Standaard ISO 27001 voor informatiebeveiliging herzien
Onlangs kreeg de norm ISO 27001 voor informatiebeveiliging een update. De herziene standaard werd gepubliceerd op 25 oktober 2022. De vernieuwde norm is in lijn gebracht met de in februari van dit jaar gepubliceerde ISO 27002:2022 en bevat enkele technische correcties. Voor de ISO 27001:2022 geldt een transitieperiode van drie jaar. Dat betekent dat gecertificeerde organisaties in de herfst van 2025 overgestapt moeten zijn op ISO 27001:2022.
De norm ISO/IEC 27001 bevat de eisen voor managementsystemen voor informatiebeveiliging en geeft organisaties richting voor het opzetten, implementeren, beheren, onderhouden, evalueren en verbeteren van een managementsysteem voor informatiebeveiliging. De nieuwe versie vervangt de ISO/IEC 27001:2017.
Harmonized Structure
Naast afstemming van de ISO 27001 op de nieuwe ISO 27002 (die de ‘controls’ bevat waarvan de ISO 27001 gebruik maakt) en enkele technische correcties, zit het verschil met de vorige versie van de standaard vooral in de herziene bijlage A (zie ook het nieuwsbericht uit augustus 2022) en de inrichting van de norm. De 2022-versie van de ISO 27001 is ingedeeld volgens de laatste versie van ISO’s Harmonized Structure (HS), wat het voor organisaties eenvoudiger maakt om verschillende managementsystemen te integreren. Door de HS bestaat er tussen de verschillende normen een overlap op onderstaande onderdelen:
- Context van de organisatie;
- Leiderschap (beleid, taken, bevoegdheden en verantwoordelijkheden);
- Planning (risico’s, doelstellingen, wetgeving);
- Ondersteuning (middelen, competenties, bewustzijn, communicatie en documentatie);
- Uitvoering;
- Evaluatie (interne audits, directiebeoordeling);
- Verbetering (continue verbetering, afwijkingen en corrigerende maatregelen).
Overgangsperiode
De introductie van de ISO 27001:2022 betekent dat organisaties met een ISO 27001-certificaat moeten overstappen naar deze herziene versie. Hiervoor is een overgangs- of transitieperiode vastgesteld. Het tijdpad daarvan ziet er als volgt uit:
- Allereerst krijgt de Raad voor Accreditatie (RvA) vanaf nu een half jaar de tijd om te kunnen beoordelen tegen de nieuwe versie.
- Daarna start de RvA met het beoordelen van certificerende instellingen. Ook daarvoor staat zes maanden, dus uiterlijk twaalf maanden na publicatie van de vernieuwde norm moet de RvA hiermee klaar zijn.
- Intussen, maar uiterlijk twaalf maanden na publicatie van de vernieuwde norm, kunnen de certificerende instellingen beginnen met het opnieuw certificeren van certificaathouders.
- Omdat de transitieperiode is vastgesteld op drie jaar moeten certificerende instellingen uiterlijk in oktober 2025 klaar zijn met het (opnieuw) certificeren van certificaathouders.
Tijdens de transitieperiode zijn beide versies van de standaard geldig én certificeerbaar. Dat betekent dat u zich nu nog kunt laten certificeren tegen de ‘oude’ ISO 27001, maar dat u er ook voor kunt kiezen om de nieuwe norm aan te schaffen en alvast aan de slag te gaan met de nieuwe set met beheersmaatregelen.
Download de tijdslijn ISO 27001:2022 hier (versie 28 juni 2024).
Meer info
Heeft u vragen over de ISO 27001:2022 en wat dit voor u betekent? Neem dan contact met Kiwa’s Expert Center Cybersecurity (NL.cybersecurity@kiwa.com).