Wij helpen uw risico's beheersen

Neem contact op
ISO27001 logo

Bereid je voor op de ISO27001:2022

  • Actueel

Op 25 oktober 2022 heeft de Internationale Organisatie voor Standaardisatie (ISO) heeft hun nieuwe ‘ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements’ gepubliceerd. Na het publiceren van een nieuwe ISO27002-standaard, voltooide deze nieuwste publicatie de vernieuwing van de ISO27001-standaard. In veel opzichten kan het als een verbetering worden beschouwd.

ISO/IEC 27001 beschrijft een Information Security Management System (ISMS), een reeks activiteiten met betrekking tot het beheer van informatierisico’s (in de norm ‘informatiebeveiligingsrisico’s’ genoemd). Het ISMS is een overkoepelend managementraamwerk waarmee de organisatie haar informatierisico’s identificeert, analyseert en aanpakt. Het ISMS zorgt ervoor dat de beveiligingsregelingen zijn afgestemd om gelijke tred te houden met veranderingen in de beveiligingsbedreigingen, kwetsbaarheden en zakelijke gevolgen – een belangrijk aspect in zo’n dynamisch veld en een belangrijk voordeel van de flexibele risico-gestuurde benadering van ISO 27001.

Bijlage A van ISO27001:2013 bevatte 114 beheersmaatregelen die 14 afzonderlijke domeinen bestrijken. Die van de nieuwe ISO27001:2022 bevat 93 beheersmaatregelen over vier domeinen. Deze beheersmaatregelen worden verder uitgewerkt in de ISO27002:2022.

Door samenvoeging en verwijdering van een aantal beheersmaatregelen is ruimte ontstaan om beheersmaatregelen toe te voegen. Er zijn enkele beheersmaatregelen toegevoegd waarnaar in de ISO27001:2013 niet eerder is verwezen:

  • Bedreigingsinformatie: dit is informatie die een organisatie gebruikt om inzicht te krijgen in de bedreigingen die de organisatie hebben, zullen of momenteel zullen treffen. Deze informatie wordt beoordeeld om bedreigingen te identificeren en te voorkomen dat ze worden gerealiseerd.
  • Gegevensmaskering: dit is een cruciaal concept om gegevens te beschermen tegen inbreuken. Elke organisatie die gegevens heeft die PII of Gevoelig vormen, zal waarschijnlijk proberen deze gegevens te maskeren. Privacy by design-principe dat nu in de standaard is opgenomen.
  • Informatiebeveiliging voor het gebruik van cloudservices: Een van de meest voor de hand liggende vereisten voor nieuwe ISO27002-beheersmaatregelen is waarschijnlijk het aanpakken van het bijna universele gebruik van cloudservices. Organisaties moeten door deze praktijk risico’s kunnen identificeren en beheersen.
Transitieperiode

De certificaathouders kunnen uiterlijk tot eind oktober 2025 tegen de oude versie van de norm zijn gecertificeerd. Feitelijk heb je dus 36 maanden voor de transitie van de ISO27001:2013 naar de ISO27001:2022.

Ook als je niet gecertificeerd bent, maar wel wil werken conform de ISO27001 is het dus van belang om tijdig aanpassingen te maken in je processen, aanpak en systemen.

 

 

Gerelateerde diensten
Cloud Risico Analyse
Awareness Campagne
IT Risk Assessment
Recente artikelen
SBOM startersgids
5 juli 2023

SBOM is een afkorting voor ‘Software Bill Of Materials’. Het is een lijst van componenten die een (cloud-) leverancier gebruikt

Lees meer »
Gegevens gegijzeld? Wat nu?
10 augustus 2022

Ransomware of gijzelsoftware is een door hackers gebruikt chantagemiddel op internet. Letterlijk vertaald betekent ransom: losgeld. Ransomware is software die

Lees meer »