Sinds de nieuwe ISO 27002:2022 in Maart is gepubliceerd, krijgen we veel vragen vanuit de markt. Wanneer komt de nieuwe ISO27001? Moeten we een nieuw ISMS bouwen? Wat voor invloed heeft dit op mijn NEN7510 certificering? Wanneer worden we volgens de nieuwe norm ge-audit? Wat wijzigt er allemaal in de norm? Vervalt mijn certificaat op de oude versie? In onderstaand artikel geven we antwoord op deze belangrijkste vragen. En natuurlijk zal er een ruime overgangsperiode zijn, waarin er tijd is om de juiste aanpassingen te maken.

Normen worden regelmatig herzien

Op dezelfde manier als u de documenten in uw ISMS herziet, worden ook ISO normen met enige regelmaat herzien. Dit is belangrijk omdat deze anders worden ingehaald door allerlei ontwikkelingen in technologie en nieuwe inzichten in bedrijfsvoering. De norm moet tenslotte passend zijn bij de huidige tijd en, in het geval van de ISO 27001, u helpen om uw informatie te beveiligen. Doorgaans gebeurt dit in een cyclus van 5 jaar.

Eerst de implementatie richtlijn

Op 15 februari was als eerste de implementatie richtlijn aan de beurt. Deze stamde al uit 2013. De nieuwe is beschikbaar gekomen als ISO27002:2022. Deze richtlijn geeft u handvatten voor de implementatie van de beheersmaatregelen (Annex A) die zijn gekoppeld aan de ISO 27001. De ISO 27002 is niet certificeerbaar, maar wij kunnen hieruit al wel opmaken wat er gaat veranderen in de ISO27001.

En dan de ISO 27001

Op dit moment heeft ISO er voor gekozen om niet een nieuwe versie van de norm uit te brengen, maar alleen Annex A te vervangen. Deze wordt als aanvulling gepubliceerd en gaat ISO/IEC 27001:2013 /AMD 1:2022 heten. Voor de Engelstalige versie zal dit waarschijnlijk gebeuren in mei of juni van 2022. De Nederlandse versie zal een aantal maanden hierna uitkomen. Deze zal zeer waarschijnlijk de naam krijgen NEN-EN-ISO/IEC 27001:2017+A12:2022 nl

 

De aanpassingen

Waar wij nu gewend zijn aan 114 beheersmaatregelen, verandert dit naar nog maar 93 beheersmaatregelen. Maar als men hier inhoudelijk naar gaan kijken, zal men ontdekken dat de inhoud vooral is samengevoegd.

Ook verandert het aantal hoofdstukken. Dit zullen er nog maar 4 zijn, te weten:

Hoofdstuk 5 – Organizational controls: Dit hoofdstuk bevat alle beheersmaatregelen die niet passen in de 3 volgende hoofdstukken (dus die niet gaan over mensen, fysieke beveiliging of techniek).

Hoofdstuk 6 – People: Hierin vind je alle beheersmaatregelen die gaan over mensen, zoals bewustwording, arbeidsvoorwaarden, etc.

Hoofdstuk 7 – Physical controls: In dit hoofdstuk zitten alle maatregelen m.b.t. fysieke beveiliging van de locatie(s), maar ook hoe het onderhoud van apparatuur is geregeld.

Hoofdstuk 8 – Technological controls: Alle beheersmaatregelen die betrekking hebben op technologie zijn in dit hoofdstuk te vinden. Bijvoorbeeld op welke manier u uw netwerk en informatie verwerkende systemen beveiligd, hoe u omgaat met logging, en hoe u zorgt dat uw ontwikkelaars veilig te werk gaan.

Wat is er nieuw

Voor een groot deel zullen deze hoofdstukken de maatregelen bevatten die u al kent. Sommige zullen samen zijn gevoegd maar blijven inhoudelijk hetzelfde.

Daarnaast zijn er 11 nieuwe maatregelen toegevoegd:

5.7 Thread intelligence: De manier waarop informatie wordt ingewonnen over nieuwe en bestaande bedreigingen, en op welke manier hierop wordt gereageerd.

5.23 Information security for use of cloud services: Deze beheersmaatregel beschrijft de manier waarop u uw informatie in door u gebruikte clouddiensten beveiligd hebt met betrekking tot het gebruik, beheer en ook bij het verlaten van deze dienst.

5.30 ICT readiness for business continuity: Hierbij gaat het om het maken, implementeren en testen van een ICTCP (ICT Continuïteit Plan). Hoe is de beschikbaarheid van de informatie verwerkende systemen geregeld in het geval zich een ramp of zeer grote verstoring voordoet.

7.4 Physical security monitoring: Op welke manier is de bedrijfslocatie bewaakt tegen ongeautoriseerde toegang van derden? Hierbij ligt de focus op gebouwen met kritische systemen zoals serverruimtes, belangrijke nutsvoorzieningen, administratie, etc…

8.9 Configuration management: Deze beheersmaatregel gaat over de implementatie en het onderhoud van een juiste configuratie van hard en software, in samenhang met het algemeen beveiligingsbeleid.

8.10 Information deletion: Bij de implementatie van deze beheersmaatregel dient u er voor zorg te dragen dat informatie niet langer wordt bewaard dan nodig is. Dit om onnodige risico’s voor desbetreffende informatie te vermijden.

8.11 Data masking: Dit moet worden toegepast om onnodige blootstelling van gevoelige gegevens te voorkomen. Denk hierbij aan encryptie, nulling, vervangen van data, etc…

8.12 Data leakage prevention: Deze beheersmaatregel beschrijft het voorkomen van data lekken via lekkende kanalen. Denk hierbij aan e-Mail, bestands overdracht, koppelingen, etc…

8.16 Monitoring activities: Hierbij gaat het om maatregelen die worden getroffen om afwijkend gedrag te detecteren. De wijze en mate moeten vooraf door de organisatie worden bepaald.

8.23 Web filtering: Deze beheersmaatregel gaat over het filteren van het web verkeer van de medewerkers. Denk hier bijvoorbeeld aan het blokkeren van ongewenste websites.

8.28 Secure coding: Er moet een proces voor het veilig ontwikkelen van software worden opgezet. Dit proces moet worden gecontroleerd op naleving.

Wat betekent dit voor u en uw managementsysteem?

Om de overgang naar de nieuwe Annex A behapbaar te maken voor organisaties, zal er een overgangstermijn komen. Tijdens deze overgangsperiode, zijn beide versies geldig en certificeerbaar. Dit betekent dat als u snel over wilt naar de nieuwe set met beheersmaatregelen dit natuurlijk kan, maar dat u ook met een gerust hart uw volgende (controle) audit nog op de oude versie kunt laten uitvoeren. In de tussentijd heeft u dan alle rust en ruimte om uw organisatie en processen aan te passen aan de nieuwe beheersmaatregelen. Hoelang deze overgangsperiode gaat zijn is nog niet bekent, maar dit is doorgaans enkele jaren.

En de NEN 7510 of de BIO dan?

Natuurlijk vragen organisaties die ge-audit worden op de NEN 7510 of de BIO zich af wat er hiermee gaat gebeuren. Zowel de NEN 7510 als de BIO bestaan uit extra beheersmaatregelen die zijn toegevoegd aan de ISO 27001 Annex A. Als de beheersmaatregelen in de basis gaan veranderen moeten de NEN 7510 en de BIO dus ook worden aangepast. De verwachting is dat de publicatie van een nieuwe NEN7510 en BIO ook wel weer 2 jaar zou kunnen duren.

Voor organisaties die ook een NEN7510 certificering hebben en/of aan de BIO eisen moeten voldoen is het dus ook het meest logisch om te wachten met de overgang naar de nieuwe beheersmaatregelen tot ook de NEN 7510 of de BIO zijn aangepast. Want anders lopen de oude Annex A en nieuwe Annex A beheersmaatregelen door elkaar in je managementsysteem. Denk aan je risicoanalyse en samenhang met de Annex A en je VVT, 2 versies naast en door elkaar. Het kan uiteraard wel, maar het wordt daardoor niet eenvoudig, zodat iedereen het intern nog zal begrijpen.

Conclusie

Er staan dus best wat spannende veranderingen aan te komen, die weer goed gaan aansluiten bij de huidige bedreigingen, kennis en technologie. Maar er is geen enkele reden tot zorgen, aangezien er alle tijd is om uw organisatie goed voor te bereiden op deze nieuwe versie van de norm.