2 augustus 2022

De belangrijkste wijzigingen in de herziene ISO 27001 en ISO 27002

Op 15 februari 2022 werd de nieuwe versie van de norm ISO 27002 gepubliceerd. De ISO 27002 is een uitbreiding op de standaard ISO 27001 voor informatiebeveiliging en specifieert hoe een Information Security Management System (ISMS) er precies moet uitzien. De uitbreiding bevat best practices voor beveiligingscontroles en maatregelen die u kunt implementeren om uw beveiliging te verbeteren. Hoewel de ISO 27002 geen certificeerbare standaard is, heeft deze herziening wél gevolgen voor organisaties die ISO 27001-gecertificeerd zijn of willen worden. Daarom delen wij hieronder de belangrijkste wijzigingen met u.

Om bij te blijven met nieuwe, veranderende risico’s op het gebied van onder meer informatiebeveiliging, cybersecurity en privacy wordt elke vijf jaar geëvalueerd of een norm moet worden ingetrokken, bevestigd of herzien. De laatste update van de ISO 27002 dateert van 2013, met een aantal kleine aanpassingen in 2017. In 2018 werd echter besloten om zowel de ISO 27002 als de ISO 27001 opnieuw te herzien.

Daarnaast moet een nieuwe structuurindeling van de ISO 27002 ervoor zorgen dat het eenvoudiger is om te bepalen wie de eigenaar wordt van een beheersmaatregel. Ook zijn de controls niet langer onderverdeeld in veertien, maar in vier thema’s: organizational controls, people controls, physical controls en technological controls. Tot slot zijn 11 van de 93 beheersmaatregelen compleet nieuw en bedoeld om een grotere focus te leggen op het preventieve en monitoring-gedeelte van het ISMS.

Tijdslijn herziening ISO 27001 en ISO 27002 - Februari 2023.png

Download de tijdslijn ISO 27001:2022 hier (versie 24 feb 2023).

Waar aanvankelijk werd gecommuniceerd dat het om een amendement zou gaan, blijkt het nu een nieuwe versie te betreffen. Deze herziening wordt volgens planning rond oktober 2022 gepubliceerd. De tekst in de norm is afgestemd op de geharmoniseerde structuur voor  managementsysteemnormen. De officiële overgangsperiode zal vermoedelijk worden vastgesteld als onderdeel van de publicatie van de herziene certificeringsnorm en op de gebruikelijke drie jaar worden vastgesteld. Concreet betekent dit dat organisaties die op termijn gecertificeerd willen zijn of willen blijven uiterlijk drie jaar na de publicatie van de ISO 27001:2022 norm zullen moeten conformeren aan eventuele gewijzigde of bijkomende vereisten.