BLOG – De ISO27001 is een wereldwijd erkende standaard op het gebied van informatiebeveiliging. Veel organisaties zijn gecertificeerd om aan te tonen dat zij informatiebeveiliging serieus nemen, geïnitieerd vanuit klanteisen, andere stakeholders of vanuit een eigen intrinsieke motivatie. De ISO27001 staat daarmee ook wel te boek als kwaliteitskeurmerk.
Mocht je certificering niet nodig vinden, ook dan is de ISO27001-standaard een gedegen instrument om informatiebeveiliging als managementsysteem in te richten binnen je eigen organisatie.
Even een paar details. Er geldt een overgangsperiode van drie jaar, waarin zowel de oude als de nieuwe norm geldig zijn. Organisaties hebben tot 1 november 2025 de tijd om hun bestaande certificaten over te zetten naar de nieuwe versie. The International Organization of Standardization (ISO) ontwikkelt de ISO-standaarden, die zij ook benoemen als ‘een formule die beschrijft hoe de dingen te doen op de beste manier’. Periodiek worden de standaarden bijgeschaafd. Voor de ISO27001 is dit een update in 2022 (officieel ISO/IEC 27001:2022) ten opzichte van de voorlaatste versie in 2013. Bepaalde wijzigingen hebben een impact op de organisatie, bedrijfsvoering en processen. Dit houdt in dat er bepaalde acties genomen moeten worden. Over het algemeen zijn er de volgende wijzigingen.
In de norm zien we een aantal belangrijke tekstuele aanpassingen in de hoofdstukken 4, 6 en 8. Zo is bijvoorbeeld meer aandacht voor de behoeften en verwachtingen van de stakeholders (4.2). Een andere wijziging is dat in hoofdstuk 8 gesproken wordt over het beheersen van extern geleverde processen en diensten, relevant voor het ISMS. Deze toevoeging kan een behoorlijke impact hebben, namelijk het opzetten dan wel uitbreiden van de leveranciersselectie en de bijbehorende producten en diensten. Let wel, het gaat dus niet alleen om kritische leveranciers of outsourcing maar over alle externe geleverde processen, diensten en producten. Ook in de andere hoofdstukken (5,7,9 en 10) zitten er (kleine) aanpassingen.
Dan kijken we naar Annex A, ook de bijlage van de standaard genoemd. In het algemeen zien we daar:
- 11 nieuwe controls;
- 24 controls samengevoegd;
- 58 controls hernoemd.
Voorheen waren er veertien categorieën van controls. Nu zijn er vier thema’s:
- People;
- Organizational;
- Technological;
- Physical.
Belangrijk evenwel zijn de elf nieuwe controls, die voor reeds gecertificeerde organisaties impact zullen hebben. Zo is er aandacht voor threat intelligence. Organisaties die voor dit onderwerp nog niets geregeld hebben, zullen dit moeten integreren in hun risicoanalyse, evaluatie en mitigatie. Door middel van threat intelligence is de informatie over dreigingen te koppelen aan de mitigatie van risico’s.
Een overzicht van de elf nieuwe controls:
- A.5.7 Informatie en analyses over dreigingen;
- A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten;
- A.5. 30 ICT gereedheid2 voor bedrijfscontinuïteit;
- A.7.4 Monitoren van de fysieke beveiliging;
- A.8.9 Configuratiebeheer;
- A.8.10 Wissen van informatie;
- A.8.11 Maskeren3 van gegevens;
- A.8.12 Voorkomen van gegevenslekken;
- A.8.16 Monitoring activiteiten;
- A.8.23 Het toepassen van webfilters;
- A.8.28 Veilig coderen.
Aanvullend is er een nog update verschenen: ISO-IEC 27001:2022/Amd 1: 2024 (Climate action changes). Hierin wordt geadresseerd om rekening te houden met de mogelijke effecten van klimaatverandering, Dit is vooral van toepassing voor clausule 4.1 en 4.2 van de norm.
Hoe nu verder?
Ben je als organisatie ISO27001-gecertificeerd? Dan hoef je je niet direct zorgen te maken. Zoals gezegd is er een transitieperiode waarin de ruimte wordt geboden om te voldoen aan de wijzigingen en toevoegingen in de nieuwe norm.
Het is aan te raden om:
- Te beginnen met een gap-analyse: maak een mapping tussen de bestaande controls en de hernieuwde norm en controls. Bepaal of en welke wijzigingen nodig zijn om te voldoen aan de nieuwe norm en controls;
- Implementeer de nieuwe controls en aanvullende maatregelen/activiteiten: op basis van het inzicht verkregen uit de gap-analyse kun je aan de slag. Zo kun je de nieuwe controls vertalen naar de huidige bedrijfsvoering en ook de aanvullende acties en maatregelen uitvoeren en borgen;
- Voer een nieuwe interne audit- en management-review uit op basis van de nieuwe versie van ISO27001;
- Maak een goede planning van voorgaande stappen zodat je tijdig een nieuwe audit bij een Certificerende Instelling (CI) kan inplannen. Vergeet daarbij niet dat ook de CI’s een drukke periode tegemoet gaan.
Zo ben jij straks op 1 november 2025 ISO27001-ready.
Nandenie Moenielal is strategisch adviseur security bij Legian