Op 15 februari 2022 werd de nieuwe versie van de ISO 27001-norm gepubliceerd. De ISO 27002-norm is een uitbreiding op de ISO 27001-norm en specificeert hoe een Information Security Management System (ISMS) er precies moet uitzien. Hoewel een onderneming zich niet kan laten certificeren voor ISO 27002 heeft deze herziening wel gevolgen voor ondernemingen die ISO 27001-gecertificeerd zijn of dit wensen te zijn. We zetten de belangrijkste wijzigingen en implicaties hieronder voor jullie uiteen.
ISO 27001 vs. ISO 27002
First things first, hoe verhouden de beide normen zich ten opzichte van elkaar?
ISO 27001 is de algemene standaard die omschrijft hoe informatiebeveiliging in een organisatie beheerst kan worden en waartegen organisaties zich kunnen laten certificeren om te bewijzen dat ze passende beveiligingsmaatregelen nemen inzake informatie- en databescherming. Certificering voor ISO 27002 daarentegen is niet mogelijk, aangezien dit slechts een ondersteunende norm betreft.
Het raakvlak tussen de twee normen ligt bij de beheersmaatregelen of zgn. “controls”. Waar Bijlage A van ISO 27001 in een lijst van (114) mogelijke beheersmaatregelen voorziet, behandelt ISO 27002 diezelfde lijst van controls maar met een gedetailleerde omschrijving en concrete implementatierichtlijnen voor elk van die maatregelen.
In het kader van een ISO 27001-certificering is het de bedoeling dat organisaties, na het uitvoeren van een grondige risicoanalyse, bepalen welke maatregelen relevant zijn voor hen om eventuele geïdentificeerde risico’s te beperken of verminderen. Hoewel het raadplegen van de ISO 27002-norm bijzonder informatief en nuttig kan zijn tijdens deze fase in het proces, is het gebruik ervan volledig facultatief.
Belangrijkste wijzigingen en implicaties
Om bij te blijven met nieuwe en wijzigende risico’s op het gebied van o.m. informatiebeveiliging, cybersecurity maar ook privacy wordt elke vijf jaar geëvalueerd of een norm moet worden ingetrokken, bevestigd of herzien. De laatste update dateert van 2013, met een aantal kleine aanpassingen in 2017. In 2018 werd echter besloten om beide normen opnieuw te herzien.
Wijzigingen worden voorlopig uitsluitend voorzien voor het geheel van beheersmaatregelen vervat in zowel de ISO 27001 (Bijlage A) als ISO 27002-norm.
De vooropgestelde wijzigingen zijn niet-fundamenteel van aard, maar zijn er voornamelijk op gericht om het implementatieproces te vereenvoudigen. Zo is het aantal beheersmaatregelen (ingevolge diverse samenvoegingen) verminderd van 114 naar 93 maatregelen. Een nieuwe structuurindeling van de ISO 27002-norm moet er daarenboven voor zorgen dat het eenvoudiger is om te bepalen wie de eigenaar wordt van een beheersmaatregel. Ook zijn de controls niet langer onderverdeeld in 14 maar slechts 4 thema’s, met name: (37) organizational controls, (8) people controls, (14)physical controls en (34) technological controls. Tot slot zijn 11 van de 93 overblijvende beheersmaatregelen effectief nieuw en bedoeld om een grotere focus te leggen op het preventieve en monitoring-gedeelte van het ISMS.
Gelet op de sterke verwevenheid van de beide normen zullen de (toekomstige) aanpassingen aan de ISO 27001-norm minstens afgestemd worden op de reeds gepubliceerde wijzigingen aan de ISO 27002-norm. Overige aanpassingen, andere dan deze aan Bijlage A van ISO 27001, worden voorlopig niet voorzien.
Termijnen en overgangsperiode
De herziening van ISO 27001 zal naar verwachting later dit jaar worden gepubliceerd. Voorlopig is er nog geen officiële overgangsperiode bekendgemaakt, al zal deze vermoedelijk worden vastgesteld als onderdeel van de publicatie van de herziene certificeringsnorm en op de gebruikelijke twee jaar worden vastgesteld.
Concreet betekent dit dat organisaties die op termijn gecertificeerd willen zijn of wensen te blijven uiterlijk 2 jaar na de publicatie van de ISO 27001:2022-norm zullen moeten conformeren aan eventuele gewijzigde of bijkomende vereisten.
Wat betekent dit voor jouw organisatie?
Het feit dat de ISO 27002-norm reeds gepubliceerd is sedert midden februari 2022, laat organisaties natuurlijk wel toe om tijdig met de nodige voorbereidingen te starten, maar wat is tijdig? Wat als je net gestart bent met de implementatie van de ISO 27001:2013 of voornemens bent te starten: zet je die implementatie dan verder of wacht je de publicatie van ISO 27001:2022 af? En wat als je reeds gecertificeerd bent: met welke tijdsinvestering houd je best rekening en hoe ga je best te werk?
Belangrijk om voor ogen te houden hierbij is dat ook de certificeringsinstellingen bepaalde tijd nodig zullen hebben om hun auditors bij te scholen en hun accreditatie opnieuw te behalen alvorens zij nieuwe certificeringsaudits kunnen uitvoeren. Zolang zij daar niet toe in staat zijn, kunnen er geen organisaties gecertificeerd worden tegenover de herziene norm en is het bijgevolg ook niet nodig om de transitie als een race tegen de klok te gaan benaderen.
Organisaties die voornemens zijn om ISO 27001:2013 te implementeren of reeds gestart zijn met de implementatie daarvan dienen enerzijds rekening te houden met de datum waarop nieuwe accreditatie van de certificeringsinstellingen (ten vroegste) mogelijk is. Dit moment wordt voorlopig op het einde van Q1 in 2023 geschat. Daarnaast dient ook rekening gehouden te worden met de termijn waarbinnen de organisatie gecertificeerd wenst te geraken. Met andere woorden:
- Indien jouw organisatie een ISO 27001 certificatie voor 31.03.2023 wenst te behalen, wordt aanbevolen om alvast te starten met de implementatie van ISO 27001:2013.
- Indien jouw organisatie een ISO 27001 certificatie na 31.03.2023 wenst te behalen, is het aangewezen om direct te starten met de implementatie van ISO 27001:2022 (van zodra gepubliceerd).
- Indien jouw organisatie reeds ISO 27001 gecertificeerd is, is het aanbevolen om een transitieplan op te stellen waarbij een voorbereidingstijd tot en met 31.03.2023 gehanteerd kan worden.
In elk geval dient voor ogen gehouden te worden dat de vooropgestelde wijzigingen eerder beperkt zijn en voornamelijk betrekking hebben op een reorganisatie van de beheersmaatregelen. Het overgrote deel van de ISO 27001-norm zal onveranderd blijven, waardoor de reeds opgestelde documenten ook grotendeels relevant blijven.
Daarenboven zal in een ruim voldoende overgangsperiode voorzien worden om de transitie succesvol te doorlopen. Dit laatste veronderstelt in elk geval dat het risicobehandelingsproces wordt geüpdatet met de nieuwe beheersmaatregelen, dat de Statement of Applicability wordt bijgewerkt en dat op basis daarvan bepaalde bestaande policies en procedures worden bijgewerkt. Voor reeds gecertificeerde organisaties zal via d
e interne audit geverifieerd worden of de transitie succesvol werd doorlopen.
Hulp nodig?
Heeft jouw organisatie hulp nodig bij de implementatie van ISO 27001:2013 of de transitie naar ISO 27001:2022? Onze gecertificeerde experts helpen graag.
Neem gerust contact op met Olivier Sustronck, onze gecertificeerd Auditor en Implementer via olivier@misterfranklin.be of per telefoon op +32 486 27 53 05 voor een vrijblijvend gesprek!
Je kan ook meer informatie vinden over onze diensten op onze ISO27001 pagina.