1. Blog
  2. Nieuwe versie ISO 27002: wijzigingen en gevolgen

Nieuwe versie ISO 27002: wijzigingen en gevolgen

  1. Blog
  2. Nieuwe versie ISO 27002: wijzigingen en gevolgen

Wat is ISO 27001_header

In februari is een nieuwe versie van de ISO 27002 gepubliceerd. De nieuwe versie is volledig opnieuw ingedeeld, geactualiseerd en aangevuld met nieuwe beheersmaatregelen terwijl bestaande beheersmaatregelen opnieuw zijn geformuleerd en/of gecombineerd. We nemen de belangrijke informatie over deze update door.

Verdieping ISO 27001

De ISO27002 norm is in feite een verdieping van de ISO 27001. Een van de verplichte onderdelen van ISO 27001 is de risicoanalyse, waarbij Bijlage A beschrijft hoe deze risico’s gemitigeerd worden. Voor veel organisaties is de Bijlage A niet concreet genoeg, en daar komt ISO 27002 om de hoek kijken. Deze, niet-verplichte, norm is een handige en praktische guideline die organisaties helpt om risico’s te mitigeren.

beleid van de organisatie

De in februari gepubliceerde versie is een Engelstalige, waarvan de Nederlandse vertaling op 21 Juni door het NEN gepubliceerd is. De wijzigingen zullen namelijk de aankomende jaren een bepalende impact hebben op alle bestaande managementsystemen voor informatiebeveiliging (ISMS) die op de vorige ISO 27002 versie uit 2003 gebaseerd zijn.

Andere indeling ISO 27002

De nieuwe versie van de ISO 27002 heeft een andere indeling gekregen. Daar waar de oude 2013-versie bestond uit 14 categorieën, zijn in de nieuwe 2022-versie nog maar 4 categorieën over. Bovendien zijn deze logischer ingedeeld, op basis van de meest logische afdeling of verantwoordelijkheidsgebied van een organisatie waar deze controls thuis zouden moeten horen.

4 categorieen ISO 27002

De Annex A van de ISO 27001 is gebaseerd op de beheersmaatregelen uit de ISO 27002 en veel organisaties hebben de nummering en structuur van de Annex A gebruikt voor de indeling van hun ISMS. De nieuwe indeling zal dus een significante invloed hebben op veel documentatie, want iedere Verklaring van Toepasselijkheid zal moeten worden aangepast.

De nieuwe indeling van deze geüpdatete versie heeft verder invloed op alle normen die gebaseerd zijn op de ISO 27002 en daarbij de Annex A, zoals bijvoorbeeld ISO 27017 (cloud services), ISO 27701 (privacy) en ISO 27799 (health informatics) en daarmee ook de NEN 7510-1 en 7510-2.

Gevolgen voor uw managementsysteem voor informatiebeveiliging

Organisaties die nu beginnen met een managementsysteem voor informatiebeveiliging zullen gaan merken dat de nieuwe versie van ISO 27002 logischer geschreven is bij het opzetten van hun ISMS. Verder is er voor bestaande managementsystemen de ruimte om binnen de bestaande structuur bijvoorbeeld alvast een deel van de nieuwe beheersmaatregelen te overwegen. In de ISO 27001, clause 6.1.3 b) staat namelijk dat organisaties beheersmaatregelen naar behoefte kunnen ontwerpen of ze uit een bepaalde bron te halen.
Om deze aanpassingen wat gemakkelijker te maken zijn er in de nieuwe ISO 27002 verwijzingstabellen opgenomen tussen de beide versies. Hierdoor is te zien wat er met de bestaande beheersmaatregelen is gebeurd.

Observatie

De specialisten van TÜV NORD buigen zich momenteel over de nieuwe versie van ISO 27002 om vast te stellen wat precies de wijzigingen en bijbehorende impact zal zijn. Een van de zaken die daarbij is opgevallen is dat meer beheersmaatregelen in lijn moeten zijn met het classificatiemodel van de organisatie. Dat betekent dat er nog meer nadruk komt op het inrichten van een classificatiemodel (indien nog niet het geval), en dat er voor meer beheersmaatregelen gekeken moet worden of deze in lijn zijn met het classificatiemodel, en indien dat niet het geval is dat deze in lijn gebracht zullen moeten worden.

Wanneer start de nieuwe versie van ISO 27002?

Een exacte tijdlijn voor al deze wijzigingen in de overige ISO- en NEN normen is nog niet bekend. Naar verwachting zal er in de zomer van 2022 een aangepaste versie van ISO 27001 worden gepubliceerd, waarbij er ook Nederlandse versies bij de NEN beschikbaar zullen komen. Daarna zal er waarschijnlijk nog voldoende gelegenheid zijn om uiteindelijk een bestaand ISMS aan te passen naar de nieuwe indeling.

Aan de slag

TÜV NORD zal de ontwikkelingen rondom de nieuwe norm in de gaten blijven houden, en bestuderen welke wijzigingen er precies zijn en wat de (verwachte) impact daarvan is. Dit is namelijk een ingrijpende start van een te verwachten lange reeks wijzigingen op het gebied van informatiebeveiliging.

Heeft u nog vragen over de nieuwe norm, of over informatiebeveiliging in het algemeen?

Stel uw vraag

Onderwerpen:

Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging cybersecurity iso 27002

Abonneren

Schrijf u in voor maandelijkse blog updates

Social media

Volg ons op social media en blijf op de hoogte.

Onderwerpen

Alle onderwerpen Certificeren Kennis van KAM informatiebeveiliging bouw ISO 27001 veilig werken inspectie Bouwkwaliteit Normkennis Wkb Wetgeving cybersecurity privacywetgeving KAM-vaardigheden KAM-advies VCA AVG ISO 27701 ISO 9001 Veiligheidsladder ISO 14001 HKZ interne audit nen 7510 zorg Duurzaamheid IEC 62443 co2 CSRD Covid-19 MVO SNA Warenwetbesluit attractie- en speeltoestellen reporting was Cyberweerbaarheid SNF arbeidsmiddelen keuren speeltoestel Asbest ISAE 3000 ISAE 3402 Liften TISAX 6 feet office DPO F-gassenkeuring FG ISO 21434 Instrument NEN 4400-1 OT security Onderhoud PayChecked in Transport SMI TUVNORDNederland Veiligheid WTTA Warmtepomp Wkbpartner diversiteit herkeuring inclusie iso 27002 iso27001 kwaliteitsborger laadpaal sporttoestel verplicht
mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

0499 - 339 528 Contactformulier

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland