De ISO27001 is een wereldwijd erkende standaard op het gebied van informatiebeveiliging. Veel organisaties zijn gecertificeerd om aan te tonen dat zij de bescherming van gegevens serieus nemen. Dit kan ingegeven zijn door klanteisen, wensen van andere belanghebbenden, of vanuit een eigen intrinsieke waarde. ISO27001 wordt daarom gezien als een kwaliteitskeurmerk. Zelfs als je certificering niet nodig vindt, ook dan is de ISO27001-standaard een gedegen instrument om informatiebeveiliging als managementsysteem binnen je organisatie op te zetten.
Nieuwe norm
The International Organization for Standardization (ISO) ontwikkelt de ISO-standaarden, die zij ook benoemen als ‘Een formule die beschrijft hoe de dingen te doen op de beste manier’. Periodiek worden de standaarden bijgeschaafd. Voor de ISO27001 is dit een update in 2022 (officieel ISO/IEC 27001:2022) ten opzichte van de voorlaatste versie in 2013. Bepaalde wijzigingen hebben een impact op de organisatie, bedrijfsvoering en processen. Dit houdt in dat er bepaalde acties genomen moeten worden.
Deadline
De nieuwe versie is geïntroduceerd met een overgangsperiode van drie jaar. Tijdens deze periode blijven zowel de oude als de nieuwe normen geldig, waardoor organisaties de tijd hebben om hun certificaten over te zetten. De deadline voor deze overgang is vastgesteld op 1 november 2025. Tot die tijd kunnen organisaties ervoor kiezen om de overstap naar de nieuwe norm geleidelijk te maken en ervoor te zorgen dat hun informatiebeveiligingssystemen aan de nieuwste eisen voldoen.
Wijzigingen
In het Information Security Management System (ISMS) zijn de volgende wijzigingen: In de norm zien we een aantal belangrijke tekstuele aanpassingen in de hoofdstukken 4, 6 en 8. Zo is bijvoorbeeld meer aandacht voor de behoeften en verwachtingen van de stakeholders (4.2). Een andere wijziging is dat in hoofdstuk 8 gesproken wordt over het beheersen van extern geleverde processen en diensten, relevant voor het ISMS.
Deze toevoeging kan een behoorlijke impact hebben, namelijk het opzetten of uitbreiden van de leveranciersselectie en de bijbehorende producten en diensten. Let wel, het gaat dus niet alleen om kritische leveranciers of outsourcing maar over alle externe geleverde processen, diensten en producten. Ook in de andere hoofdstukken (5,7,9 en 10) zitten er (kleine) aanpassingen.
Dan kijken we naar Annex A, ook de bijlage van de standaard genoemd. In het algemeen zien we:
- 11 nieuwe controls
- 24 controls samengevoegd
- 58 controls hernoemd
Voorheen waren er 14 categorieën van controls. Nu zijn er 4 thema’s, namelijk:
- People
- Organizational
- Technological
- Physical
Belangrijk zijn de 11 nieuwe controls, die voor reeds gecertificeerde organisaties impact zullen hebben. Zo is er aandacht voor Threat Intelligence. Organisaties die voor dit onderwerp nog niets geregeld hebben, zullen dit moeten integreren in hun risicoanalyse, evaluatie en mitigatie. Door middel van Threat intelligence kan de informatie over dreigingen gekoppeld worden aan de mitigatie van risico’s. Een overzicht van de 11 nieuwe controls:
- 5.7 Informatie en analyses over dreigingen
- 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
- 5.30 ICT gereedheid voor bedrijfscontinuïteit
- 7.4 Monitoren van de fysieke beveiliging
- 8.9 Configuratiebeheer
- 8.10 Wissen van informatie
- 8.11 Maskeren van gegevens
- 8.12 Voorkomen van gegevenslekken
- 8.16 Monitoring activiteiten
- 8.23 Het toepassen van webfilters
- 8.28 Veilig coderen
Aanvullend is er een nog update verschenen: ISO-IEC 27001:2022/Amd 1: 2024 (Climate action changes). Hierin wordt geadresseerd om rekening te houden met de mogelijke effecten van klimaatverandering, Dit is vooral van toepassing voor clausule 4.1 en 4.2 van de norm.
Hoe nu verder?
Ben je als organisatie ISO27001 gecertificeerd? Dan hoef je je niet direct zorgen te maken. Zoals eerder verteld is er een transitieperiode, waarin de ruimte wordt geboden om te voldoen aan de wijzigingen en toevoegingen in de nieuwe norm. Het is aan te raden om:
- Te beginnen met een gap-analyse: maak een mapping tussen de bestaande controls en de hernieuwde norm en controls. Bepaal of en welke wijzigingen nodig zijn om te voldoen aan de nieuwe norm en controls.
- De nieuwe controls en aanvullende maatregelen/activiteiten te implementeren: op basis van het inzicht verkregen uit de gap-analyse kun je aan de slag. Zo kun je de nieuwe controls vertalen naar de huidige bedrijfsvoering en ook de aanvullende acties en maatregelen uitvoeren en borgen.
- Een nieuwe interne audit en management review uit te voeren op basis van de nieuwe versie van ISO27001.
- Te zorgen voor een goede planning van de voorgaande stappen, zodat je tijdig een nieuwe audit bij een Certificerende Instelling (CI) kunt inplannen. Vergeet daarbij niet dat ook de CI’s een drukke periode tegemoet gaan.
Zo ben jij op 1 november 2025 ISO27001 ready!
Legian. Mastering Cybersecurity Complexity.
Auteur: Nandenie Moenielal
