ISO 27002:2022 is vernieuwd

De ISO 27002 biedt een referentieset van informatiebeveiligingsbeheersmaatregelen, inclusief implementatierichtlijnen. Dit document is bedoeld voor gebruik door organisaties in het kader van een informatiebeveiligingsmanagementsysteem (ISMS) op basis van ISO/IEC 27001:2017.

Wat betekent dit voor uw organisatie?

U zult zich vast afvragen wat de impact is van de nieuwe versie van ISO 27002 op uw managementsysteem en hoe wij als certificatie-instelling omgaan met deze wijziging tijdens de audit.

Kort gezegd verandert er in eerste instantie niets. U heeft namelijk een managementsysteem geïmplementeerd op basis van de ISO 27001 en wij zullen tevens de audit uitvoeren op basis van de ISO 27001. Zolang deze norm niet wijzigt, is er geen directe noodzaak om in het kader van de certificering een wijziging door te voeren in uw managementsysteem.

ISO 27001 vraagt u echter om risicomanagement toe te passen, waarbij u rekening houdt met de context van uw organisatie. Aangezien de nieuwe ISO 27002 de meest actuele referentieset van informatiebeveiligingsbeheersmaatregelen bevat, kan deze als bron worden gebruikt voor beheersmaatregelen in het kader van uw risicomanagement.

Omdat er een discrepantie is ontstaan tussen de beheersmaatregelen in de ISO 27002 en de beheersmaatregelen in de Annex A van ISO 27001 zetten we hieronder twee situaties uiteen die zich in de praktijk kunnen voordoen. De update van de huidige ISO 27001 zal deze discrepantie in de toekomst verhelpen. Naar verwachting wordt deze update dit jaar nog gepubliceerd.

Mogelijke situaties

  1. Een organisatie heeft de Annex A uit de 27001:2017 geïmplementeerd.

In dit geval verandert er niets. De audits zullen worden uitgevoerd zoals u dit van ons gewend bent. Naar verwachting wordt ISO 27001:2017 dit jaar geüpdatet, waarbij de referentieset van beheersmaatregelen uit de nieuwe ISO 27002:2022 geïntroduceerd zal worden. Na de update van de norm zullen wij u informeren over de overgangstermijn.

  1. Een organisatie heeft de beheersmaatregelen uit de nieuwe ISO 27002:2022 geïmplementeerd.

Uit ISO 27001:2017 blijkt dat de beheersmaatregelen die zijn vastgesteld moeten worden vergeleken  met die in Annex A om te verifiëren dat er geen noodzakelijke beheersmaatregelen zijn weggelaten (bron: paragraaf 6.1.3). U zult dus voor iedere beheersmaatregel uit ISO 27001 Annex A moeten nagaan in welke mate deze terugkomt in uw risicomanagement. Zie hieronder enkele voorbeelden van hoe u dit kunt aanpakken.

Voorbeelden

Indien een organisatie beheersmaatregelen, anders dan die uit de Annex A, heeft geïmplementeerd en aantoonbaar wil voldoen aan de eisen van de ISO 27001 dan:

  1. Kunt u een verklaring van toepasselijkheid opstellen gebaseerd op eigen beheersmaatregelen die zijn genomen, met per beheersmaatregel een identificatie hoe deze zich verhoudt tot ISO 27001 Annex A. Deze lijst dient aangevuld te worden met de specifieke beheersmaatregelen uit ISO 27001 Annex A, waarvan de organisatie heeft beslist dat deze zijn uitgesloten.
  2. Kunt u een verklaring van toepasselijkheid opstellen gebaseerd op ISO 27002:2022, met per beheersmaatregel een identificatie hoe deze zich verhoudt tot ISO 27001 Annex A. Deze lijst dient aangevuld te worden met de specifieke beheersmaatregel uit ISO 27001 Annex A, waarvan de organisatie heeft beslist dat deze zijn uitgesloten.

Let hierbij wel op dat enkele beheersmaatregelen uit ISO 27001 Annex A in de nieuwe ISO 27002 zijn opgenomen als implementatierichtlijnen. Het is dus niet zo dat als u de kruisverwijzing volgt van tabel B uit ISO 27002, dat u automatisch alle beheersmaatregelen uit ISO 27001 Annex A daadwerkelijk heeft geïmplementeerd.

NEN 7510

Er is nog geen informatie beschikbaar op welke termijn de NEN 7510 (en overige gerelateerde normen) van een update wordt voorzien.

Conclusie

Welke optie uw organisatie ook kiest, u moet voor alle beheersmaatregelen uit ISO 27001:2017 Annex A, NEN 7510 en overige gerelateerde normen kunnen aantonen dat deze zijn verwerkt in uw risicomanagement of gerechtvaardigd zijn uitgesloten.