De impact van ISO 27001:2022
Vorig voorjaar schreven we al uitgebreid over de update van ISO 27002. Er ontstond met de 27002:2022 update een bijzondere situatie: de implementatie richtlijn was bijgewerkt naar 2022, maar de daadwerkelijk te implementeren norm (ISO 27001) zelf, die stamde nog uit 2013. Sinds eind vorig jaar is die situatie ten einde: ook ISO 27001 kent nu een 2022 update. In dit artikel kijken we naar de belangrijkste vernieuwingen én wat dat betekent voor jouw al dan niet bestaande certificering.
ISO 27001- een korte recap
De ISO 27001 norm is internationaal erkend als de standaard voor informatiebeveiliging. Je als organisatie conformeren aan de norm betekent dat je in staat bent om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie te waarborgen, net als de continuïteit van bedrijfsprocessen.
Daarnaast vereist de norm dat je organisatie potentiële risico’s identificeert, aanpakt en monitort. Het behalen van een ISO 27001-certificaat is wat ons betreft ook geen eindpunt, maar eerder het startpunt van een proces waarbij informatiebeveiliging een centrale plaats inneemt in de bedrijfsstrategie.
De update
De belangrijkste veranderingen tussen de twee versies zijn gelukkig niet gigantisch. Zo zijn er in beide versies 11 delen waar de standaard uit bestaat. De meeste veranderingen zijn te vinden in Annex A, waar de controlelijst is aangepast. Het aantal controles is verlaagd van 114 naar 93. Dit betekent dat sommige controles samengevoegd zijn en er minder overlap is tussen de de afzonderlijke controles dan voorheen.
Een andere belangrijke verandering is dat ISO 27001:2022 meer nadruk legt op de context van het bedrijf, de veiligheid binnen de keten waarin de organisatie opereert en hoe informatiebeveiliging past binnen de bredere bedrijfsstrategie. Dus: het gaat niet alleen om het beschermen van informatie, maar ook om het beheren van risico’s en het waarborgen van de continuïteit van de bedrijfsvoering. Dit betekent dat je als bedrijf beter moet nadenken over hoe informatiebeveiliging een plek moet krijgen in je bedrijfsprocessen en wat de gevolgen kunnen zijn als er iets misgaat.
Daarnaast is de nieuwe versie van de ISO 27001-standaard meer in lijn gebracht met andere ISO-management standaarden. Dit betekent dat het gemakkelijker wordt om verschillende ISO-standaarden te combineren en te integreren in je bedrijfsprocessen.
ISO 27001:2013 al op zak?
In de praktijk betekent dit dat als je als bedrijf al voldoet aan ISO 27001:2013, de overstap naar ISO 27001:2022 niet al te ingrijpend zal zijn. Je moet de nieuwe controlelijst doornemen en waar nodig aanpassingen maken in je informatiebeveiligingsbeleid en -procedures. Het is dus ook belangrijk om na te denken over hoe informatiebeveiliging past binnen de bredere bedrijfsstrategie en hoe je risico’s beheert en de continuïteit van de bedrijfsvoering waarborgt.
De implementatie richting ISO 27001:2022 begint met een gap-analyse: waar sta je én wat moet er gebeuren om het gat tussen de huidige stand van zaken en de norm-vereisten voor de nieuwe norm te dichten?
Wat betekent dit voor mijn certificering?
Waar je op dit moment ook staat ten aanzien van ISO 27001, grofweg zijn er drie smaken:
Je bent nog helemaal niet gecertificeerd en wil dit graag regelen
Je bent ISO 27001:2013 gecertificeerd en je volgende audit staat al een tijdje gepland
Je bent ISO 27001:2013 gecertificeerd en je hebt niet zo lang geleden nog een audit gehad
In het eerste geval is het simpel: je start natuurlijk gewoon met de implementatie volgens de laatste, meest up to date norm. In het tweede geval is het van belang om te kijken naar je auditdatum. Is er tijd om alsnog de update in orde te maken? Of heb je meer tijd nodig en kun je dat ook doen zonder afbreukrisico’s richting opdrachtgevers, leveranciers of consumenten?
In het laatste geval, waarbij je nog vrij recent een ISO 27001:2013 audit hebt afgerond, kun je gewoon volgens de standaardcyclus de volgende auditronde opgaan voor de update versie. Natuurlijk mag eerder altijd, maar dat is vaak kostentechnisch geen interessante oplossing.
Gap-analyse met MnP Solutions
Hulp nodig bij de gap-analyse? Een concreet advies over hoe je je huidige ISMS ISO 27002:2022-proof kunt maken? Met onze gap-analyse zorgen we er in één dagdeel voor, dat je een helder beeld hebt. Voor een vast bedrag van 1950 euro (ex. BTW), weet jij welke stappen je organisatie moet zetten, om je informatiebeveiliging weer helemaal up to date te brengen. Neem contact op voor de mogelijkheden.