De nieuwe ISO/IEC 27001:2022 - belangrijkste wijzigingen

• De nieuwe kenmerken van ISO 27001:2022 in één oogopslag
• High Level Structure wordt geharmoniseerde structuur
• Normatieve veranderingen in ISO/IEC 27001:2022
• De nieuwe Annex A van ISO/IEC 27001:2022
• Wat betekent de update voor uw certificering?
• De nieuwe ISO/IEC 27001:2022 - conclusie

Overzicht van de nieuwe kenmerken van ISO 27001:2022

ISO 27001 beschrijft het kader voor een managementsysteem voor informatiebeveiliging (kortweg ISMS) - en dat voor bedrijven ongeacht de organisatiestructuur, omvang of oriëntatie. De spil hierbij is risicobeheer. Veranderende cyberdreigingen maken voortdurend gebruik van nieuwe potentiële kwetsbaarheden in bedrijven met als doel informatiestromen en dus bedrijfsprocessen aan te vallen en te compromitteren. De risico's die hieruit voortvloeien voor de drie essentiële beschermingsdoelstellingen van informatiebeveiliging - vertrouwelijkheid, integriteit en beschikbaarheid - moeten worden geïdentificeerd en beheerd.

De update van ISO/IEC 27001:2022 gaat in op best practices voor het beheer van deze informatiebeveiligingsrisico's. De lijst van mogelijke controles voor informatiebeveiliging in de normatieve Annex A van de nieuwe ISO/IEC 27001:2022 is identiek afgeleid van de herziene ISO/IEC 27002:2022-leidraad. De implementatierichtlijn werd al in februari van dit jaar aangenomen met een eenvoudiger taxonomie en eigentijdse beveiligingscontroles. Nu de nieuwe ISO/IEC 27001:2022 is gepubliceerd, is de succesvolle ISO-norm tandem 27001/27002 met zijn waardevolle aanbevolen maatregelen weer state of the art.

Een andere belangrijke verandering in de nieuwe ISO/IEC 27001:2022 is dat, met de aanpassing aan de zogenaamde geharmoniseerde structuur, de langverwachte eis van procesgerichtheid centraal komt te staan in een effectief ISMS. De basis van effectieve managementsystemen zijn duidelijke processen en hun interacties, alsmede doelgerichte criteria voor deze processen voor de beheersing ervan.

Hieronder gaan we nader in op de drie wijzigingsgebieden van de nieuwe versie van ISO 27001.

High Level Structure wordt geharmoniseerde structuur

Vanaf mei 2021 wordt de vorige High Level Structure (HLS) opgevolgd door de Harmonized Structure (HS). De HS is de basisstructuur en het sjabloon voor de ontwikkeling van nieuwe en toekomstige herzieningen van bestaande ISO-managementsysteemnormen. ISO/IEC 27001:2022 is een van de eerste managementsysteemnormen die wordt aangepast aan de HS. Diverse verduidelijkingen, toevoegingen, maar ook schrappingen in de HS ten opzichte van de HLS zijn nogal interessant voor gebruikers die bekend zijn met de norm.

Voor ISO/IEC 27001:2022 is echter een belangrijke afleiding van de GS direct zichtbaar. Clausule 6.3 vereist voortaan dat wijzigingen in het ISMS planmatig worden doorgevoerd. Deze eis is bekend uit andere managementsystemen en drukt de verwachting uit dat een ISMS-gerelateerd veranderingsproces wordt beheerst. Zo kan bijvoorbeeld de overgang van de vorige ISO/IEC 27001:2013 naar de nieuwe ISO/IEC 27001:2022 worden opgevat als een verandering van het ISMS die op een geplande manier moet worden doorgevoerd met alle effecten en interacties van dien.

Normatieve wijzigingen in ISO/IEC 27001:2022

Een zeer belangrijke wijziging voegt aan de context van de organisatie in clausule 4.4 de eis toe om de noodzakelijke processen en hun interacties binnen het ISMS te identificeren die nodig zijn voor de implementatie en het onderhoud ervan. Deze expliciete eis brengt ISO/IEC 27001:2022 in overeenstemming met de beste praktijkaanpak van andere managementsystemen volgens HS (HLS). Het managementsysteem voor informatiebeveiliging moet gebaseerd zijn op vastgestelde, traceerbare processen en hun interacties. De informatiebeveiligingscontroles van Annex A worden vervolgens ontworpen en aangepast rond deze processen.

De volgende relevante wijziging in clausule 8.1 benadrukt ook het belang van procesgerichtheid, die alle op GS gebaseerde managementsystemen gemeen hebben. Organisaties moeten processen realiseren als onderdeel van hun operationele planning en controle om de maatregelen ter beheersing van informatiebeveiligingsrisico's uit te voeren. Nieuw is dat er nu procescriteria moeten worden vastgesteld. De procesbeheersing moet overeenkomstig deze criteria worden uitgevoerd.

Voorts zijn in de volgende clausules kleinere verduidelijkingen en specificaties aangebracht:

• Clausule 5.3 is aangevuld met de expliciete eis dat de verantwoordelijkheden en bevoegdheden voor rollen met betrekking tot informatiebeveiliging binnen de organisatie bekend worden gemaakt.
• Clausule 7.4 regelt de noodzaak van interne en externe communicatie over het ISMS. Naast de nog steeds geldende bepalingen over wat, wanneer en met wie, is het hoe van de communicatie een werkbare vereenvoudiging ten opzichte van eerdere eisen.
• Clausule 9.2 Interne audit en 9.3 Management Review zijn aangepast aan de geharmoniseerde structuur. Clausule 9.2 is nu onderverdeeld in 9.2.1 en 9.2.2, clausule 9.3 is onderverdeeld in drie onderverdelingen 9.3.1, 9.3.2 en 9.3.3.
• De volgorde van de punten 10.1 en 10.2 is aangepast aan de geharmoniseerde structuur. Het aspect van prospectieve continue verbetering gaat nu in clausule 10.1 vooraf aan de retrospectieve behandeling van non-conformiteiten en corrigerende maatregelen in clausule 10.2, zonder verdere inhoudelijke wijzigingen. Deze aanpassing benadrukt het belang van het continue verbeteringsproces (CIP).

Een andere verduidelijking heeft betrekking op de selectie van maatregelen voor de aanpak van risico's voor de informatiebeveiliging in clausule 6.1.3, onder c). Deze moeten worden vastgesteld met inachtneming van de resultaten van de risicobeoordeling en worden vergeleken met de controles in Annex A. De aanpak blijft ongewijzigd. In de toelichting bij de vorige ISO 27001 werd echter verwezen naar Annex A met de nogal obsessieve eis dat deze een uitgebreide lijst van controledoelstellingen en -controles moet bevatten.

In de nieuwe ISO/IEC 27001:2022 kan deze verwijzing naar Annex A worden opgevat als een lijst van mogelijke controles voor informatiebeveiliging die opener en dus flexibeler toepasbaar is.

Kortom, Annex A van ISO/IEC 27001:2022 moet nog steeds als geheel worden beschouwd als onderdeel van de verplichte eis in clausule 6.1.3 c), maar de daarin opgenomen reeks individuele informatiebeveiligingsmaatregelen kan flexibeler door de gebruiker worden geselecteerd, ontworpen en uitgebreid. De nieuwe versie van ISO/IEC 27001 benadrukt hier de openstelling van het beheersysteemkader voor organisatiespecifieke reeksen controles.

De nieuwe Annex A van ISO/IEC 27001:2022

De lijst van mogelijke controles voor informatiebeveiliging (IS) in de normatieve Annex A van ISO/IEC 27001:2022 is identiek afgeleid van ISO/IEC 27002:2022. De catalogus van algemene beveiligingscontroles is in februari 2022 gepubliceerd. Daarom waren de wijzigingen in Annex A van ISO/IEC 27001:2022 al enige tijd te voorzien. Voorheen bevatte Annex A in totaal 114 controles die konden worden gebruikt om informatiebeveiligingsrisico's aan te pakken onder 35 controledoelstellingen die in 14 clausules waren georganiseerd.

Afgezien van het feit dat de nieuwe ISO/IEC 27001:2022 de controledoelstellingen schrapt, zijn de controles voor informatiebeveiliging in Annex A herzien, geactualiseerd en aangevuld en gereorganiseerd met enkele nieuwe controles.

De voormalige 14 clausules van Annex A zijn nu gericht op de 4 volgende onderwerpen:

A.5 Organisatorische controles (met 37 controles).

A.6 Persoonlijke controles (met 8 controles).

A.7 Fysieke controles (met 14 controles).

A.8 Technische controles (met 34 controles).

Annex A van de nieuwe ISO/IEC 27001:2022-versie bevat nu in totaal 93 controles, waarvan de volgende 11 controles nieuw zijn:

A.5.7 Threat Intelligence

A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten

A.5.30 ICT-paraatheid voor bedrijfscontinuïteit

A.7.4 Toezicht op fysieke beveiliging

A.8.9 Configuratiebeheer

A.8.10 Verwijdering van informatie

A.8.11 Afscherming van gegevens

A.8.12 Preventie van datalekken

A.8.16 Activiteitenbewaking

A.8.23 Webfiltering

A.8.28 Beveiligde codering

Terwijl Annex A van ISO/IEC 27001:2022 zich beperkt tot het benoemen van de controles, biedt de ISO/IEC 27002:2022-implementatiegids verdere mogelijkheden om ze te categoriseren. Daar worden aan elke controle vijf attributen toegekend die verschillende visies en perspectieven erop mogelijk maken. De attributen of hun attribuutwaarden kunnen worden gebruikt om te filteren, te sorteren of weer te geven voor verschillende organisatorische weergaven.

De vijf attributen zijn:

Control Type is een attribuut voor de weergave van de controles vanuit het perspectief van wanneer en hoe een maatregel het risico met betrekking tot het optreden van een informatiebeveiligingsincident verandert.

Informatiebeveiligingseigenschappen is een attribuut voor het bekijken van controles vanuit het perspectief van welk beschermingsdoel de maatregel moet ondersteunen.

Cybersecurity Concepts bekijkt controls vanuit het perspectief van hoe zij passen in het cybersecurity framework beschreven in ISO/IEC TS 27110.

Operational Capability bekijkt controles vanuit het perspectief van hun operationele informatiebeveiligingsmogelijkheden en ondersteunt een praktische gebruikersvisie op de maatregelen.

Beveiligingsdomeinen is een attribuut waarmee controles kunnen worden bekeken vanuit het perspectief van vier informatiebeveiligingsdomeinen.

Wat betekent de update voor uw certificering?

De nieuwe en verbeterde versie van ISO/IEC 27001 is gepubliceerd op 25 oktober 2022. Dit resulteert in de volgende overgangstermijnen en deadlines voor gebruikers van de norm:

• Certificeringsgereedheid volgens ISO/IEC 27001:2022
  -> waarschijnlijk vanaf februari - april 2023
  (afhankelijk van de Duitse accreditatie-instelling DAkkS).
• Uiterste datum voor initiële/hercertificeringsaudits volgens de oude ISO 27001:2013
  -> 18 maanden na publicatie van de nieuwe ISO/IEC 27001:2022.
• Overgang van alle bestaande certificaten naar de nieuwe ISO/IEC 27001:2022
  -> 3 jaar, gerelateerd aan laatste dag van uitgiftemaand van
  ISO/IEC 27001:2022 (oktober 2025).

De termijnen voor de overgang zijn ISO-standaard.

De nieuwe ISO/IEC 27001:2022 - Conclusie

De nieuwe ISO/IEC 27001:2022 is beschikbaar. Dit markeert het begin van de overgangsperiode van 3 jaar.

Samengevat zijn de belangrijkste vernieuwingen de volgende:

• Conformiteit van het managementsysteem met de geharmoniseerde structuur.
• Nadruk op procesoriëntatie, de interacties en criteria daarvan.
• Vereenvoudigde en gestroomlijnde indeling van de controles in thematische blokken.
• Hedendaagse maatregelen afgestemd op de huidige organisatiemethoden en de bijbehorende bedreigingen.
• Attributen voor het afstemmen van controles op diverse risicobeheermethoden, waaronder wereldwijde kaders voor cyberbeveiliging.

Vertrouwen en expertise

Onze teksten en brochures worden uitsluitend geschreven door onze normdeskundigen of langjarige controleurs. Als u vragen heeft over de inhoud van de tekst of onze diensten aan onze auteur, stuur ons dan gerust een e-mail.