, onderhouden worden en continue verbeterd worden.
  • Hoofdstuk 6: Strengere eisen aan het monitoren en het doorvoeren van veranderingen van het ISMS. Zo moet volgens de nieuwe norm de opgestelde informatiebeveiligingsdoelstellingen zowel worden gemonitord als beschikbaar zijn als gedocumenteerde informatie en moeten alle veranderingen aan het ISMS uitgevoerd worden volgens een geplande werkwijze.
  • Hoofdstuk 7: Er moet volgens de nieuwe norm ook invulling worden gegeven aan hoe er gecommuniceerd dient te worden over informatiebeveiliging. Wat dit in de praktijk zal betekenen is dat u in uw communicatieplan, of een andere plek waar de communicatie gedocumenteerd is, niet alleen moet specificeren met wie, wanneer een waarover te communiceren, maar ook hoe deze communicatie moet verlopen.
  • Hoofdstuk 8: Dit hoofdstuk voegt een explicietere vertaling van (uitbesteedde) processen toe. De begrippen ‘uitbesteding’ en ‘beheersing’ worden niet meer toegepast. Voortaan worden er eisen gesteld aan alle extern geleverde processen, producten en diensten die relevant zijn voor het ISMS. Voor deze processen moeten criteria vast worden gesteld, en moet procesbeheersing om te voldoen aan deze criteria worden toegepast. Ook moeten alle door externen geleverde processen, producten of diensten, die relevant zijn voor het ISMS, worden beheerst.
  • Hoofdstuk 9: Extra aandacht voor het monitoren van prestaties en de doeltreffendheid van het ISMS. De nieuwe norm eis schrijft voor dat er tijdens het management review aandacht moet worden geschonken aan wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het ISMS.[4]

Deze tekstuele veranderingen in de nieuwe norm kunnen leiden tot grote veranderingen in het ISMS. Specifiek processen zoals de stakeholder analyse aanpassen lijken misschien relatief kleine wijzigingen, maar dit zorgvuldig in de praktijk doorvoeren kan veel tijd en moeite vergen.

ISO 27002 De complete opzet van de ISO27002 is veranderd. Hierbij is de oude structuur omgezet in vier ‘thema hoofdstukken’. Deze thema hoofdstukken deze de beheersmaatregelen in 4 categorieën: organisatorische beheersmaatregelen, mensgerichte beheersmaatregelen, fysieke beheersmaatregelen en technische beheersmaatregelen. Ook zijn er verschillende nieuwe controls toegevoegd en een aantal bestaande controls zijn verwijderd. In totaal zijn 11 nieuwe beheersmaatregelen toegevoegd:
• 5.7 Informatie en analyses over dreigingen
• 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 7.4 Monitoren van de fysieke beveiliging
• 8.9 Configuratiebeheer
• 8.10 Wissen van informatie 
• 8.11 Maskeren van gegevens 
• 8.12 Voorkomen van gegevenslekken
• 8.16 Monitoren van activiteiten
• 8.23 Toepassen van webfilters
• 8.28 Veilig coderen

Tot slot zijn vijf attributen toegevoegd. Deze attributen (in de norm weergegeven in een schema boven de beheersmaatregel) geven verschillende kaders waarop een organisatie kan sorteren. Een organisatie is niet vereist te specificeren binnen welke attributen elke beheersmaatregel valt, maar het gebruik van deze attributen kan wel bijdragen aan een beter bewustzijn binnen informatiebeveiliging. Ook bieden deze attributen een duidelijk overzicht van welke soort maatregelen er genomen worden. De nieuwe attributen die de ISO27002 aanbiedt zijn:

  1. 1. Type beheersmaatregel. Hier wordt aangegeven welke rol de beheersmaatregelen spelen. De attribuutwaarden zijn #Preventief, #Detectief en      #Corrigerend
  2. 2. Informatiebeveiligingseigenschappen. Dit attribuut geeft aan aan welk kenmerk van informatie de beheersmaatregel bijdraagt.
        De  attribuutwaarden zijn #Vertrouwelijkheid, #Integriteit en #Beschikbaarheid
  3. 3. Cybersecurityconcepten. Dit attribuut legt een link naar de cybersecurityaspecten gedefinieerd in de ISO/IEC TS 27110. De attribuutwaarden
        zijn #Identificeren, #Beschermen, #Detecteren, #Reageren en #Herstellen.
  4. 4. Operationele capaciteiten. Dit attribuut bekijkt beheersmaatregelen vanuit het perspectief van beroepsbeoefenaren Hierbij wordt er
        onderscheid gemaakt tussen de werkvelden waarbinnen de beheersmaatregelen vallen, zoals: #Fysieke_beveiliging, #Continuïteit,       
        #Juridisch_en_compliance, en #Borging_van_informatiebeveiliging.
  5. 5. Beveiligingsdomeinen. Dit attribuut verdeelt beheersmaatregelen in op vier informatiebeveiligingsdomeinen. De attribuutwaarden bestaan uit
        #Governance_en_Ecosysteem, #Bescherming, #Verdediging en #Veerkracht.[1]

Wat betekenen deze veranderingen voor u?

Afhankelijk van wanneer u voor het laatst gecertificeerd bent (zie bovenstaand schema), zult u voor hercertificatie de veranderingen van de nieuwe normen moeten doorvoeren. Hierbij moet u verschillende wijzigingen maken aan uw informatiebeveiligingsbeleid om zo de nieuwe eisen van de ISO27001 door te voeren. Ook moet u verklaring van toepasselijkheid aanpassen om te voldoen aan de nieuwe opbouw van de ISO27002. Daarnaast zullen er wijzigingen door moeten worden gevoerd aan verschillende interne processen zoals een stakeholderanalyse en indien uw risicoprocessen zijn afgestemd op de oude ISO27001 Annex A controls zullen hier ook veranderingen in gemaakt moeten worden. Verder is een transitieaudit verplicht; hierbij wordt getoetst of u aan de eisen van de nieuwe norm voldoet en wordt de nieuwe certificering afgegeven.

Indien u nog niet gecertificeerd bent of uw informatiebeveiliging is gebaseerd op de eisen van de ISO27001, is het ook verstandig om deze wijzigingen door te voeren. Zo blijft uw ISMS up-to-date en worden de nieuwste ontwikkelingen op het gebied van bijvoorbeeld clouddiensten goed beheerst binnen uw organisatie.

Verlangt u ondersteuning bij de implementatie van deze nieuwe norm, of bij het uitvoeren van interne audits om te bepalen of er wordt voldaan aan de eisen van deze nieuwe ISO27001 norm? Neem dan gerust contact op met onze specialisten.

Cas van de Ven
Adviseur L2P


[1] https://www.nen.nl/nieuws/wijzigingen-iso-iec-27001-2022-ten-opzichte-van-2013/
[2] https://www.nen.nl/nieuws/geactualiseerde-cybersecuritynorm-iso-27001-nu-beschikbaar/
[3] Webinar NEN ‘Nieuwe norm ISO27001
[4] ISO/IEC 27001 (nl) derde editie 2022 
[5] ISO/IEC 27002 (nl)derde editie 2022