Wat is er veranderd?

De herziening van ISO27002 beïnvloedt zowel de inhoud als de structuur van de norm. Deze is volledig aangepast naar de huidige technische ontwikkelingen en de wijze waarop we omgaan met informatie binnen organisaties. Zo zijn de beheersmaatregelen in de oude versie van ISO27002 uiteengezet in maar liefst 14 hoofdstukken. In de nieuwe versie wordt echter gebruik gemaakt van vier thema’s binnen een organisatie: Mens (medewerkers en hoe zij omgaan met informatiebeveiliging), Fysiek (fysieke beveiliging van de locatie), Technologie (systemen en software) en Organisatie (cultuur en processen).

Naast de samenvoeging van een aantal oude maatregelen zijn er ook 11 nieuwe, vooral technische, maatregelen toegevoegd. Denk hierbij aan maatregelen op het gebied van:

1. Cloud
2. Business continuity: bij grote storingen weer snel up and running zijn
3. Threat intelligence: snel op de hoogte van bedreigingen die er zijn
4. Het monitoren en bewaken van fysieke security
5. Configuratie management
6. Het verwijderen van informatie
7. Data Masking: het onleesbaar maken van informatie
8. Het voorkomen van lekken van informatie
9. Het monitoren van activiteiten
10. Webfiltering
11. Secure coding: rekening houden met de security van codering bij het maken van applicaties.

Nieuw hierbij is dat iedere maatregel 5 kenmerken bevat, binnen de norm bekend als attributen, waarop deze geordend en beoordeeld kan worden. Zo begint elke maatregel met een tabel waarin het volgende staat aangegeven:

• Control Type: het type maatregel
• Information Security Properties: de informatie security eigenschappen
• Cyber Security Concepts: bestaande uit de waarden Identificeren, Beschermen, Detecteren, Reageren en Herstellen
• Operational Capabilities: de operationele mogelijkheden om interne beheersmaatregelen te bekijken vanuit het perspectief van de beroepsbeoefenaar
• Security Domains: om controles te bekijken vanuit het perspectief van vier informatiebeveiliging domeinen: Overheid & Ecosystemen, Bescherming, Verdediging en Veerkracht.

Tevens is er een bijlage die de verschillen tussen de oude en nieuwe versie weergeeft, wat zorgt voor meer overzicht en duidelijkheid.

Momenteel is alleen de Engelse versie van de nieuwe ISO27002:2022 norm gepubliceerd. Naar verwachting volgt de Nederlandse versie in augustus van dit jaar.

Is mijn ‘oude’ certificaat nog geldig?

Bij de herziening van normen is er altijd sprake van een overgangsperiode. In dit geval is de overgangsperiode 3 jaar en blijft uw huidige certificaat (ISO27001:2017) dus geldig totdat het tijd is voor een nieuwe certificering. In de tussentijd raden wij wel aan om bezig te gaan met het in lijn brengen van de bestaande ISMS conform de nieuwe norm.

Het doorvoeren van deze veranderingen aan het ISMS kan veel eisen van uw organisatie. Mocht u behoefte hebben aan ondersteuning tijdens dit traject, dan kan Beschermheren hierin bijdragen door advies, begeleiding, tooling en audits.

Op 10 maart geeft NEN een informatiebijeenkomst met betrekking tot de herziening van de ISO 27002. Tijdens deze informatiebijeenkomst wordt u op de hoogte gebracht van de nieuwste ontwikkelingen rondom deze vernieuwde norm. Wilt u hier bij zijn? Registreer dan hier.