De voordelen van ISO 27001 zijn bewezen. Het zorgt ervoor dat organisaties een effectief Information Security Management System (ISMS) hebben, en dat informatiebeveiliging is ingebed in de hele onderneming. Daarnaast helpt het bij het waarborgen van wettelijke regelgeving en contractuele naleving, en kan gemakkelijk worden aangepast en geschaald als de organisatie verandert en groeit.
De nieuwste versie van ISO 27001, die in oktober 2022 is gepubliceerd, zorgt ervoor dat de voordelen en best practices op het gebied van informatiebeveiliging behouden blijven. Dit geeft organisaties van alle groottes, sectoren en locaties een bijgewerkt kader om het steeds complexere cyberbedreigingen te beheersen.
ISO 27001:2022 – een overzicht
Wat is er veranderd in de norm voor informatiebeveiliging?
ISO 27001 is geüpdatet om de veranderende bedreigingen en kwetsbaarheden van vandaag te weerspiegelen. De meeste wijzigingen in ISO 27001:2022 zijn gericht op modernisering, heroriëntatie en versteviging van de controles (Annex A).
De controlebeschrijvingen zijn uitgebreider, de documentatie is duidelijker en de controles zelf relevanter. Met bijzondere aandacht voor beheer van nieuwe en opkomende risico's, bedrijfscontinuïteit en organisatorische waakzaamheid. Het totale aantal controles in ISO 27001:2022 daalt van 114 naar 93, waarvan 11 nieuwe toevoegingen aan de norm.
De controles zijn nu verdeelt over vier kernthema's. Een ontwikkeling dat de norm eenvoudiger maakt is de navigatie binnen de norm en het is gemakkelijker om mee te werken, vooral bij het toewijzen van verantwoordelijkheden voor controles binnen organisaties.
Wat zijn de gevolgen voor uw ISO 27001:2023 certificering?
- De overgang moet plaatsvinden binnen de komende drie jaar, gerekend vanaf 25 oktober 2022.
- Certificeringsinstanties moeten binnen 12 maanden na de datum van publicatie geaccrediteerd zijn.
- LRQA verwacht de accreditatie echter begin 2023 te bereiken.
- ISO 27001:2013-certificaten die tijdens de overgangsperiode worden afgegeven, vervallen op 31 oktober 2025. Wij verwachten dat 18 maanden na de publicatie van de norm alle nieuwe en hercertificeringsaudits aan de nieuwe versie moeten voldoen.
- Vernieuwingscycli veranderen niet. Onder voorbehoud van een succesvolle audit zal de ISO 27001:2022 certificering met terugwerkende kracht tot het moment waarop het vorige certificaat werd afgegeven.
Wijzigingen in het informatiebeveiliging managementsysteem
Deze veranderingen stellen twee belangrijke eisen aan risicomanagers. Ten eerste moet de kern van het ISMS worden beoordeeld met een risicobeoordelingsproces aan de hand van de nieuwe controles in ISO 27001:2022.
Nu de structuur van Annex A in de nieuwe norm aanzienlijk is gewijzigd, doordat er vier overkoepelende controlethema's zijn gecreëerd, kunnen organisaties overwegen hun ISMS opnieuw af te stemmen. De verantwoordingsplicht kan hierbij ook veranderen, waarbij elk van de vier thema's duidelijk wordt gekoppeld aan relevante bedrijfsfuncties. Met het wegvallen van de controledoelstellingen moeten sommige organisaties bovendien opnieuw bekijken hoe zij de prestaties en de doeltreffendheid van het ISMS controleren.
Wat kunt u van uw overgangsaudits verwachten?
Overgangsaudits kunnen ter plaatse of remote worden uitgevoerd, tijdens de toezichts- of verlengingsfase van de certificeringcyclus. Het Internationale Accreditatieforum (IAF) heeft opdracht gegeven om extra tijd te besteden aan de overgang. Dit betekent voor de meeste organisaties een overgangsaudit van één dag. De overgangsaudit omvat vier kernvragen:
- Heeft de organisatie een gap-analyse uitgevoerd ten opzichte van de nieuwe eisen?
- Waar controles al dan niet zijn geselecteerd - zijn deze beslissingen duidelijk en degelijk uitgelegd en gerechtvaardigd?
- Als er nieuwe controles zijn geselecteerd of uitgevoerd, zijn deze dan goed ontworpen en wordt de doeltreffendheid ervan geëvalueerd?
- Voor gewijzigde of samengevoegde controles, welke stappen zijn genomen om deze aan te passen - met bijzondere aandacht voor de controles met het hoogste inherente of resterende risico?
Naast de wijzigingen in het managementsysteem, hebben de belangrijkste wijzigingen in ISO 27001:2022 betrekking op de controles in Annex A. Het is cruciaal dat organisaties zich bewust zijn van deze wijzigingen en de impact die ze kunnen hebben op hun ISMS.
Reorganisatie van bestaande controles binnen uw ISMS
Door de controles te reorganiseren over vier thema's, zijn sommige aspecten gerationaliseerd (bijvoorbeeld een grotere groepering van beleidslijnen of verwante controles zoals veranderingsbeheer). Sommige controles zijn nu over verschillende thema's verdeeld, bijvoorbeeld bedrijfscontinuïteit, onder organisatorische en technische en er kunnen dus nieuwe personen of nieuwe afdelingen bij betrokken zijn.
Bent u al klaar voor de overgang naar ISO 27001:2022?
Lees onze gids waarin 10 stappen uit een worden gezet naar een succesvolle overgang of download onze ISO 27001:2022 checklist.