ISO/IEC 27001:2022
ISO/IEC 27001:2022
Op 25 oktober 2022 is de nieuwe versie van de ISO/IEC 27001, de ISO/IEC 27001:2022 ‘Information technology – Security techniques – Information security management systems – Requirements’ (hierna ISO 27001:2022) gepubliceerd.
Na 30 april 2024 mogen initiële audits en hercertificeringsaudits niet meer worden uitgevoerd op basis van ISO/IEC 27001:2013 of 2017. Vanaf die datum is het gebruik van de 2022-versie verplicht.
Surveillance-audits mogen als onderdeel van een driejaarcyclus nog wel worden uitgevoerd op basis van de 2013- of 2017-versie, uiterlijk tot 30 april 2026.
De nieuwe versies van ISO 27001:2022 en ISO 27002:2022 zijn beschikbaar via de NEN-website, zowel in het Nederlands als in het Engels.
De transitie-audit
Om een gecertificeerde managementsysteem voor informatiebeveiliging (ISMS) over te laten gaan naar de nieuwe ISO 27001:2022 versie zal Noordbeek een transitie-audit moeten uitvoeren.
De transitie-audit neemt 4 uur in beslag en zal als een separate audit worden uitgevoerd via een videovergadering.
Na de audit zal Noordbeek een rapportage opstellen. Het dossier wordt intern beoordeeld en, indien alles akkoord is, zal Noordbeek een nieuw ISO 27001:2022-certificaat vervaardigen en aan u overhandigen.
De kosten voor deze transitie-audit is 1 auditdag.
Veranderingen in de maatregelen
De belangrijkste wijziging in ISO 27001:2022 betreft het indelen van Annex A in vier hoofdstukken. ISO 27001:2017 bevatte 114 maatregelen, verdeeld over 14 hoofdstukken, namelijk Annex 5 tot en met Annex 18.
ISO 27001:2022 bevat 93 maatregelen, verdeeld over 4 hoofdstukken, namelijk:
- Annex A.5, ‘Organisatorische beheersmaatregelen’: 37 maatregelen;
- Annex A.6, ‘Mensgerichte beheersmaatregelen’: 8 maatregelen;
- Annex A.7, ‘Fysieke beheersmaatregelen’: 14 maatregelen;
- Annex A.8, ‘Technologische beheersmaatregelen’: 34 maatregelen.
Er zijn 11 nieuwe maatregelen, namelijk:
- A.5.7, Informatie en analyses over dreigingen;
- A.5.23, Informatiebeveiliging voor het gebruik van clouddiensten;
- A.5.30, ICT-gereedheid voor bedrijfscontinuïteit;
- A.7.4, Monitoren van de fysieke beveiliging;
- A.8.9, Configuratiebeheer;
- A.8.10, Wissen van informatie;
- A.8.11, Maskeren van gegevens
- A.8.12, Voorkomen van gegevenslekken (data leakage prevention);
- A.8.16, Monitoren van activiteiten;
- A.8.23, Toepassen van webfilters;
- A.8.28, Veilig coderen.
Veranderingen in het managementsysteem
Er zijn beperkte veranderingen in de hoofdstukken 4 tot en met 10. Dit betreft:
- 4.1, Inzicht in de organisatie en haar context – aanscherping;
- 4.2, Inzicht in de behoeften en verwachtingen van belanghebbenden – aanscherping;
- 4.4, Managementsysteem voor informatiebeveiliging – aanscherping;
- 6.1.3, Behandeling van informatiebeveiligingsrisico’s – aanscherping;
- 6.2, Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken – aanscherping;
- 6.3, Planning van wijzigingen – toevoeging;
- 7.4, Communicatie – aanscherping;
- 8.1, Operationele planning en beheersing – herschreven;
- 9.1, Monitoren, meten, analyseren en evalueren – aanscherping;
- 9.2, Interne audit – splitsing;
- 9.3, Management review – splitsing;
- 10, Verbetering - verandering van de nummering.
Bij vragen over de nieuwe versie van de standaard en de transitie, voelt u vrij contact op te nemen met ons.