Vernieuwde norm ISO27002:2022: dit is er veranderd

ISO 27002, een verdieping op de internationale standaard voor informatiebeveiliging (ISO 27001), bevat diverse sets van algemene informatiebeveiligingscontroles, inclusief implementatierichtlijnen die men kan gebruiken bij de inrichting van het Informatiemanagementsysteem (ISMS). Om de 5 jaar wordt deze norm, waarvan de laatste versie uit 2017 stamt, samen met alle aangesloten landen herzien door de Internationale Organisatie voor Standaardisatie (ISO). Afgelopen week publiceerde zij de vernieuwde Engelse versie van ISO27002:2022.

De NEN, het Nederlands Normalisatie Instituut en tevens de Nederlandse partij op dit vakgebied, organiseert om die reden op 10 maart een informatiebijeenkomst over de nieuwste ontwikkelingen binnen deze norm. Beschermheren zet in hoofdlijnen alvast de belangrijkste wijzigingen op een rij.

Wat is er veranderd?

De herziening van ISO27002 beïnvloedt zowel de inhoud als de structuur van de norm. Deze is volledig aangepast naar de huidige technische ontwikkelingen en de wijze waarop we omgaan met informatie binnen organisaties. Zo zijn de beheersmaatregelen in de oude versie van ISO27002 uiteengezet in maar liefst 14 hoofdstukken. In de nieuwe versie wordt echter gebruik gemaakt van vier thema’s binnen een organisatie: Mens (medewerkers en hoe zij omgaan met informatiebeveiliging), Fysiek (fysieke beveiliging van de locatie), Technologie (systemen en software) en Organisatie (cultuur en processen).

Naast de samenvoeging van een aantal oude maatregelen zijn er ook 11 nieuwe, vooral technische, maatregelen toegevoegd. Denk hierbij aan maatregelen op het gebied van:

  1. Cloud
  2. Business continuity: bij grote storingen weer snel up and running zijn
  3. Threat intelligence: snel op de hoogte van bedreigingen die er zijn
  4. Het monitoren en bewaken van fysieke security
  5. Configuratie management
  6. Het verwijderen van informatie
  7. Data Masking: het onleesbaar maken van informatie
  8. Het voorkomen van lekken van informatie
  9. Het monitoren van activiteiten
  10. Webfiltering
  11. Secure coding: rekening houden met de security van codering bij het maken van applicaties.

Nieuw hierbij is dat iedere maatregel 5 kenmerken bevat, binnen de norm bekend als attributen, waarop deze geordend en beoordeeld kan worden. Zo begint elke maatregel met een tabel waarin het volgende staat aangegeven:

  • Control Type: het type maatregel
  • Information Security Properties: de informatie security eigenschappen
  • Cyber Security Concepts: bestaande uit de waarden Identificeren, Beschermen, Detecteren, Reageren en Herstellen
  • Operational Capabilities: de operationele mogelijkheden om interne beheersmaatregelen te bekijken vanuit het perspectief van de beroepsbeoefenaar
  • Security Domains: om controles te bekijken vanuit het perspectief van vier informatiebeveiliging domeinen: Overheid & Ecosystemen, Bescherming, Verdediging en Veerkracht.

Tevens is er een bijlage die de verschillen tussen de oude en nieuwe versie weergeeft, wat zorgt voor meer overzicht en duidelijkheid.

Momenteel is alleen de Engelse versie van de nieuwe ISO27002:2022 norm gepubliceerd. Naar verwachting volgt de Nederlandse versie in augustus van dit jaar.

Is mijn ‘oude’ certificaat nog geldig?

Bij de herziening van normen is er altijd sprake van een overgangsperiode. In dit geval is de overgangsperiode 3 jaar en blijft uw huidige certificaat (ISO27001:2017) dus geldig totdat het tijd is voor een nieuwe certificering. In de tussentijd raden wij wel aan om bezig te gaan met het in lijn brengen van de bestaande ISMS conform de nieuwe norm.

Het doorvoeren van deze veranderingen aan het ISMS kan veel eisen van uw organisatie. Mocht u behoefte hebben aan ondersteuning tijdens dit traject, dan kan Beschermheren hierin bijdragen door advies, begeleiding, tooling en audits.


Op 10 maart geeft NEN een informatiebijeenkomst met betrekking tot de herziening van de ISO 27002. Tijdens deze informatiebijeenkomst wordt u op de hoogte gebracht van de nieuwste ontwikkelingen rondom deze vernieuwde norm. Wilt u hier bij zijn? Registreer dan
hier.

Beschermheren

Daalwijkdreef 35
1103 AD Amsterdam
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving

Algemene voorwaarden

A man should look for what is, and not for what he thinks should be.

Albert Einstein