Normatieve wijzigingen in ISO/IEC 27001:2022
Een zeer belangrijke wijziging voegt aan de context van de organisatie in clausule 4.4 de eis toe om de noodzakelijke processen en hun interacties binnen het ISMS te identificeren die nodig zijn voor de implementatie en het onderhoud ervan. Deze expliciete eis brengt ISO/IEC 27001:2022 in overeenstemming met de beste praktijkaanpak van andere managementsystemen volgens HS (HLS). Het managementsysteem voor informatiebeveiliging moet gebaseerd zijn op vastgestelde, traceerbare processen en hun interacties. De informatiebeveiligingscontroles van Annex A worden vervolgens ontworpen en aangepast rond deze processen.
De volgende relevante wijziging in clausule 8.1 benadrukt ook het belang van procesgerichtheid, die alle op GS gebaseerde managementsystemen gemeen hebben. Organisaties moeten processen realiseren als onderdeel van hun operationele planning en controle om de maatregelen ter beheersing van informatiebeveiligingsrisico's uit te voeren. Nieuw is dat er nu procescriteria moeten worden vastgesteld. De procesbeheersing moet overeenkomstig deze criteria worden uitgevoerd.
Voorts zijn in de volgende clausules kleinere verduidelijkingen en specificaties aangebracht:
- Clausule 5.3 is aangevuld met de expliciete eis dat de verantwoordelijkheden en bevoegdheden voor rollen met betrekking tot informatiebeveiliging binnen de organisatie bekend worden gemaakt.
- Clausule 7.4 regelt de noodzaak van interne en externe communicatie over het ISMS. Naast de nog steeds geldende bepalingen over wat, wanneer en met wie, is het hoe van de communicatie een werkbare vereenvoudiging ten opzichte van eerdere eisen.
- Clausule 9.2 Interne audit en 9.3 Management Review zijn aangepast aan de geharmoniseerde structuur. Clausule 9.2 is nu onderverdeeld in 9.2.1 en 9.2.2, clausule 9.3 is onderverdeeld in drie onderverdelingen 9.3.1, 9.3.2 en 9.3.3.
- De volgorde van de punten 10.1 en 10.2 is aangepast aan de geharmoniseerde structuur. Het aspect van prospectieve continue verbetering gaat nu in clausule 10.1 vooraf aan de retrospectieve behandeling van non-conformiteiten en corrigerende maatregelen in clausule 10.2, zonder verdere inhoudelijke wijzigingen. Deze aanpassing benadrukt het belang van het continue verbeteringsproces (CIP).
Een andere verduidelijking heeft betrekking op de selectie van maatregelen voor de aanpak van risico's voor de informatiebeveiliging in clausule 6.1.3, onder c). Deze moeten worden vastgesteld met inachtneming van de resultaten van de risicobeoordeling en worden vergeleken met de controles in Annex A. De aanpak blijft ongewijzigd. In de toelichting bij de vorige ISO 27001 werd echter verwezen naar Annex A met de nogal obsessieve eis dat deze een uitgebreide lijst van controledoelstellingen en -controles moet bevatten.
In de nieuwe ISO/IEC 27001:2022 kan deze verwijzing naar Annex A worden opgevat als een lijst van mogelijke controles voor informatiebeveiliging die opener en dus flexibeler toepasbaar is.
Kortom, Annex A van ISO/IEC 27001:2022 moet nog steeds als geheel worden beschouwd als onderdeel van de verplichte eis in clausule 6.1.3 c), maar de daarin opgenomen reeks individuele informatiebeveiligingsmaatregelen kan flexibeler door de gebruiker worden geselecteerd, ontworpen en uitgebreid. De nieuwe versie van ISO/IEC 27001 benadrukt hier de openstelling van het beheersysteemkader voor organisatiespecifieke reeksen controles.
De nieuwe Annex A van ISO/IEC 27001:2022
De lijst van mogelijke controles voor informatiebeveiliging (IS) in de normatieve Annex A van ISO/IEC 27001:2022 is identiek afgeleid van ISO/IEC 27002:2022. De catalogus van algemene beveiligingscontroles is in februari 2022 gepubliceerd. Daarom waren de wijzigingen in Annex A van ISO/IEC 27001:2022 al enige tijd te voorzien. Voorheen bevatte Annex A in totaal 114 controles die konden worden gebruikt om informatiebeveiligingsrisico's aan te pakken onder 35 controledoelstellingen die in 14 clausules waren georganiseerd.
Afgezien van het feit dat de nieuwe ISO/IEC 27001:2022 de controledoelstellingen schrapt, zijn de controles voor informatiebeveiliging in Annex A herzien, geactualiseerd en aangevuld en gereorganiseerd met enkele nieuwe controles.
De voormalige 14 clausules van Annex A zijn nu gericht op de 4 volgende onderwerpen:
A.5 Organisatorische controles (met 37 controles).
A.6 Persoonlijke controles (met 8 controles).
A.7 Fysieke controles (met 14 controles).
A.8 Technische controles (met 34 controles).
Annex A van de nieuwe ISO/IEC 27001:2022-versie bevat nu in totaal 93 controles, waarvan de volgende 11 controles nieuw zijn:
A.5.7 Threat Intelligence
A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten
A.5.30 ICT-paraatheid voor bedrijfscontinuïteit
A.7.4 Toezicht op fysieke beveiliging
A.8.9 Configuratiebeheer
A.8.10 Verwijdering van informatie
A.8.11 Afscherming van gegevens
A.8.12 Preventie van datalekken
A.8.16 Activiteitenbewaking
A.8.23 Webfiltering
A.8.28 Beveiligde codering
Terwijl Annex A van ISO/IEC 27001:2022 zich beperkt tot het benoemen van de controles, biedt de ISO/IEC 27002:2022-implementatiegids verdere mogelijkheden om ze te categoriseren. Daar worden aan elke controle vijf attributen toegekend die verschillende visies en perspectieven erop mogelijk maken. De attributen of hun attribuutwaarden kunnen worden gebruikt om te filteren, te sorteren of weer te geven voor verschillende organisatorische weergaven.
De vijf attributen zijn:
Control Type is een attribuut voor de weergave van de controles vanuit het perspectief van wanneer en hoe een maatregel het risico met betrekking tot het optreden van een informatiebeveiligingsincident verandert.
Informatiebeveiligingseigenschappen is een attribuut voor het bekijken van controles vanuit het perspectief van welk beschermingsdoel de maatregel moet ondersteunen.
Cybersecurity Concepts bekijkt controls vanuit het perspectief van hoe zij passen in het cybersecurity framework beschreven in ISO/IEC TS 27110.
Operational Capability bekijkt controles vanuit het perspectief van hun operationele informatiebeveiligingsmogelijkheden en ondersteunt een praktische gebruikersvisie op de maatregelen.
Beveiligingsdomeinen is een attribuut waarmee controles kunnen worden bekeken vanuit het perspectief van vier informatiebeveiligingsdomeinen.