Wat zijn de veranderingen en voordelen van de nieuwste ISO/IEC 27001-norm?

De publicatie van de nieuwe versie van ISO/IEC 27001 en de daarmee samenhangende ISO/IEC 27002 komt als een tijdige herinnering, dat alle organisaties in toenemende mate blootstaan aan risico's op het gebied van informatiebeveiliging. Maar wat zijn de belangrijkste veranderingen en voordelen van de nieuwe versie?

Nu een groot deel van de bedrijfsvoering digitaal plaatsvindt, moeten informatie, gegevens en cyberveiligheid altijd hoog op de prioriteitenlijst van het management staan. De dreiging van cyberaanvallen is de afgelopen maanden misschien wat uit het nieuws verdwenen door energiekosten en leveringsproblemen, maar de cyberdreiging is zeker niet afgenomen en mogelijk zelfs toegenomen. 

De publicatie van de nieuwe versie van ISO/IEC 27001 op 25 oktober 2022 herinnert ons eraan dat alle organisaties in toenemende mate blootstaan aan risico's op het gebied van informatiebeveiliging. ISO/IEC 27001 is de internationaal erkende ISMS-norm (Information Security Management System) die organisaties helpt bij het proactief beheren en beschermen van hun informatiemiddelen en bij het beheren en beperken van beveiligingsincidenten. Certificering volgens deze norm helpt ook om de regelgeving na te leven en te voldoen aan de eisen van de klant.

Inbreuken op de beveiliging en cyberaanvallen kunnen leiden tot aanzienlijke verliezen en reputatieschade. Om dit te voorkomen moeten organisaties de huidige bedreigingen beheren en waar nodig de risico's beperken. Op die manier kan het vertrouwen van belanghebbenden worden opgebouwd en kan het risico van financieel verlies en verstoring van bedrijfsactiviteiten tot een minimum worden beperkt. De invoering van een robuust, gestructureerd kader voor identificatie, beheersing en beperking van risico's zal leiden tot voortdurende verbetering en versterking van de bedrijfscontinuïteit.

ISO/IEC 27001 is ontworpen om compatibel en geharmoniseerd te zijn met andere erkende ISO-managementsysteemnormen. De laatste grote herziening van de norm was in 2013.  Daarom werd het noodzakelijk geacht om de norm, inclusief de beheersmaatregelen zoals gedefinieerd in ISO/IEC 27002, aan te passen aan de cyberaanvallen en datalekken die zich in de tussentijd hebben ontwikkeld. 

Overgangstermijn

Organisaties die gecertificeerd zijn volgens de huidige 2013-versie van ISO 27001 hebben drie jaar de tijd om over te stappen op de nieuwe versie. Dit betekent dat het huidige ISMS vóór november 2025 aan de nieuwe eisen moet voldoen. Organisaties die nog niet gecertificeerd zijn, kunnen het beste direct opgaan voor certificering volgens de nieuwe versie van de norm.

De belangrijkste veranderingen in ISO/IEC 27001

De structuur van de nieuwe versie is identiek aan die van de eerdere versie maar bevat de concepten Cybersecurity en Data security. Een korte blik op de norm leert dat de wijzigingen vrijwel uitsluitend betrekking hebben op de herziene reeks beheersmaatregelen uit ISO/IEC 27002. Hiernaar wordt verwezen in bijlage A van ISO/IEC 27001.

Bijlage A bevat de beheersmaatregelen voor informatiebeveiliging voor een op ISO/IEC27001 gebaseerd managementsysteem voor informatiebeveiliging. Het totale aantal beheersmaatregelen is herzien van 114 naar 93. Er zijn 11 nieuwe beheersmaatregelen, 58 zijn bijgewerkt en 24 zijn samengevoegd met het doel ze te vereenvoudigen en beter af te stemmen op de nieuwe situaties waarmee organisaties te maken krijgen. De beheersmaatregelen zijn onderverdeeld in 4 " thema's ": Organisatorisch, Menselijk, Fysiek en Technologisch. Voor gebruikers en implementeerders biedt ISO/IEC 27002 ook nuttige updates in de richtlijnen voor de beheersmaatregelen, waaronder meer voorbeelden. 

De 11 nieuwe beheersmaatregelen zijn:

beheersmaatregelen

Naast de beheersmaatregelen zijn er enkele kleine wijzigingen om aan te sluiten bij de laatste updates van ISO's High Level Structure (HLS). 

De belangrijkste aspecten van het managementsysteem die worden beïnvloed zijn leiderschap, bedrijfsveiligheid, IT-functies en andere ondersteunende functies. Voor dienstverleners heeft dit ook gevolgen voor de levering. De nieuwe versie maakt een effectiever risicobeheer mogelijk dankzij de bijgewerkte beheersmaatregelen.

De voordelen van ISO/IEC 27001:2022 zijn

De belangrijkste voordelen van de nieuwe versie kunnen als volgt worden samengevat:

- ISO/IEC 27001:2022 maakt een doeltreffender risicobeheer mogelijk, omdat de beveiligingscontroles in bijlage A zijn verbeterd om de huidige situaties waarmee organisaties te maken hebben weer te geven.

-  Helpt organisaties hun risico's en bedreigingen opnieuw te beoordelen en beveiligingscontroles  in te voeren die passen bij cloud- en automatiseringstechnologie, malware en ransomware en andere beveiligingsrisico's.

- uitbreiding tot cyberbeveiliging en privacy, waardoor het managementsysteem voor informatiebeveiliging beter aansluit bij deze kritieke kwesties waarmee organisaties te maken hebben.

- Biedt een betere structuur en presentatie van de beheersmaatregelen in bijlage A, en een duidelijker en eenvoudiger taalgebruik.

De voordelen van een ISO/IEC 27001-managementsysteem en -certificering zijn niet veranderd; de nieuwe versie stelt organisaties echter beter in staat om nieuwe risico's en bedreigingen in hun bedrijfscontext te begrijpen, te beheren en te beperken. Ongeacht of een organisatie overgaat of toewerkt naar certificering volgens de nieuwe norm, DNV kan alle diensten en ondersteuning bieden die nodig zijn voor een succesvolle afronding.

Uw organisatie laten certificeren volgens ISO 27001?