Nieuwe ISO27001:2022 versie

ISO 27001

De nieuwe versie van de ISO27001:2022 norm is gepubliceerd!
Deze is inmiddels te bestellen via de ISO.org website.

Leuk detail is dat de naam van de norm is veranderd;

Information security, cybersecurity and privacy protection — Information security management systems — Requirements

Dus inclusief privacy. 😁

De belangrijkste wijziging dat de Annex A is gewijzigd. De huidige ISO27001 bevatte 114 maatregelen, verdeeld over 14 hoofdstukken (Annex 5 tot en met Annex 18).

Dit wordt in de nieuwe ISO 27001:2022 teruggebracht naar 4 hoofdstukken:

  • Annex 5 (Organisatie gerichte controls)
  • Annex 6 (Mens gerichte controls)
  • Annex 7 (Fysieke beveiliging controls)
  • Annex 8 (Technische controls)

Veel maatregelen zijn samengevoegd, terwijl 13 maatregelen nieuw zijn. Het totaal aantal wordt teruggebracht van 114 naar 95. Handig om te weten dat er kruistabellen beschikbaar zijn tussen de huidige en nieuwe controls.

Daarnaast komen er ook wat kleine veranderingen in de HLS onderwerpen. (Hoofdstuk 4 t/m hoofdstuk 10). Dus geen grote veranderingen, maar update je ISMS.

1) par. 4.2   Belanghebbenden; verfijning van de eisen
2) par. 4.3   Scope; verfijning van de eisen
3) par. 5.3  Rollen en verantwoordelijkheden; de rollen moet je ook communiceren.
4) par 6.1.3  c en d; kleine tekstuele aanpassingen
5) par. 6.2  Informatiebeveiligings doelen; aanscherping hoe je dit gaat monitoren.
6) par. 6.3   Wijzigingsbeheer (mbt het ISMS) ; toegevoegd
7) par 7.4  Communicatie; kleine tekstuele aanpassing
8) par. 8.1
– Operationele planning en control; proces criteria toegevoegd
– Uitbestede processen; aanscherping dat het gaat om externe processen die relevant zijn voor het ISMS

9) par. 9.2   Interne audit opgesplitst in:
– 9.2.1 Algemeen
– 9.2.2 Auditprogramma
10) par. 9.3   Directiebeoordeling opgesplitst in:
– 9.3.1 Algemeen
– 9.3.2 Input
– 9.3.3 Output

DigiTrust audit
We krijgen veel vragen van klanten wat dit gaat betekenen bij een komende DigiTrust audit. Zowel bij een nieuwe initiële certificering audit als controle audits.

Zodra de norm officieel is gepubliceerd komt er een overgangstermijn van 3 jaar. Binnen deze 3 jaar moeten reeds gecertificeerde organisaties voldoen aan deze nieuwe versie. Bij nieuwe initiële certificeringen mag deze nieuwe norm pas worden toegepast, zodra DigiTrust dit zelf mag toepassen. In ieder geval mag DigiTrust na de publicatie na 12 maanden niet meer op de oude norm certificeren.

Rol van de RvA
DigiTrust en alle andere certificerende instellingen (CI’s) die een accreditatie bij de RvA hebben, mogen deze versie van de norm nog niet direct toepassen bij hun klanten. De RvA wil eerst bij alle CI’s, waaronder DigiTrust, een beoordeling uitvoeren of wij ons goed hebben voorbereid op deze nieuwe versie van de norm. Denk daarbij aan onze eigen interne procedures, audittools en uiteraard de kennis van de DigiTrust auditoren. Alle CI’s moeten eerst door de RvA worden beoordeeld. Er komt een datum waarbij alle CI’s, na de beoordelingsperiode, tegelijk tegen deze nieuwe versie van de norm mogen gaan auditen en certificeren. Deze datum is nog niet bekend gemaakt door de RvA.

NEN 7510 certificering
De NEN is de beheerder/eigenaar van deze norm. De betreffende normcommissie is al druk bezig om de wijzigingen uit de ISO27001 te verwerken in een nieuwe versie van de NEN7510. De verwachting is dat deze pas in 2024 of nog later wordt gepubliceerd.

Transitie audit; van oud naar nieuw
Zodra DigiTrust van de RvA de toestemming krijgt om deze nieuwe versie van de norm toe te passen, (dat zal in de loop van 2023 zijn) zal DigiTrust deze nieuwe eisen meenemen in een controle of her-certificerings audit. Of eerder indien u dat wenst. Uiteraard in overleg met uw interne planning.

Volgens de IAF MD 26 richtlijn, moet DigiTrust voor deze transitie-audit 0,5 dag audittijd inplannen.
Tijdens deze transitie audit beoordelen we de nieuwe controls en de bewijslast daarvan.
Ook moet u een gap-analyse maken. In deze analyse moet u beschrijven wat de impact van deze nieuwe norm is op uw ISMS. Denk daarbij aan veranderingen in processen, procedures, documenten en IT-systemen.

Mogelijk moet u uw behandelplan aanpassen. Uiteraard dient u ook de VVT aan te passen, waarin deze nieuwe controls worden vermeld.

Onze backoffice zal deze transitie audit, zoveel mogelijk combineren met uw komende initiele, controle of her-certificeringsaudit.
Mocht u daar niet op willen wachten, dan kunnen we deze transitie audit ook separaat plannen.
Echter, we moeten eerst wachten op de RvA en de datum waarop de nieuwe norm mag worden toegepast. Zoals eerder beschreven is deze datum nog niet bekend.

Deel dit bericht

Andere berichten