De belangrijkste wijzigingen in de herziene ISO 27001 en ISO 27002
Op 15 februari 2022 werd de nieuwe versie van de norm ISO 27002 gepubliceerd. De ISO 27002 is een uitbreiding op de standaard ISO 27001 voor informatiebeveiliging en specifieert hoe een Information Security Management System (ISMS) er precies moet uitzien. De uitbreiding bevat best practices voor beveiligingscontroles en maatregelen die u kunt implementeren om uw beveiliging te verbeteren. Hoewel de ISO 27002 geen certificeerbare standaard is, heeft deze herziening wél gevolgen voor organisaties die ISO 27001-gecertificeerd zijn of willen worden. Daarom delen wij hieronder de belangrijkste wijzigingen met u.
Om bij te blijven met nieuwe, veranderende risico’s op het gebied van onder meer informatiebeveiliging, cybersecurity en privacy wordt elke vijf jaar geëvalueerd of een norm moet worden ingetrokken, bevestigd of herzien. De laatste update van de ISO 27002 dateert van 2013, met een aantal kleine aanpassingen in 2017. In 2018 werd echter besloten om zowel de ISO 27002 als de ISO 27001 opnieuw te herzien.
Daarnaast moet een nieuwe structuurindeling van de ISO 27002 ervoor zorgen dat het eenvoudiger is om te bepalen wie de eigenaar wordt van een beheersmaatregel. Ook zijn de controls niet langer onderverdeeld in veertien, maar in vier thema’s: organizational controls, people controls, physical controls en technological controls. Tot slot zijn 11 van de 93 beheersmaatregelen compleet nieuw en bedoeld om een grotere focus te leggen op het preventieve en monitoring-gedeelte van het ISMS.
Download de tijdslijn ISO 27001:2022 hier (versie 28 juni 2024).
Waar aanvankelijk werd gecommuniceerd dat het om een amendement zou gaan, blijkt het nu een nieuwe versie te betreffen. Deze herziening wordt volgens planning rond oktober 2022 gepubliceerd. De tekst in de norm is afgestemd op de geharmoniseerde structuur voor managementsysteemnormen. De officiële overgangsperiode zal vermoedelijk worden vastgesteld als onderdeel van de publicatie van de herziene certificeringsnorm en op de gebruikelijke drie jaar worden vastgesteld. Concreet betekent dit dat organisaties die op termijn gecertificeerd willen zijn of willen blijven uiterlijk drie jaar na de publicatie van de ISO 27001:2022 norm zullen moeten conformeren aan eventuele gewijzigde of bijkomende vereisten.
Contact
De nieuwe ISO 27001:2022
- Einde transitieperiode ISO 27001:2022 in zicht, wat nu te doen?
- Eén herziene ISO 27001, drie verschillende versies
- In 7 stappen naar ISO 27001:2022
- Vijf vragen over de herziening van de norm ISO 27001:2022
- 8 nov 2023: Herziene ISO 27001 nu ook Europees aanvaard
- 1 feb 2023: Kiwa officieel geaccrediteerd voor ISO 27001:2022
- 9 dec 2022: Overgang naar nieuwe versie ISO 27001:2022
- 27 okt 2022: Standaard ISO 27001 voor informatiebeveiliging herzien
- 2 aug 2022: De belangrijkste wijzigingen in de herziene ISO 27001 en ISO 27002
Blijf op de hoogte
In onze nieuwsbrief geven we u updates over ontwikkelingen, klantcases, tips en achtergrondverhalen op gebied van cybersecurity. Zo bent u altijd op de hoogte van het laatste nieuws en ontwikkelingen!