ISO 27001:2022 gepubliceerd

ISO 27001 is dé internationale norm voor informatiebeveiliging. Afgelopen oktober is de ISO 27001:2022 gepubliceerd. In december 2022 is ook de Nederlandstalige versie beschikbaar gesteld. Deze vernieuwde versie heeft een nieuwe naam en is aangepast op de herziene ISO 27002 en de nieuwe Harmonized Structure (HS). In dit artikel zetten we de belangrijkste wijzigingen op een rijtje en vertellen we je meer over de overgangstermijn. 

Nieuwe naam

De naam van de norm is veranderd. De ISO 27001:2017 had de naam ‘Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen’. Voor de ISO 27001:2022 is dit gewijzigd naar ‘Informatiebeveiliging, cybersecurity en bescherming van privacy – Managementsysteem voor informatiebeveiliging – Eisen’.

Aanpassing aan ISO 27002:2022

ISO 27002 is een verdieping op ISO 27001 en bestaat uit een lijst beheersmaatregelen waarmee je geïdentificeerde risico’s kunt beperken of verkleinen. Deze beheersmaatregelen komen overeen met Annex A uit de ISO 27001 norm. Door de herziening van ISO 27002 was het noodzaak om ook Annex A uit ISO 27001 hierop te laten aansluiten. In Annex A van ISO 27001:2022 zijn nu 93 beheersmaatregelen opgenomen (voorheen 114), inclusief de 11 nieuwe beheersmaatregelen. Daarnaast zijn de beheersmaatregelen verdeeld over nog maar 4 hoofdstukken in plaats van 14 hoofdstukken. De vier hoofdstukken zijn:

• A5 – Organisatorische beheersmaatregelen (37 maatregelen);
• A6 – Mensgerichte beheersmaatregelen (8 maatregelen);
• A7 – Fysieke beheersmaatregelen (14 maatregelen);
• A8 – Technologische beheersmaatregelen (34 maatregelen).

Meer weten over de wijzigingen en nieuwe beheersmaatregelen in ISO 27002? Download dan onderstaand whitepaper.

Ook eerdere technische correcties met betrekking tot ISO/IEC 27001:2013/COR 1:2014 en ISO/IEC 27001:2013/COR 2:2015 zijn in de herziene norm opgenomen.

Aanpassing aan nieuwe Harmonized Structure

Daarnaast is de ISO 27001:2022 aangepast op de nieuwe Harmonized Structure (HS). Deze HS is in 2021 gepubliceerd en is een update van de High Level Structure (HLS). HS is de basisstructuur van alle ISO managementsysteemnormen. In dit artikel lees je meer over de inhoudelijke veranderingen van HLS naar HS. De HS heeft de volgende impact op ISO 27001:  

• Wijzigingen in gedocumenteerde informatie. In de HLS werd verwezen naar verschillende werkwoorden, zoals ‘onderhouden’ voor documenten en ‘bijhouden’ voor registraties. Dit zorgde vaak voor verwarring. In de HS is gekozen voor een eenduidige terminologie. Er wordt gesproken over ‘beschikbaar zijn’ van gedocumenteerde informatie.  
• Behoeftes en verwachtingen stakeholders belangrijker. In paragraaf 4.2 van de HLS staat dat een organisatie de relevante eisen van relevante belanghebbende moet identificeren. Hoe een organisatie omgaat met behoeftes en verwachtingen van stakeholders blijft echter onduidelijk. In de HS worden de behoeftes en verwachtingen wel opgenomen. De organisatie moet vaststellen welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging, welke eisen deze belanghebbenden stellen én welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging. De eisen van belanghebbende kunnen wettelijke en regelgevende eisen, maar ook contractuele verplichtingen omvatten. 
  
• Eisen aan de processen van het ISMS. In de voorgaande versie van ISO 27001 is in paragraaf 4.4 afgeweken van de HLS. Er werden eisen gesteld voor het vaststellen, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsmanagementsysteem (ISMS). Echter ontbraken de eisen voor en de samenhang met de onderliggende processen. In de herziene versie is deze tekortkoming hersteld en wordt er weer aangesloten bij de HS. Dit bekent meer focus op processen in de ISO 27001:2022. 
• Plannen van wijzigingen. In hoofdstuk 6 van de HS is een nieuwe paragraaf opgenomen, namelijk 6.3. Deze paragraaf stelt dat wijzigingen aan het managementsysteem op een geplande manier moeten worden uitgevoerd. Management of change wordt hiermee expliciet onderdeel van de HS. In ISO 27001:2022 is paragraaf 6.3 ook opgenomen.
• Van uitbesteden naar extern geleverde processen, producten en diensten. De begrippen ‘uitbesteden’ en ‘beheersing’ van uitbestede processen worden niet meer toegepast in de HS. Voortaan worden er eisen gesteld aan de extern geleverde processen, producten en diensten die relevant zijn voor het managementsysteem. Ook de herziene ISO 27001 norm volgt deze benadering.  

Overgangsperiode

De afspraken rondom de transitie zijn dit voorjaar veranderd. Hieronder zetten wij deze op een rij. Het is vanaf 1 februari 2023 mogelijk om initieel volgens ISO 27001:2022 te certificeren. Wanneer een reeds gecertificeerde organisatie over wil gaan naar de nieuwe norm, dient er door een Certificerende Instelling (CI) een transitieaudit te worden uitgevoerd. De verplichte transitie is afhankelijk van wanneer een organisatie de initiële certificering heeft behaald. Na 30 april 2024 kunnen er geen audits meer plaatsvinden volgens de oude norm.

Certificerende Instelling Digitrust heeft in een tabel opgenomen hoe het zit. Voor alle blauwe vakken geldt dat de audit nog tegen de oude versie van de norm mag worden uitgevoerd. Bij de groene vakken moet het ISMS worden getoetst tegen de nieuwe ISO 27001:2022 norm.

Kortom, tot 30 april 2024 mogen er nog initiële- en hercertificatie audits worden uitgevoerd tegen de oude versie van de norm. Daarna moeten alle initiële- en hercertificatie audits worden uitgevoerd tegen de ISO 27001:2022. Voor reeds gecertificeerde organisaties geldt een overgangstermijn van 3 jaar. Dit houdt in dat alle certificatiehouders uiterlijk vóór 1 november 2025 de transitie moeten hebben gemaakt naar de nieuwe norm. Dit heeft het International Accreditation Forum (IAF) vastgesteld. Uiteraard zijn dit uiterste deadlines en kan een organisatie er altijd voor kiezen de transitie eerder te maken.

Hoe aan de slag met de transitie naar ISO 27002:2022?

Het advies is om tijdig aan de slag te gaan met de nieuwe norm. De organisatie moet een aantal acties uitvoeren om de transitieaudit succesvol te laten verlopen. Allereerst moet er een gap-analyse worden uitgevoerd, waarbij de oude en nieuwe versie met elkaar worden vergeleken. Er wordt in kaart gebracht wat de impact is en welke wijzigingen in het ISMS moeten worden doorgevoerd. Vervolgens moet er een actieplan worden opgesteld: hoe, door wie en wanneer worden de veranderingen doorgevoerd. Deze documenten kunnen worden opgevraagd door de certificatie auditor. Daarnaast moeten de risicoanalyse en het behandelplan, de beheersmaatregelen uit Annex A en de Verklaring van Toepasselijkheid worden aangepast. De uitvoering en doeltreffendheid van de nieuwe of gewijzigde maatregelen toetst de organisatie tijdens een interne audit. De resultaten van de interne audit worden besproken tijdens de management review. Daarna kan de certificerende instelling langskomen voor een transitieaudit. Zij beoordelen eerder genoemde onderdelen en toetsen of de organisatie de wijzigingen goed heeft doorgevoerd. Het laten uitvoeren van een transitieaudit is verplicht. Dit kan een losstaande audit zijn, maar ook gecombineerd worden met een tussentijdse audit of een her-certificering.

Hulp nodig?

Heeft jouw organisatie hulp nodig bij de transitie naar ISO 27001:2022? Onze consultants zijn op de hoogte van de wijzigingen en hebben ervaring met de transitie van een norm. Het QSN team begeleidt jouw organisatie graag naar het ISO 27001:2022 certificaat! Neem vrijblijvend contact met ons op en we vertellen je graag meer over onze aanpak. 

Contact

Bron: NEN, Digitrust