Vernieuwde ISO 27001:2020 gepubliceerd
Uit contact met DNV blijkt dat de vernieuwde ISO 27001:2020 norm is gepubliceerd. ISO 27001 is de internationale standaard waarmee een organisatie bewijst dat alle risico’s rond vertrouwelijkheid en beschikbaarheid van gevoelige informatie op adequate- en integere wijze zijn afgedekt. Uit onderzoek blijkt dat de wijzigingen alleen “interpretatiewijzigingen” voor de certificatie instellingen betreffen. Organisaties zullen gecertificeerd blijven volgens de ISO 27001:2013 of ISO 27001:2017 versie. De voornaamste veranderingen gaan over het consequent doorvoeren van de meest recente vertaling van de High Level Structure (HLS). Hierdoor zijn er enkele tekstuele aanpassingen gedaan, waarmee de nieuwe vertaling van NEN-EN-ISO/IEC 27001:2017 volledig in overeenstemming zijn met de HLS-vertaling. Ook werden enkele niet-inhoudelijke redactionele correcties doorgevoerd.
In 2017 zijn de belangrijkste internationale normen voor informatiebeveiliging, ISO 27001 en ISO 27002 overgenomen als Europese normen. Dit betekent dat beide normen in alle Europese landen als nationale norm worden gepubliceerd en conflicterende nationale normen worden ingetrokken. Inhoudelijk zijn de normen niet gewijzigd. De ISO 27001 werd gepubliceerd in 2013 en wordt wereldwijd gebruikt als basis voor informatiebeveiliging. In 2015 werd de bijbehorende ISO 27002 gepubliceerd, welke praktische handvatten voor de implementatie van ISO 27001 geeft. Omdat beide normen in Nederland al waren overgenomen als nationale NEN-norm, wijzigt er voor de Nederlandse markt niets. Beide normen zijn in 2017 ook als Europese norm gepubliceerd, waardoor ze beiden vanaf dat moment verkrijgbaar zijn als NEN-EN-ISO/IEC 27001:2017 en NEN-EN-ISO/IEC 27002:2017. De NEN geeft daarbij aan dat er inhoudelijk niets aan de normen is gewijzigd, maar kijk je op het voorblad dan zie je dat de ISO 27001:2017 versie bestaat uit de ISO 27001:2013 en de correcties Cor.1:2014 en Cor. 2:2015. Organisaties die tegen de ISO 27001:2013 zijn gecertificeerd, blijven dit en hoeven geen actie te ondernemen. Certificaten worden niet (automatisch) omgezet. Ook organisaties die zich willen certificeren tegen ISO 27001, zullen nog steeds een ISO 27001:2013 certificaat ontvangen, conform de wereldwijd geldende standaard. Deze is door ISO nog in 2019 herzien, bekrachtigd en gepubliceerd. Organisaties kunnen worden gecertificeerd tegen de ISO 27001:2017 norm. Op het certificaat staat dan de nationale norm aanduiding (bijv. NEN EN ISO/IEC 27001:2017 (Nederland) of DIN EN ISO/IEC 2701:2017 (Duitsland) met als ondertitel “Technical equivalent to ISO/IEC:27001: including Cor 1:2014 and Cor 2:2015. Organisaties die zijn gecertificeerd tegen deze Europese 2017 variant, blijven dit. Of een ISO 27001:2013 of ISO 27001:2017 certificaat wordt afgegeven is afhankelijk van de accreditatie van de CI.
Wil je meer weten over de meerwaarde van ISO 27001? Neem contact op, we helpen graag.
Bronnen: DNV & NEN
