Vijf vragen over de herziening van de norm ISO 27001:2022
De recente herziening van de ISO 27001:2022 heeft geleid tot veranderingen en nieuwe kansen voor organisaties die zich bezighouden met informatiebeveiliging. We vroegen Marjolein Veenstra, Kiwa’s schemamanager voor onder andere de ISO 27001, om wat dieper in te gaan op de implicaties en voordelen van deze herziening.
Hoe kijk je als schemamanager terug op de ontwikkelingen rondom de ISO/IEC 27001:2022 van de afgelopen maanden?
Steeds meer organisaties maken de transitie naar de ISO 27001:2022. Ze hebben de zeven stappen voor de overgang doorlopen, zodat deze tijdens de transitie audit beoordeeld kan worden. De feedback van klanten is positief. Ze ervaren dat de veranderingen in de norm hebben geleid tot een logischere en efficiëntere inrichting van het ISMS. Vanuit Kiwa blijven we voortdurend werken aan het vergroten van kennis, het creëren van meerwaarde en het meenemen van onze klanten in de ontwikkelingen op dit vlak. We zijn er dan ook trots op dat we onze accreditatie op 1 februari 2023 hebben uitgebreid met de herziene norm.
Wat zijn volgens jou de positieve kanten van de herziening?
Ik denk dat de herziening een aantal belangrijke verbeteringen bevat. Certificaathouders die bekend zijn met meerdere normen en ISO’s Harmonized Structure (HS) zullen merken dat de ISO 27001:2022 meer in lijn is met andere normen, zoals ISO 9001 en ISO 14001. Daarnaast hebben de wijzigingen in de annex A geleid tot een herstructurering van veertien hoofdstukken naar vier hoofdstukken en is het aantal beheersmaatregelen verminderd van 114 naar 93. Dit heeft geleid tot een meer pragmatische bundeling van beheersmaatregelen. Ook heeft de nieuwe inrichting geleid tot een logische clustering van nieuwe beheersmaatregelen in categorieën, namelijk organisatorisch, mensgericht, fysiek en technologisch. De herziening legt meer nadruk op kwetsbaarheden, wat voor sommige organisaties aanpassing vergt, maar over het algemeen wordt beschouwd als een goede ontwikkeling.
Welke aandachtspunten zijn er voor certificaathouders bij het voldoen aan de ISO 27001:2022?
Certificaathouders kunnen bij het naleven van de norm verschillende uitdagingen tegenkomen. Dit kan onder andere de noodzaak van kennisuitbreiding voor de security officer omvatten. Bovendien dienen bestaande certificaathouders na te denken over mogelijke structuuraanpassingen en de effectieve implementatie van nieuwe beheersmaatregelen. In het kader van interne audits is het van belang dat deze de aangepaste risicoanalyse, het bijbehorende behandelplan en de nieuw toegevoegde of gewijzigde beheersmaatregelen uit bijlage A omvatten. Verder zullen aanpassingen aan zowel de Verklaring van Toepasselijkheid als de management review nodig zijn, om zo de nieuwe elementen adequaat te kunnen weerspiegelen.
Wat is het beste moment voor certificaathouders om over te stappen naar ISO/IEC 27001:2022?
Certificaathouders hebben een overgangsperiode van drie jaar, tot 1 november 2025, om de overstap te maken. Binnen deze periode kunnen ze zelf beslissen wanneer ze de overstap willen voltooien. Er zijn verschillende opties beschikbaar: een herbeoordelingsaudit met een extra halve auditdag, een opvolgingsaudit met één extra auditdag en een speciale transitie-audit met anderhalve extra auditdag. Certificaathouders worden aangemoedigd om hun overstapplannen tijdig kenbaar te maken, zodat de planning soepel kan verlopen.
Download de tijdslijn ISO 27001:2022 hier (versie 24 feb 2023).
Hoe ondersteunt Kiwa organisaties tijdens deze transitie?
Met de herziening van de ISO 27001:2022 worden nieuwe deuren geopend voor effectievere informatiebeveiliging. Kiwa ontzorgt organisaties bij een soepele overgang. Onze planningsafdeling staat klaar om organisaties te helpen bij het plannen van de transitie binnen de gestelde termijn. Ook bij de aanstaande herziening van de NEN 7510 zal Kiwa blijven informeren en ondersteunen.