Normen en standaardisatie-instituut NEN heeft een herziene versie gepubliceerd van ISO 27002. Dat heeft ook gevolgen voor ISO 27001. We zetten op een rij wat er is veranderd, op welke termijn dit gaat gebeuren en wat de gedachte achter die wijzigingen is.
ISO 27002 is een praktijkrichtlijn met beheersmaatregelen voor informatiebeveiliging. ‘Die lijst van mogelijk te nemen maatregelen is een soort van best practice guide om informatiebeveiliging te verbeteren. Het is de bedoeling dat organisaties door middel van een risicoanalyse zelf maatregelen selecteren’, licht Hugo Leisink, senior adviseur cybersecurity bij het NCSC en lid van de NEN-normcommissie voor informatiebeveiligingsnormen, toe. NEN: ‘De norm is ontwikkeld voor organisaties van elk type en elke omvang en moet zaken als afpersing, diefstal van data en uitval van ict-diensten voorkomen.’
Om bij te blijven bij de veranderingen op het gebied van security wordt de norm om de vijf jaar aangepast. De belangrijkste wijzigingen ten opzichte van de vorige versie uit 2017 zijn (volgens NEN): Een nieuwe structuurindeling van de norm, daardoor is het eenvoudiger om te bepalen wie de eigenaar wordt van een beheersmaatregel. Ook zijn die beheersmaatregelen verdeeld in vier hoofdstukken. Namelijk: organisatorische maatregelen, mensen, fysieke maatregelen en technologische maatregelen.’
NEN: ‘In het proces moet de norm op Europees niveau nog worden aanvaard. Naar verwachting wordt de norm pas na augustus 2022 aangepast. De Nederlandse vertaling van de herziene versie wordt waarschijnlijk op korte termijn gepubliceerd.’
27001 en 27002
De wijziging van ISO 27002 heeft ook gevolgen voor ISO 27001. ISO 27001 is een norm om informatiebeveiliging op managementniveau in te richten. Voor ISO 27001 kunnen organisaties zich laten certificeren. Leisink: ‘Daarbij wordt dus niet zo zeer gekeken of organisaties hun beveiliging op orde hebben, maar of het organiseren van informatiebeveiliging op orde is. Dat moet uiteindelijk leiden tot een daadwerkelijke verbetering van informatiebeveiliging.’
Hij vervolgt: ‘Achterin 27001 zit een lijst van de maatregelen, deze worden controls genoemd en die staan in 27002. Zie het als een soort van 27002 index of hoofstukindeling die achter in 27001 staat.’
Hij wijst erop dat, doordat 27002 vernieuwd is, de 27002-index in 27001 niet meer klopt en ook bijgewerkt zal moeten worden. ‘Als dat gebeurt, is de kans groot dat ze naast die 27002 index ook wat andere verbeteringen doorvoeren.’ Volgens NEN volgt in mei of juni van dit jaar een nieuwe versie van ISO 27001 die aansluit op ISO 27002.
Webinar
NEN organiseert een informatiebijeenkomst over de herziening van ISO 27002 op 10 maart 2022 van 10.00 tot 11.30 uur. Belanghebbende partijen komen dan meer te weten over de nieuwste ontwikkelingen rondom ISO 27002. Daarnaast is er tijd voor vragen. Aanmelden voor dat webinar kan hier
