In november 2022 is er een nieuwe versie van de ISO 27001:2022-norm gepubliceerd. Bedrijven die gecertificeerd zijn volgens de ISO 27001-norm zullen deze veranderingen voornamelijk merken in de beveiligingscontroles van Bijlage A. De ISO 27002 was al bijgewerkt op 15 februari 2022. Deze update vormt de basis voor wijzigingen in bijlage A van de ISO 27001-standaard.
Bron: https://www.iso.org/standard/82875.html
In bijlage A geeft ISO 27001 alleen vereisten voor beveiligingscontroles en legt niet uit hoe ze kunnen worden geïmplementeerd. De ISO 27002 gaat over dezelfde richtlijnen, maar geeft aanvullend ook aan hoe deze te implementeren. Bijlage A kan worden beschouwd als een "index" voor de ISO 27002:2022-norm.
De updates van 2022 zijn van toepassing op de beveiligingscontroles in ISO 27002. Bijlage A is bij ISO 27001 is ook bijgewerkt om deze wijzigingen weer te geven.
De ISO 27001-standaard helpt organisaties de vertrouwelijkheid, integriteit en beschikbaarheid van hun informatie te beschermen. Deze drie elementen vormen de basis van een goede informatiebeveiliging. ISO 27001 helpt informatie in welke vorm dan ook te beschermen. Cybersecurity, die digitale informatie beschermt, speelt hierbij een belangrijke rol.
Maar waarom werd de standaard bijgewerkt?
Alle ISO-normen ondergaan minimaal eens in de vijf jaar een herzieningsproces, maar niet elke herziening brengt grote veranderingen met zich mee. In het geval van ISO 27002 zorgde een recente herziening echter wel voor een aantal belangrijke updates.
Dit is niet zonder reden. Er is namelijk bijna een decennium verstreken sinds de laatste grote herziening. In dat ene decennium is er veel veranderd. De aard van cyberdreigingen is geëvolueerd en complexer geworden. Nieuwe technologieën deden hun intrede en steeds meer bedrijven werken virtueel met cloud-applicaties.
Informatiebeveiliging in 2022 is simpelweg niet hetzelfde als in 2013. Het vereist meer waakzaamheid en zorgvuldigheid dan ooit tevoren. De wijzigingen in Bijlage A van ISO 27002 kunnen dan ook enige extra inspanning vergen.
Wat is er veranderd?
Hoewel de clausules van de ISO 27001-standaard niet zijn gewijzigd, is de ondersteunende standaard ISO 27002 grondig herzien. Deze wijzigingen zijn weergegeven in bijlage A van de ISO 27001-norm.
De beveiligingscontroles in bijlage A vertegenwoordigen een groot deel van het technische werk voor de implementatie van ISO 27001. Hoewel alleen bijlage A is gewijzigd, heeft de update dus invloed op het gehele beheersysteem.
De vorige versie van bijlage A (ISO 27001:2013) bevatte 114 controles in 14 hoofdstukken. De nieuwe versie bevat 93 bedieningselementen in 4 hoofdstukken. Technisch gezien bevat de nieuwe versie minder besturingselementen, maar een groot deel van deze vermindering is het gevolg van overbodige besturingselementen die zijn verwijderd of samengevoegd.
In feite voegt ISO 27002:2022 11 nieuwe controles toe aan bijlage A, die nieuwe lagen van informatiebeveiliging aan de norm toevoegen:
- Bedreigingsinformatie (A.5.7 Bedreigingsinformatie)
- Informatiebeveiliging bij gebruik van clouddiensten (A.5.23 Informatiebeveiliging bij gebruik van clouddiensten)
- ICT-gereedheid voor bedrijfscontinuïteit (A.5.30 ICT-gereedheid voor bedrijfscontinuïteit)
- Fysieke beveiligingsbewaking (A.7.4 Fysieke beveiligingsbewaking)
- Configuratiebeheer (A.8.9 Configuratiebeheer)
- Verwijderen van informatie (A.8.10 Verwijderen van informatie)
- Gegevensmaskering (A.8.11 Gegevensmaskering)
- Preventie van datalekken (A.8.12 Preventie van datalekken)
- Monitoringactiviteiten (A.8.16 Monitoringactiviteiten)
- Webfiltering (A.8.23 Webfiltering)
- Veilig coderen (A.8.28 Veilig coderen)
Bovendien vereist de bijgewerkte versie van de norm gedocumenteerde werkprocedures, terwijl de vorige versie alleen een beleid vereiste. Een beleid biedt een organisatie doelen en indicatoren voor uw beheersysteem voor informatiebeveiliging. Procedures omvatten daarentegen ook de operationele stappen die u zult nemen om deze doelen te bereiken. Met deze nieuw vereiste procedures wordt ook het documentatiegedeelte van het proces binnen iso certificering diepgaander.
Op dit moment lijkt het misschien dat de wijzigingen de volledigheid van bijlage A alleen maar hebben vergroot, maar deze belangrijke updates bieden ook duidelijkere richtlijnen.
De bijgewerkte versie biedt ook een nieuw controle-organogram. Beveiligingscontroles worden nu geclassificeerd op basis van vijf kenmerken:
- Type controle
- Het concept van cyberbeveiliging
- Kenmerken van informatiebeveiliging
- Operationele mogelijkheden
- Beveiligingsdomeinen
Deze nieuwe attributen helpen bedrijven om prioriteit te geven aan de juiste controles op basis van hun context. Als uw primaire zorg bijvoorbeeld vertrouwelijkheid is, kunt u deze attributen gebruiken om controles te rangschikken op basis van een enkele informatiebeveiligingseigenschap.
Samengevat: de updates van 2022 voegen extra verantwoordelijkheden toe aan de ISO 27001 certificering, maar zorgen ook voor een duidelijkere begeleiding en organisatie.