MENU

Wat is ISO 27001_header

In februari is een nieuwe versie van de ISO 27002 gepubliceerd. De nieuwe versie is volledig opnieuw ingedeeld, geactualiseerd en aangevuld met nieuwe beheersmaatregelen terwijl bestaande beheersmaatregelen opnieuw zijn geformuleerd en/of gecombineerd. We nemen de belangrijke informatie over deze update door.

Verdieping ISO 27001

De ISO27002 norm is in feite een verdieping van de ISO 27001. Een van de verplichte onderdelen van ISO 27001 is de risicoanalyse, waarbij Bijlage A beschrijft hoe deze risico’s gemitigeerd worden. Voor veel organisaties is de Bijlage A niet concreet genoeg, en daar komt ISO 27002 om de hoek kijken. Deze, niet-verplichte, norm is een handige en praktische guideline die organisaties helpt om risico’s te mitigeren.

beleid van de organisatie

De in februari gepubliceerde versie is een Engelstalige, waarvan de Nederlandse vertaling op 21 Juni door het NEN gepubliceerd is. De wijzigingen zullen namelijk de aankomende jaren een bepalende impact hebben op alle bestaande managementsystemen voor informatiebeveiliging (ISMS) die op de vorige ISO 27002 versie uit 2003 gebaseerd zijn.

Andere indeling ISO 27002

De nieuwe versie van de ISO 27002 heeft een andere indeling gekregen. Daar waar de oude 2013-versie bestond uit 14 categorieën, zijn in de nieuwe 2022-versie nog maar 4 categorieën over. Bovendien zijn deze logischer ingedeeld, op basis van de meest logische afdeling of verantwoordelijkheidsgebied van een organisatie waar deze controls thuis zouden moeten horen.

4 categorieen ISO 27002

De Annex A van de ISO 27001 is gebaseerd op de beheersmaatregelen uit de ISO 27002 en veel organisaties hebben de nummering en structuur van de Annex A gebruikt voor de indeling van hun ISMS. De nieuwe indeling zal dus een significante invloed hebben op veel documentatie, want iedere Verklaring van Toepasselijkheid zal moeten worden aangepast.

De nieuwe indeling van deze geüpdatete versie heeft verder invloed op alle normen die gebaseerd zijn op de ISO 27002 en daarbij de Annex A, zoals bijvoorbeeld ISO 27017 (cloud services), ISO 27701 (privacy) en ISO 27799 (health informatics) en daarmee ook de NEN 7510-1 en 7510-2.

Gevolgen voor uw managementsysteem voor informatiebeveiliging

Organisaties die nu beginnen met een managementsysteem voor informatiebeveiliging zullen gaan merken dat de nieuwe versie van ISO 27002 logischer geschreven is bij het opzetten van hun ISMS. Verder is er voor bestaande managementsystemen de ruimte om binnen de bestaande structuur bijvoorbeeld alvast een deel van de nieuwe beheersmaatregelen te overwegen. In de ISO 27001, clause 6.1.3 b) staat namelijk dat organisaties beheersmaatregelen naar behoefte kunnen ontwerpen of ze uit een bepaalde bron te halen.
Om deze aanpassingen wat gemakkelijker te maken zijn er in de nieuwe ISO 27002 verwijzingstabellen opgenomen tussen de beide versies. Hierdoor is te zien wat er met de bestaande beheersmaatregelen is gebeurd.

Observatie

De specialisten van TÜV Nederland buigen zich momenteel over de nieuwe versie van ISO 27002 om vast te stellen wat precies de wijzigingen en bijbehorende impact zal zijn. Een van de zaken die daarbij is opgevallen is dat meer beheersmaatregelen in lijn moeten zijn met het classificatiemodel van de organisatie. Dat betekent dat er nog meer nadruk komt op het inrichten van een classificatiemodel (indien nog niet het geval), en dat er voor meer beheersmaatregelen gekeken moet worden of deze in lijn zijn met het classificatiemodel, en indien dat niet het geval is dat deze in lijn gebracht zullen moeten worden.

Wanneer start de nieuwe versie van ISO 27002?

Een exacte tijdlijn voor al deze wijzigingen in de overige ISO- en NEN normen is nog niet bekend. Naar verwachting zal er in de zomer van 2022 een aangepaste versie van ISO 27001 worden gepubliceerd, waarbij er ook Nederlandse versies bij de NEN beschikbaar zullen komen. Daarna zal er waarschijnlijk nog voldoende gelegenheid zijn om uiteindelijk een bestaand ISMS aan te passen naar de nieuwe indeling.

Aan de slag

TÜV Nederland zal de ontwikkelingen rondom de nieuwe norm in de gaten blijven houden, en bestuderen welke wijzigingen er precies zijn en wat de (verwachte) impact daarvan is. Dit is namelijk een ingrijpende start van een te verwachten lange reeks wijzigingen op het gebied van informatiebeveiliging.

Heeft u nog vragen over de nieuwe norm, of over informatiebeveiliging in het algemeen?

Stel uw vraag

Onderwerpen:

Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging cybersecurity iso 27002

Auteur

Deel deze pagina

Algemene vragen en opmerkingen

Tüv kantoor

TÜV Nederland

0499 - 339 500

Voor al uw algemene vragen en opmerkingen