De verschillen tussen de ISO 27001:2022 en de ISO 27001:2013

De nieuwe ISO 27001:2022 is uitgekomen; wat zijn de verschillen met de oude ISO 27001:2013?

Er is een nieuwe ISO 27001:2022 uitgekomen. Graag vertel ik je meer over de aanleiding voor de publicatie van de nieuwe ISO 27001 en de meest in het oog springende wijzigingen in vergelijking met de ISO 27001:2013.

De beïnvloeding van de ISO 27002 op de ISO 27001

De aanleiding voor de nieuwe ISO 27001:2022 is de aanpassing van de ISO 27002. De ISO 27002 beïnvloedt namelijk de ISO 27001.

De ISO 27001:2022 is een managementsysteem, net zoals de ISO 9001 en de ISO 14001. Het geeft aan hoe je de informatiebeveiliging moet managen. De ISO 27001:2022 verwijst via haar bijlage A, naar de ISO 27002:2022.  

Binnen de ISO 27002:2022 zijn mogelijke beheersmaatregelen opgesomd. Het is een overzicht van mogelijke maatregelen die je als organisatie moet uitvoeren om de risico' s op een aanvaardbaar niveau te krijgen en te houden. Meer staat er niet in de ISO 27001:2022. Het is geen managementsysteem en het is dan ook niet mogelijk om voor de ISO 27002:2022 gecertificeerd te worden. 

Begin vorig jaar werd de ISO 27002:2022 aangepast. Logisch ook omdat de technologische ontwikkelingen hard gaan en de ISO 27002 met haar beheersmaatregelen daar wel in mee moet gaan. De ISO 27002 is dan ook uitgebreid met een aantal maatregelen die gebaseerd zijn op nieuwe technologische ontwikkelingen. 

Doordat de ISO 27001 verwijst naar de ISO 27002 kon de ISO 27001 dus niet achterblijven. De beheersmaatregelen in de bijlage A zijn immers direct afgeleid van die uit de ISO 27002:2022. De wijzigingen binnen de ISO 27002 zijn dan ook geheel overgenomen binnen de nieuwe ISO 27001:2022.

Wat is er gewijzigd binnen de ISO 27001:2022?

Zoals je waarschijnlijk wel weet zijn veel systeemnormen gebaseerd op de High Level Structure (HLS). De HLS is de basisstructuur met kerneisen waaraan managementsystemen moeten voldoen. Inmiddels is de High Level Structure gewijzigd naar de Harmonized Structure (HS). Er is afgesproken dat wanneer een managementsysteem norm wijzigt, deze meteen overgaat naar de nieuwe HS. Dat is ook met de ISO 27001 gebeurd. Dit heeft voor het managementsysteem-gedeelte van de norm een aantal (geringe) wijzigingen tot gevolg. Hieronder som ik ze voor je op:

  • Scope: Binnen de scope moet het beoogd resultaat van het informatiebeveiligingssysteem (ISMS) worden benoemd. 
  • Termen en definities: Worden nu binnen de norm opgenomen.  Maakt voor de toepassing van de norm niets uit.
  • Van uitbesteden naar extern geleverde processen, producten en diensten: Deze wijziging is gemaakt om misverstanden uit de weg te ruimen. Zo was er veel discussie of het werken met contractors onder inkoop viel of niet. Dat is hiermee opgelost.
  • Stakeholdereisen: Je moet nu ook aangeven welke van deze eisen binnen het ISMS worden geadresseerd. Let op dat je dat dan ook inderdaad ook doet. Dus niet alleen binnen de stakeholdersanalyse aangeven wat de eisen van de stakeholders zijn maar je geeft ook aan waar je dat hoe hebt geregeld.
  • Management of change: Toegevoegd is nu paragraaf 6.3. Hierin wordt geregeld dat de organisatie wijzigingen binnen haar managementsysteem op vooraf geplande manier moet uitvoeren.
  • Gedocumenteerde informatie: Er wordt nu gesproken over het beschikbaar zijn van gedocumenteerde informatie. 
  • Verbetering: De enige wijziging hier is het omdraaien van de volgorde van de twee paragraven uit hoofdstuk 10. De reden is dat er anders teveel nadruk op het leren van correcties zou liggen en minder op het continue verbeteren. Of een andere volgorde van paragraven dat gaat bereiken is natuurlijk maar de vraag.

De verklaring van toepasselijkheid lijkt flink gewijzigd

De ISO 27002:2022 is zo op het eerste gezicht wel behoorlijk op zijn kop gegaan. Het aantal beheersmaatregelen is teruggebracht van 114 naar 93., waarvan er 11 nieuw zijn. Wanneer je de wijzigingen echter beter bekijkt zie je dat er vooral sprake is van een clustering van maatregelen. In één zin kun je meerdere beheersmaatregelen benoemen. En dat is dan ook gebeurd. Er zijn dan ook geen beheersmaatregelen weggelaten maar geclusterd.

De belangrijkste wijziging betreft dan ook de 11 nieuwe beheersmaatregelen. Deze maatregelen variëren van webfiltering tot aan het moeten hebben van een proces om veilig software te kunnen ontwikkelen. 

Daarnaast is de indeling van de ISO 27002:2022 wat slimmer geworden. Dat maakt het gebruik ervan ook wat makkelijker.

Al met al vallen deze wijzigingen in de praktijk mee. Voor onze klanten die actief werken met ons ISO 27001-systeem hebben wij een gratis update klaar staan binnen ISOcademy.  

Wat betekent de nieuwe ISO 27001:2022 in de praktijk?

De wijzigingen binnen het managementgedeelte van de nieuwe ISO 27001:2022 zijn goed te overzien. Die zullen slechts tot kleine aanpassingen leiden. De wijzigingen van de verklaring van toepasselijkheid hoeven ook niet zo'n grote impact te hebben. Het ligt er vooral aan hoe je de risico-analyse hebt aangevlogen. Wanneer je de verklaring van toepasselijkheid als uitgangspunt hebt genomen heb je wel wat te doen. Je kunt jouw risicoanalyse dan het beste opnieuw uitvoeren. Vooral de 11 nieuw beheersmaatregelen zullen dan jouw aandacht moeten krijgen. Wellicht zul je daarvoor de genoemde beheersmaatregelen nog in de praktijk moeten invoeren. 

Wanneer je voor de risico-analyse jouw eigen organisatie als uitgangspunt hebt genomen, met de processen, mensen, middelen etc. die je gebruikt, heb je waarschijnlijk al een deel (of zelfs alle) van de 11 nieuwe beheersmaatregelen getackeld. Het zijn immers beheersmaatregelen die zijn toegevoegd omdat ze in de huidige tijdsgeest vooral aandacht vragen. Met een beetje geluk hoef je die dus alleen maar af te vinken en heb je de beheersmaatregelen al in de praktijk ingebed.   

Zelf aan de slag met de nieuwe ISO 27001:2022

Wanneer ook jij precies wilt weten wat de wijzigingen zijn en de beschikking wilt hebben over de benodigde templates, handleidingen en documentatie om zelf een informatiebeveiligingssysteem op te zetten, dan kun je deze hier bestellen. Dit is ook interessant voor organisaties die al ISO 27001 gecertificeerd zijn. Onderdeel van dit pakket is ook een verwijslijst van de nieuwe paragraven van de Verklaring van Toepasselijkheid naar de nieuwe. Dat maakt, samen met de overige templates, de omzetting naar de ISO 27001:2022 wel zo makkelijk.