Home / Kennisbank / Nieuwe ISO 27002:2022 gepubliceerd

Nieuwe ISO 27002:2022 gepubliceerd

- Tags: #ISO27001#ISO27002#ISMS#VvT#SoA#Bijlage A

Cybercriminaliteit staat niet stil. Als organisatie moet je je informatiebeveiligingsmaatregelen dan ook blijvend actualiseren om deze risico’s te beheersen.
Hoe hou je de informatiebeveiliging op pijl? Wat zijn nieuwe mogelijkheden op het gebied van organisatorische-, persoonlijke-, fysieke- en technologische maatregelen?

Actualiseren praktijkmaatregelen ISO 27002

Omdat de maatregelen om de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van informatiebeveiliging te waarborgen in een rap tempo veranderen was het nodig de beheersdoelstellingen en -maatregelen in de ISO 27001 en ISO 27002 een update te geven.
Onlangs, februari 2022, is de nieuwe versie van de ISO/IEC 27002:2022 gepubliceerd ter voorbereiding van de nieuwe ISO 27001 later in 2022. De ISO 27002 is geen certificeerbare norm, maar helpt u om de controls uit bijlage A van ISO 27001 te implementeren.

Belangrijkste wijzigingen ISO 27002

In de herziene norm-versie zijn het aantal controles op informatiebeveiliging teruggebracht van 114 naar 93 controles. Deze zijn verdeeld over vier hoofdstukken (i.p.v. de huidige 14, hoofdstuk 5 tot en met 18).

De nieuwe hoofdstukken zijn:

  • 5. Organisatorische maatregelen (37 maatregelen);
  • 6. Mensen (8 maatregelen);
  • 7. Fysieke maatregelen (14 stuks);
  • 8. Technologische maatregelen (36 stuks).

Deze hoofdstukken komen overeen met het Digital Employee Experience (#DEX-)model van Brayton House. In de illustratie hiernaast aangevuld met de vier ondersteunende diensten of afdelingen.

Daarnaast zijn er 11 nieuwe controles opgenomen die aansluiten bij nieuwe ontwikkelingen en methoden om BIV van informatie te waarborgen:

  • 5.7 Informatie over bedreigingen verzamelen en analyseren
  • 5.23 Informatiebeveiliging voor het gebruik van cloud-diensten
  • 5.30 ICT-paraatheid voor bedrijfscontinuïteit (versterking op het gebied van business continuity management)
  • 7.4 Toezicht op fysieke beveiliging
  • 8.9 Configuratiemanagement
  • 8.10 Verwijdering van informatie
  • 8.11 Afscherming van gegevens / gegevensmaskering
  • 8.12 Voorkomen van datalekken
  • 8.16 Activiteiten t.b.v. monitoring voor netwerken, systemen en applicaties
  • 8.23 Web filtering
  • 8.28 Secure coding / veilig programmeren

Hoewel het aantal controles is teruggebracht betekent dit niet dat er controles zijn weggevallen. Diverse controles zijn samengevoegd en met bovengenoemde 11 controles zijn er nieuwe maatregelen / relevante risicogebieden toegevoegd.

Wat betekent dit voor uw ISMS?

De wijziging van de ISO 27002 zal betekenen dat de bijlage A in de ISO 27001-norm en (later) ook de NEN 7510 geupdate zal worden. Daarnaast zal de ISO 27002:2022 door de NEN naar het Nederlands vertaald worden en wordt het de NEN/ISO 27002:2022.

Bij ISO 27001-certificering zijn de in bijlage A benoemde ‘beheersmaatregelen’, waar van toepassing, normatief om in te vullen. De ISO 27002 geeft hierop goede praktijk- ofwel implementatierichtlijnen. Bent u gecertificeerd op de ISO 27001, dan loopt u huidige certificaat nog gewoon door. Wanneer de ISO 27001 is geüpdatet met een nieuwe bijlage A (de nieuwe 93-punten) dan kan er gecertificeerd worden op deze nieuwe controles. Voor gecertificeerde partijen komt er een overgangstermijn om deze update door te voeren.

Acties voor partijen met een ISO 27001-managementsysteem:

  1. Updaten van de verklaring van toepasselijkheid ofwel Statement of Applicability (VvT ofwel SoA);
  2. Doorvoeren van de gekozen maatregelen in deze nieuwe VvT, voornamelijk gericht op de 11 nieuwe controles;
  3. Actualiseren van de koppeling tussen de nieuwe beheersmaatregelen uit de Bijlage A met het aanwezige risicomanagement;
  4. Detailering genomen maatregelen als zijnde preventief of correctief en betrekking hebbende op Beschikbaarheid, Integriteit en/of Vertrouwelijkheid.

Wilt u nu al meer weten over de nieuwe ISO 27002 en wat dit voor uw ISO 27001 ISMS betekend. Neem vrijblijvend contact op met uw adviseur of via ons contactformulier.