Wie al wat langer meeloopt in ISO- en managementsysteemland, heeft het al eens eerder meegemaakt: een update aan een norm. Deze keer was de ISO 27002 norm, die alweer dateert uit 2013, aan de beurt voor een opfrisbeurt. Onlangs (februari 2022) is de nieuwe versie, ISO 27002:2022, gepubliceerd. De ISO 27002 vormt de basis voor de annex A van de ISO 27001 norm en bevat praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging. Wat zijn de belangrijkste wijzigingen in de ISO 27002 norm? En wat betekent dat (in de praktijk) voor jouw organisatie?
De belangrijkste ISO 27002 veranderingen op een rij
Eén van de doelen van ISO voor de introductie van de nieuwe 27002 is om inhoudelijk bij de tijd te blijven. Daarnaast is er gekeken naar een meer logische en praktische indeling waarmee beter de aansluiting kan worden gemaakt bij de juiste verantwoordelijken. Bovendien biedt de norm als hulpmiddel nieuwe ‘attributen’ ten behoeve van overzichtelijke selectie, groepering e.d., gebaseerd op het type maatregel (preventief, correctief) en of de maatregel invloed heeft op Beschikbaarheid, Integriteit en Vertrouwelijkheid.
Wat is er dan veranderd in de nieuwe ISO 27002 norm? We zetten de belangrijkste wijzigingen op een rij:
- Inhoudelijk verandert de ISO 27002 door een nieuwe indeling/categorisering.
- Diverse bestaande beheersmaatregelen zijn samengevoegd. Het aantal controls is daardoor teruggebracht van 114 naar 93.
- De norm is uitgebreid met 11 nieuwe beheersmaatregelen.
Wat betekent dit voor jouw organisatie?
Organisaties die ISO 27001 gecertificeerd zijn (of willen worden) dienen in de komende tijd hun informatiebeveiligingsmanagementsysteem (ISMS) en verklaring van toepasselijkheid aan te passen/in te richten op basis van de nieuwe ISO 27002 (/Annex A). Daarvoor wordt, naar verwachting, een overgangsperiode van drie jaar gehanteerd (de precieze richtlijnen hiervoor moeten nog worden bepaald). Wanneer je een ISO 27001-gecertificeerde organisatie bent, dan is het zaak om binnen die transitieperiode de transitie te maken naar ISO 27002:2022. Als ISO 27001-gecertificeerde organisatie kun je daarbij het jaar waarin de hercertificeringsaudit valt als uitgangspunt nemen. Je kunt er dan naar streven dat je ISMS op de nieuwe norm is aangepast zodra de audit plaatsvindt.
Voor organisaties die op dit moment in het implementatie-/certificeringstraject zitten en dat naar verwachting in 2022 zullen afronden, is het aan te raden om de nieuwe ISO 27002-norm bij de implementatie al mee te nemen en vooralsnog te werken met een Verklaring van Toepasselijkheid waarin zowel de maatregelen en normindeling van de oude als de nieuwe Annex A/ISO 27002 terug te vinden zijn. Organisaties die nog in het implementatie-/certificeringstraject zitten en dat naar verwachting niet voor het eind van 2022 zullen afronden, kunnen het beste direct de nieuwe ISO 27002 als ‘Annex A’ beschouwen en als uitgangspunt gebruiken voor de risicoanalyse, beheersmaatregelen en Verklaring van Toepasselijkheid.
Impact op jouw organisatie
De mate van impact op organisaties die reeds ISO 27001 gecertificeerd zijn, is met name afhankelijk van:
- De manier waarop de huidige risicoanalyse is ingestoken (zijn de risico’s 1:1 afgeleid van de beheersmaatregelen in de Annex A, of zelfstandig geïdentificeerd op basis van inzicht en actualiteiten?).
- De wijze waarop de beheersmaatregelen zijn geïnterpreteerd en ingevuld (in welke mate is op eigen initiatief al aansluiting gezocht/gevonden bij securityontwikkelingen die nu formeel in de beheersmaatregelen zijn verwerkt?).
- De vormgeving van het huidige ISMS (is deze op norm/normparagraaf gebaseerd, of op basis van processen ingericht?).
Ben je benieuwd naar de impact van de wijzigingen op jouw organisatie? Doe dan, geheel gratis, de ISO 27002 zelftest. Aan de hand van een aantal gerichte vragen krijg je een passend advies waarmee je kunt bepalen hoe groot de impact is op jouw organisatie.
