Nieuwe versie van ISO/IEC 27002 vrijgegeven

De wijzigingen in de 2022-versie van de normen voor informatiebeveiligingsrichtlijnen hebben vooral betrekking op controles die organisaties helpen om veranderende beveiligingsscenario's en bijbehorende risico's aan te pakken.

De laatste update van ISO/IEC 27002 dateert van 2013, met kleine aanpassingen in 2017. Een herziening had dus al lang moeten plaatsvinden. De huidige risico's op het gebied van informatiebeveiliging, cyberveiligheid en privacy zijn drastisch veranderd. De dreiging voor alle organisaties is toegenomen en het beheer van informatiebeveiliging is een kwestie van bedrijfscontinuïteit en weerbaarheid geworden. Aanvallen of incidenten kunnen in het beste geval hinderlijk zijn, maar er zijn steeds meer gevallen waarin ondernemingen ernstig worden getroffen, de productie wordt belemmerd of dagen- of zelfs wekenlang volledig stil komt te liggen.

"Het onderwerp staat hoog op de agenda's van de meeste organisaties en directies. Het lijkt erop dat iedereen risico's loopt, maar velen hebben geen goed en robuust systeem geïmplementeerd om hun informatiebeveiligingsrisico's te identificeren, te beheren en te beperken. De bijgewerkte norm helpt organisaties de veranderende informatiebeveiligingsscenario's het hoofd te bieden", zegt Nanda Kumar Shamanna, business manager ICT van Business Assurance bij DNV.

De nieuwe versie gaat in op controles met betrekking tot digitale en cloudtechnologieën om cyberbeveiligings- en privacybedreigingen (zoals ransomware en malware) op te nemen. De norm is ook herzien om andere veiligheidsperspectieven aan te pakken, door de identificatie van verschillende veiligheidskenmerken.

De wijzigingen in deze richtlijnnorm zullen gevolgen hebben voor de certificeerbare norm ISO/IEC 27001. De herziening van ISO/IEC 27001 zal naar verwachting later dit jaar worden gepubliceerd, mogelijk in oktober. De wijzigingen zullen naar alle waarschijnlijkheid uitsluitend betrekking hebben op de beheersingsmaatregelen (bijlage A). De transitieperiode zal worden vastgesteld als onderdeel van de publicatie van ISO/IEC 27001:2022 later dit jaar; met de publicatie van ISO/IEC 27002 kan echter al met de voorbereidingen worden begonnen.

De belangrijkste voordelen van de nieuwe versie voor gecertificeerde organisaties zijn:

  • Behandelt nieuwe scenario's en risico's;
  • Helpt andere beveiligingsperspectieven te begrijpen;
  • Omvat aspecten van cyberbeveiliging en privacy;
  • Nieuwe controlemaatregelen om ervoor te zorgen dat nieuwe scenario's en risico's niet over het hoofd worden gezien.
Voor organisaties betekent dit in de eerste plaats dat processen en systemen met betrekking tot leiderschap, bedrijfsveiligheid, IT-functie, levering (indien dienstverlener) en andere ondersteunende functies opnieuw moeten worden bekeken.