FAQ
Contact

De kijk van EIK

BELANGRIJKSTE VERANDERINGEN IN ISO 27001

BELANGRIJKSTE VERANDERINGEN IN ISO 27001

Organisaties die gecertificeerd zijn op basis van de ‘oude ISO 27001-norm’, gaan aan de slag met de transitie naar de nieuwe norm, die in 2022 is gepubliceerd. En organisaties die willen certificeren voor de ISO 27001, kunnen dat vanaf 1 november 2023 alleen nog op basis van de nieuwe norm doen.

De wijzigingen doen zich voor op twee ‘niveaus’: in de hoofdstukken 4 tot en met 10 en in de beroemde bijlage, Annex A.We hebben de wijzigingen op een rijtje gezet.

De wijzigingen in de Harmonised Structure

De nieuwe norm houdt de harmonised structure (HS) aan. Voorheen was dit de High Level Structure (HLS). Op zich wijzigt er niets aan de (grove) opzet van de norm. De norm is dan ook niet volledig herzien. Dat de harmonised structure hetzelfde is gebleven, is voor organisaties die het managementsysteem gecombineerd hebben met bijvoorbeeld ISO 9001 wel zo handig.

Er is een aantal verduidelijkingen en wijzigingen aangebracht:

  • Er is sprake van ‘het beschikbaar zijn van gedocumenteerde informatie (be available). Dit in de plaats van ‘documenten onderhouden’ en ‘registraties bijhouden’.
  • Er is verduidelijkt dat de organisatie moet vaststellen welke van de geïdentificeerde eisen van belanghebbenden in het managementsysteem worden geadresseerd (paragraaf 4.2).
  • De norm sluit meer aan bij andere ISO-normen, zoals 9001. Toegevoegd is de verwijzing naar onderkende processen en de samenhang van deze processen (paragraaf 4.4).
  • Door de wijzigingen in paragraaf 4.4, is ook in paragraaf 8.1 iets gewijzigd: de processen zijn essentieel voor de beheersing van risico’s. Expliciet opgenomen is “De organisatie moet de benodigde processen plannen, implementeren en beheersen, door:
    • criteria vast te stellen voor de processen;
    • procesbeheersing te implementeren in overeenstemming met de criteria”.
  • Toegevoegd aan paragraaf 6.3 is de planmatige manier om wijzigingen door te voeren, en in hoofdstuk acht is opgenomen dat dit op beheerste wijze gebeurt (planmatig en beheerst). Voor degenen die bekend zijn met ISO 9001, is dit een bekende eis.
  • Het onderscheid tussen inkopen en uitbesteden is weggehaald, omdat dit veel onduidelijkheid en discussie opleverde. In hoofdstuk acht zijn eisen gesteld aan ‘de extern geleverde processen, producten en diensten die relevant zijn voor het managementsysteem’. Wederom, een beheerst (inkoop)proces, zoals we ook kennen bij ISO 9001.

De wijzigingen in Annex A

De Annex A bevat wat meer wijzigingen, die aansluiten bij actuele ontwikkelingen op het gebied van informatiebeveiliging. Privacy en cyber security zijn onderwerp geworden van de beheersmaatregelen, evenals het gebruik van cloud diensten, ICT-readiness voor business recovery, en datalek preventie.

De ‘oude’ Annex A bevatte 14 hoofdstukken, met 35 doelstellingen en 114 beheersmaatregelen. In audits zagen we dat onderwerpen uit verschillende hoofdstukken op elkaar leken en werd regelmatig verwezen naar andere maatregelen. Mogelijk is dat met de nieuwe Annex A minder (dat zullen we overigens moeten ervaren in audits).

De nieuwe Annex A volgt de ISO 27002:2022, die enkele maanden eerder dan de ISO 27001:2022 is gepubliceerd. De nieuwe Annex A heeft een indeling in vier hoofdstukken / thema’s:

  • organisatorische beheersmaatregelen (organizational controls),
  • mensgerichte beheersmaatregelen (people controls),
  • fysieke beheersmaatregelen (physical controls) en
  • technologische beheersmaatregelen (technological controls).

Er zijn 24 maatregelen samengevoegd en 58 maatregelen zijn ‘bijgewerkt’. Voor elke maatregel is een doel bepaald (in plaats van per groep maatregelen een doelstelling) en zijn ook verdere richtlijnen opgenomen. In totaal zijn er nu 93 beheersmaatregelen, waarvan er 11 geheel nieuw zijn. Deze maatregelen spelen in op nieuwe ontwikkelingen binnen informatiebeveiliging en is er meer focus op het preventieve en monitoring gedeelte van het ISMS.

Wat zijn de nieuwe beheersmaatregelen?

Interessant is natuurlijk, wat er nieuw is in de Annex A. De nieuwe beheersmaatregelen zijn hieronder, met vermelding van de corresponderende nummers uit de norm, opgenomen:

  • Informatie en analyses over dreigingen (Threat Intelligence) (5.7)
  • Informatiebeveiliging voor het gebruik van clouddiensten (Information security for use of cloud services) (5.23)
  • ICT-gereedheid voor bedrijfscontintuïteit (ICT readiness for business continuity) (5.30)
  • Monitoren van de fysieke beveiliging (Physical security monitoring) (7.4)
  • Configuratiebeheer (Configuration management) (8.9)
  • Wissen van informatie (Information deletion) (8.10)
  • Maskeren van gegevens (Data masking) (8.11)
  • Voorkomen van gegevenslekken (Data leakage prevention) (8.12)
  • Monitoren van activiteiten (Monitoring activities) (8.16)
  • Toepassen van webfilters (Web filtering) (8.23)
  • Veilig coderen (Secure coding) (8.28)

Meer weten of contact met EIK Certificering?

Wil je meer weten over hoe de certificering verloopt als jouw organisatie al gecertificeerd is voor ISO 27001? Of start jouw organisatie met het certificeringsproces voor ISO 27001? Lees dan dit artikel over de transitie qua certificering.

Liever iemand spreken? Dat kan natuurlijk ook. Neem contact met ons op, dan bespreken we je vragen en wensen over ISO 27001.

Linkedin-in Envelope Twitter Link

Meer lezen over ISO 9001

Wil je je graag verder verdiepen in de ISO 9001 certificatie? In onze artikelen lees je alles wat je wilt weten voordat je aan de slag gaat met de certificatie!

ISO 9001:2015 wordt herzien: wat verandert er?

Lees verder

Maak van de management review een stuurinstrument

Lees verder

Hoe verloopt ISO 9001 certificering?

Lees verder

Wat zijn de eisen van ISO 9001?

Lees verder

Wanneer ben je klaar voor certificering?

Lees verder

Alles vastleggen voor ISO-certificering? Niet doen!

Lees verder

Audits om naar uit te kijken!

EIK Certificering is geaccrediteerd door de Raad voor Accreditatie onder nummer C669

Site

Goed geregeld

Certificeringen

Gegevens

  • Info@eikcertificering.nl
  • Tel: 010 307 23 06
  • Piet van de Polsingel 168
  • 3056 AK Rotterdam
  • EIK Certificering B.V.

All rights reserved @2023 EIK Certificeringen

Website door Bmarked

All rights reserved @2023 EIK Certificeringen

Website door Bmarked