Eind oktober is ISO 27001:2022, de nieuwe update van ISO 27001, gepubliceerd. Waarom de eisen van de norm zijn aangepast, wat er is gewijzigd en wat dit voor jouw organisatie kan betekenen, leggen we je uit in dit artikel.
Waarom is ISO 27001 vernieuwd?
We maken steeds meer gebruik van digitale oplossingen voor het creëren, bewaren en publiceren van informatie. Deze digitale wereld is de laatste jaren veel veranderd. Dit vraagt ook om veranderingen in eisen en maatregelen die ervoor zorgen dat er juist en veilig omgegaan wordt met informatie.
Begin 2022 werd een nieuwe versie van de ISO 27002 gepubliceerd. Dit is de technische bijlage van ISO 27001, beter bekend als Annex A. ISO 27002 heeft een update gekregen en sluit nu weer aan bij de huidige tijd en IT inrichtingen.
Toen ISO 27002 een update kreeg was duidelijk dat die wijzigingen effect zouden hebben op ISO 27001. Nu is het zover en heeft ook ISO 27001 een update gekregen. De norm is nu in overeenstemming met ISO 27002, en beweegt dus ook mee met onze huidige tijd.
ISO 27001 update: wat is er gewijzigd?
Eigenlijk is de wijziging in de ISO27001 beperkt tot het aanpassen van de verwijzing naar de nieuwe ISO 27002.
Om mee te gaan in de veranderende wereld van IT, zijn er in ISO 27002 met name op het gebied van informatiebeveiliging, cybersecurity en privacy wijzigingen doorgevoerd die meer recht doen aan de risico’s van de huidige tijd. Naast de inhoudelijke wijzigingen, is er ook een wijziging doorgevoerd in de structuur van de maatregelen.
Allereerst is het aantal maatregelen van 114 teruggebracht naar 93, waarvan er 11 compleet nieuw zijn. Daarnaast zijn de maatregelen niet meer verdeeld over 14, maar in 4 thema’s:
- Organisatie
- Medewerkers
- Fysiek
- Techniek
Door deze nieuwe verdeling is het makkelijker te bepalen wie de eigenaar is van de betreffende maatregel.
De 11 nieuwe maatregelen zijn vooral bedoeld om meer focus te leggen op preventieve maatregelen en het monitoren van je informatiebeveiligingsmanagementsysteem. Hierdoor zijn maatregelen explicieter en duidelijker toe te passen. Interne audits worden belangrijker. Daarnaast is duidelijker op welk moment bepaalde maatregelen moeten worden toegepast.
Wat betekent de ISO 27001 update voor mij?
Wat de update betekent, ligt aan je situatie. Ben je al gecertificeerd of ben je bezig met de implementatie?
Ik heb mijn ISO 27001 certificaat
Wanneer je jouw ISO 27001:2017 certificaat hebt, maak je gebruik van de overgangsperiode. Er is een overgangsperiode van 3 jaar vastgesteld, wat overeen komt met de hercertificering cyclus. Hercertificering voor de norm vindt ook altijd na 3 jaar plaats. Deze overgangsperiode geeft reeds gecertificeerde organisaties de tijd om over te stappen van ISO 27001:2017 naar ISO 27001:2022.
De deadline om over te stappen naar de vernieuwde ISO 27001 norm is oktober 2025, maar na 1 november 2023 mag alleen nog hercertificering plaatsvinden op ISO 27001:2022.
Tip van Ruud, specialist informatiebeveiliging: “Zorg dat je helemaal klaar bent voor ISO 27001:2022 wanneer je hercertificering plaatsvindt. Wacht dus niet te lang met de voorbereidingen.”
Ik ben bezig met het behalen van mijn ISO 27001 certificaat
Wanneer je al een tijd bezig bent met het implementeren van ISO 27001 en je externe audit staat op korte termijn gepland (voor einde eerste kwartaal 2023), kun je deze gewoon door laten gaan. Je hebt je voorbereid op ISO 27001:2017 en wordt hier ook op ge-audit. Je ontvangt je certificaat en plant je hercertificering in het derde kwartaal van 2025, wanneer je de nieuwe maatregelen van de norm hebt toegepast in je organisatie.
Tip van Ruud, specialist informatiebeveiliging: “Ben je net begonnen met het implementeren van ISO 27001? Richt je direct op de nieuwe versie van ISO 27001, zo ben je volledig bij de tijd wat betreft informatiebeveiliging en hoef je niet meer te voldoen aan achterhaalde eisen. Certificerende instanties zijn ook zover om je op de vernieuwde norm te auditen.”
Ik wil mijn ISO 27001 certificaat behalen
Mooi! Dan certificeer je je voor de vernieuwde norm en ga je volledig met de tijd mee betreft informatiebeveiliging. Heb je ondersteuning nodig bij het behalen van je ISO 27001 certificaat of wil je liever eerst meer informatie ontvangen? Vraag dan eenvoudig een offerte aan of bekijk onze ISO 27001:2022 pagina voor meer informatie.