Onze diensten

ISO 27001:2022 gepubliceerd

Datum: 28-11-2022

ISO 27001 is dé internationale norm voor informatiebeveiliging. Afgelopen oktober (2022) is de ISO 27001:2022 gepubliceerd. De Nederlandstalige versie komt binnenkort ter beschikking. Deze vernieuwde versie is aangepast op de herziene ISO 27002 en de nieuwe Harmonized Structure (HS). 

Aanpassing aan ISO 27002

ISO 27002 is een verdieping op ISO 27001 en bestaat uit een lijst beheersmaatregelen waarmee je geïdentificeerde risico’s kunt beperken of verkleinen. Deze beheersmaatregelen komen overeen met Annex A uit de ISO 27001 norm. Aangezien de ISO 27002 is herzien, was het noodzaak om ook Annex A uit ISO 27001 te laten aansluiten bij deze herziene versie. In Annex A van ISO 27001:2022 zijn nu 93 beheersmaatregelen opgenomen, inclusief de 11 nieuwe beheersmaatregelen.  

Meer weten over de wijzigingen en nieuwe beheersmaatregelen in ISO 27002? Download dan onderstaand whitepaper.

Aanpassing aan nieuwe Harmonized Structure

Daarnaast is de ISO 27001:2022 aangepast op de nieuwe Harmonized Structure (HS). Deze HS is in 2021 gepubliceerd en is een update van de High Lever Structure (HLS). HS is de basisstructuur en -eisen van alle ISO managementsysteemnormen. In dit artikel lees je meer over de inhoudelijke veranderingen van HLS naar HS. De HS heeft de volgende impact op ISO 27001 

  • Wijzigingen in gedocumenteerde informatie. In de HLS werd verwezen naar verschillende werkwoorden, zoals onderhouden voor documenten en bijhouden voor registraties. Dit zorgde vaak voor verwarring. In de HS is gekozen voor een eenduidige terminologie. Er wordt gesproken over ‘beschikbaar zijn’ van gedocumenteerde informatie.  
  • Behoeftes en verwachtingen stakeholders belangrijker. In paragraaf 4.2 van de HLS staat dat een organisatie de relevante eisen van relevante belanghebbende moet identificeren. Hoe een organisatie omgaat met behoeftes en verwachtingen van stakeholders blijft echter onduidelijk. In de HS worden de behoeftes en verwachtingen wel opgenomen.  
  • Eisen aan de processen van het ISMS. In de voorgaande versie van ISO 27001 is in paragraaf 4.4 afgeweken van de HLS. Er werden eisen gesteld voor het vaststellen, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsmanagementsysteem (ISMS). Echter ontbraken de eisen voor en de samenhang met de onderliggende processen. In de herziene versie is deze tekortkoming hersteld en wordt er weer aangesloten bij de HS.
  • Plannen van wijzigingen. In hoofdstuk 6 van de HS is een nieuwe paragraaf opgenomen, namelijk 6.3. Deze paragraaf stelt dat wijzigingen aan het managementsysteem op een geplande manier moeten worden uitgevoerd. Management of change wordt hiermee expliciet onderdeel van de HS. In ISO 27001:2022 is paragraaf 6.3 ook opgenomen.
  • Van uitbesteden naar extern geleverde processen, producten en diensten. De begrippen ‘uitbesteden’ en ‘beheersing’ van uitbestede processen worden niet meer toegepast in de HS. Voortaan worden er eisen gesteld aan de extern geleverde processen, producten en diensten die relevant zijn voor het managementsysteem. Ook de herziene ISO 27001 norm volgt deze benadering.  

Hulp nodig?

Voor de ISO 27001:2022 geldt een overgangsperiode van 3 jaar. Bestaande certificaten moeten uiterlijk vóór 1 november 2025 omgezet zijn naar de nieuwe versie. Heeft jouw organisatie hulp nodig bij de transitie naar ISO 27001:2022? Het team van QSN consultants staat voor je klaar! Neem contact met ons op en we vertellen je graag over de mogelijkheden.  

Contact

Bron: NEN

herziening norm

Download whitepaper

ISO 27002, wijzigingen en nieuwe beheersmaatregelen

whitepaper nieuwe versie ISO 27002
  • Een vernieuwde ISO 27002
  • De doorgevoerde wijzigingen
  • De 11 nieuwe beheersmaatregelen