ISO 27001 15 januari 2024

Overgang ISO 27001-2022

ISO 27001-2022Eind 2022 is de nieuwe versie van ISO 27001 vrijgegeven. Voor het opstellen van een goed informatiebeveiligings-managementsysteem (ISMS) geeft de norm duidelijke kaders voor het vaststellen van procedures en maatregelen om te borgen dat de Beschikbaarheid, Integriteit én Vertrouwelijkheid (BIV) binnen uw organisatie geregeld is. Maatschappelijke- en IT-ontwikkelingen maken dat een update van deze ISO-norm gewenst was.

Wat betekend deze normupdate voor uw organisatie? Welke wijzigingen zijn er in de norm én wat moet u daarmee? Hoe bent u goed voorbereid op de groeiende cybercriminaliteit en digitale risico’s.

Veranderingen in de nieuwe norm:

In Bijlage A vinden we het grootste verschil met de norm uit 2013 / 2017.

De te nemen beheersmaatregelen zijn in deze ISO-bijlage omschreven.

Het eerste wat opvalt is de andere hoofdstukindeling.

Waar eerst Bijlage A (de Appendix) uit 14 hoofdstukken bestond, zijn dat nu 4 hoofdthema’s geworden. Hierdoor zal de Verklaring van Toepasselijkheid opnieuw opgesteld moeten worden.

Het tweede wat opvalt is dat er 11 nieuwe beheersmaatregelen zijn toegevoegd.

In de beheersmaatregelen komen meerdere onderwerpen aan bod. Denk bijvoorbeeld aan de verantwoordelijkheid voor het filteren van het internetverkeer, het gebruik van cloud-services en het monitoren van de fysieke beveiliging.

Daarnaast zijn er verschillende beheersmaatregelen samengevoegd, verscherpt en/of verwijderd.

De nieuwe indeling en structuur is als volgt:

  • Hoofdstuk 1: Organisatorisch (37 maatregelen, waarvan 3 nieuw)
  • Hoofdstuk 2: Mensen (8 maatregelen)
  • Hoofdstuk 3: Fysiek (14 maatregelen, waarvan 1 nieuw)
  • Hoofdstuk 4: Technologie (34 maatregelen, waarvan 7 nieuw)

 

De scenario’s v.w.b. de invoering van de nieuwe norm:

  1. U bent al gecertificeerd:

Als u al ISO 27001 gecertificeerd bent, dan heeft u 3 jaar de tijd om uw managementsysteem voor informatiebeveiliging (ISMS) te updaten.

Gebruikt u deze overgang zeker ook om uw informatiebeveiligingsrisico’s én genomen beheersmaatregelen eens goed onder de loep te nemen!

Als de risicoanalyse binnenkort op de planning staat is het goed om de nieuw toegevoegde beheersmaatregelen gelijk mee te nemen.

U dient een nieuwe VvT op te stellen en in de risicomanagement dient de koppeling met de nieuwe 93 punten duidelijk zichtbaar gemaakt te worden. Uiteraard kan Van Voorst Consult u ondersteunen (of zo u wilt ontzorgen) in het overzetten naar de nieuwe norm.

  1. Gestart maar nog niet gecertificeerd, óf u gaat nog starten:

Als u wilt gaan starten of al bezig bent met de implementatie is het nuttig om vooraf goed te bepalen waar u als organisatie staat. Bij het opzetten van een ISMS doet u dit vanaf nu op basis van de nieuwe bijlage A-controles.

Ook in dit geval kan Van Voorst Consult u, de bij uw organisatie, passende ondersteuning bieden.

Laten we kennis maken!

Van Voorst Consult helpt, als kennispartner, ondernemers met de implementatie van kwaliteitsmanagement en certificering op een werkbare en effectieve wijze. Heb je een vraag of reactie voor Van Voorst Consult? Wij helpen je graag. Neem vrijblijvend contact op via het formulier.