Transitie naar ISO 27001:2022 –
Essentiële Informatie en Voorbereidingstips

De meest recente editie, ISO/IEC 27001:2022, brengt nieuwe uitdagingen naar voren waarmee organisaties geconfronteerd worden. De voornaamste wijzigingen vinden we in Bijlage A, anticiperend op de aankomende ISO/IEC 27002, waarin nieuwe beveiligingsmaatregelen geïntroduceerd, aangepast of samengevoegd zijn. Daarnaast is er een uitbreiding naar cyberbeveiliging en privacyaspecten, en is de controleterminologie vernieuwd met toegevoegde richtlijnen. Dit ondersteunt organisaties bij het risicobeheer en zorgt ervoor dat belangrijke aspecten niet over het hoofd worden gezien, terwijl tevens een effectieve opvolging wordt gewaarborgd.

Tegen de achtergrond van de snelle evolutie op het gebied van beveiliging, is de vorige versie, daterend uit 2013, inmiddels ingrijpend geactualiseerd. De updates op het gebied van beveiligingscontroles zijn aanzienlijk: 11 nieuwe, 58 bijgewerkte en 24 samengevoegde controles. Belangrijke bijgewerkte scenario’s omvatten onder andere:

• Adoptie van digitale technologieën zoals cloud en automatisering.
• Toegenomen gebruik van deze technologieën in recente tijden.
• Bewustwording van cyberbeveiligings- en privacyrisico’s.
• Reflectie op het veranderende dreigingslandschap, inclusief nieuwe typen malware en ransomware.
• Afstemming met andere erkende best practices zoals NIST en COBIT.
• Vernieuwing van controleterminologie en invoering van extra richtlijnen.

Vervolgens worden de belangrijkste gebieden die door deze wijzigingen worden beïnvloed, belicht:

• Leiderschap
• Bedrijfsbeveiliging
• IT-functie
• Overige ondersteunende functies
• Levering (voor serviceproviders)

Als gevolg hiervan zullen organisaties hun risicobeoordelingen moeten herzien en hun beveiligingscontroles opnieuw moeten configureren om aan de nieuwe eisen te voldoen.

Als laatste, zullen organisaties hun risicobeoordelingen moeten herzien en hun beveiligingscontroles moeten reconfigureren om aan de nieuwe eisen te voldoen.

Bovendien is de 2022-editie afgestemd op de meest recente veranderingen in ISO’s High-Level Structure (HLS). Deze aanpassingen zijn gebaseerd op de nieuwste editie van Bijlage SL van de ISO/IEC-richtlijnen deel 1 (2022). Echter, deze aanpassingen worden gezien als minimaal, aangezien de 2013-editie al een van de eerste normen was die de HLS implementeerde.

Om de transitie naar de nieuwe ISO 27001:2022 norm soepel te laten verlopen, zijn er enkele belangrijke stappen die organisaties moeten nemen:

1. Voer een gap-analyse uit:
Identificeer de verschillen tussen uw huidige ISMS en de nieuwe ISO 27001:2022 norm. Dit houdt in het naast elkaar leggen van uw huidige handboek, risicoanalyse, risicobehandelplan, Verklaring van Toepasselijkheid (VVT) en de configuratie van de nieuwe en veranderde controls.

2. Stel een actieplan op:
Gebaseerd op de gap-analyse, bepaal welke acties noodzakelijk zijn om uw ISMS aan te passen aan de nieuwe norm. Wijs hierbij verantwoordelijkheden toe en stel deadlines voor het voltooien van deze acties.

3. Update uw risicoanalyse en behandelplan:
Controleer uw huidige maatregelen met de nieuwe Annex A van ISO 27001:2022 om te bevestigen of er geen essentiële maatregelen ontbreken. Pas uw risicoanalyse en behandelplan aan op basis van deze vergelijking.

4. Pas uw Annex A controls aan:
Implementeer de 11 nieuwe beheersmaatregelen en samengevoegde maatregelen uit de nieuwe norm. Gebruik de nieuwe ISO 27002 als leidraad voor best practices.

5. Herziening van de VVT:
Update uw VVT om te voldoen aan de nieuwe Annex A.

6. Voer een interne audit uit:
Voer een interne audit uit op uw bijgewerkte ISMS om te verifiëren of deze voldoet aan de nieuwe ISO 27001:2022 eisen. Identificeer eventuele tekortkomingen en stel een plan op om deze aan te pakken.

7. Beheer de transitie:
Informeer alle betrokkenen binnen uw organisatie over de veranderingen en zorg voor passende opleiding en bewustwording. Zorg voor effectieve communicatie tussen alle betrokken afdelingen en teams.

8. Externe audit en certificering:
Bereid u voor op de externe audit door een certificerende instantie. Zorg ervoor dat u alle nodige documentatie, bewijsmateriaal en plannen gereed heeft om te laten zien dat u voldoet aan de nieuwe norm.

9. Continu verbeteren:
Tot slot, na certificering van uw organisatie volgens ISO 27001:2022, blijf streven naar verbetering. Gebruik de resultaten van uw interne en externe audits om uw ISMS verder te verbeteren en te optimaliseren.

Hoewel de transitie naar ISO 27001:2022 complex en tijdrovend kan zijn, is het met goede voorbereiding en planning mogelijk om de veranderingen vloeiend en efficiënt te implementeren. Door de stappen in dit artikel te volgen en de nieuwe norm als leidraad te gebruiken, kunt u ervoor zorgen dat uw organisatie voldoet aan de eisen van ISO 27001:2022 en profiteert van verbeterde informatiebeveiliging.