Een update van ISO 27002: wat is de impact?

De vorige versie van ISO 27002 kwam uit 2013, dus dat er een update in februari 2022 is uitgebracht, mag geen verrassing heten. Maar wat is er dan veranderd? Of allereerst nog even een stapje terug, wat is het verschil met het bekendere broertje, de ISO 27001 norm voor informatiebeveiliging? We vertellen je er in dit artikel graag meer over.

ISO 27001 – een samenvatting

ISO 27001 is de internationale norm voor informatiebeveiliging. Voldoen aan de norm, betekent dat een organisatie in staat is de vertrouwelijkheid, beschikbaarheid en de integriteit van de informatie te beschermen en de continuïteit te waarborgen. Het betekent ook dat een organisatie eventuele risico’s in kaart brengt, aanpakt en monitort. Een ISO 27001 certificaat is daarmee dan ook niet zozeer een einddoel, maar eerder een vertrekpunt waarbij informatiebeveiliging de plek in de bedrijfsstrategie krijgt, die het verdient.

ISO 27002 – een samenvatting

ISO 27002 is het broertje van ISO 27001. Een soort nakomertje misschien wel. Het broertje dat graag dat verdiepende gesprek met je aangaat. Zoals wellicht bekend; in ISO 27001 is de risicoanalyse een verplicht onderdeel om op te kunnen gaan voor certificering. Je kunt deze ISO 27002 normering daarom het beste zien als een tool om die risicoanalyse optimaal uit te voeren. Daarmee is ISO 27002 dus geen losstaande norm waar je je voor kunt certificeren, maar meer een verdiepingsslag op je ISO 27001 implementatie. De term ‘implementatie richtlijn’ dekt daarbij het beste de lading. ISO 27002 geeft je per zogenoemde control de best practices; hoe organiseer je nou een goed wachtwoordbeleid? Hoe ga je om met toegangsrechten?

Deze lijst met controls herkent de doorgewinterde ISO specialist misschien wel als de controls uit bijlage A van ISO 27001, maar je zult zien dat je voor ISO 27002 een stuk gedetailleerder moet zijn over hoe je de risico’s aan gaat pakken.

ISO 27001:2013 al op zak?

Ben je al ISO 27001:2013 gecertificeerd? Dan is het voor jou vooral relevant om te weten wat de wijzigingen zijn in de nieuwe norm. Dat zijn er behoorlijk wat, maar we beperken ons in deze blog tot de belangrijkste. Allereerst is er in de norm niet langer sprake van ‘best practices’, maar maar van richtlijnen. Ook het taalgebruik in de norm is daarop aangepast; er wordt nu over ‘should’ gebruikt, waardoor ook uit de taal blijkt dat er minder sprake is van vrijblijvendheid. 

De norm is ook uitgebreid met 11 nieuwe beheersmaatregelen, waaronder ‘secure coding’, ‘data leakage prevention’ en ‘threat intelligence’. In totaal is het aantal beheersmaatregelen wel teruggebracht van 114 naar 93 en het aantal thema’s is teruggebracht naar 4: organizational controls, people controls, physical controls en technological controls. Nieuwe inhoud én een nieuwe opzet dus. En dat zorgt ervoor dat een upgrade naar de 2022 versie van de norm betekent dat je nóg beter bent ingericht op het identificeren, voorkomen en inperken van actuele risico’s op het gebied van informatiebeveiliging.

Toekomstbestendig

Natuurlijk is het opmerkelijk: eerst een nieuwe implementatie richtlijn (ISO 27002) uitgeven én pas daarna de norm aanpassen die je daadwerkelijk gaat implementeren (ISO 27001). Toch is het raadzaam om daarmee te beginnen. De best practices voor de nieuwe controls, zorgen ervoor dat je organisatie nóg beter is voorbereid op actuele dreigingen. 

Hoog over, betekent het dat je aan de hand van je informatiebeveiligingsmanagementsysteem (ISMS) allereerst gaat kijken naar de impact van die 11 nieuwe beheersmaatregelen. Komen betrokken risico’s al voldoende voor? Moet de analyse worden aangepast? En wat betekent dat voor bestaande processen en documentatie? Wat heeft de nieuwe indeling, met de 4 thema’s voor een impact op de inrichting van jouw ISMS? Hoe ga je de nieuwe attributen op nemen in het ISMS? 

Het antwoord op deze vragen, de zogeheten gap-analyse, bepaalt het implementatieplan; het laat zien welk gat je nog te dichten hebt. Het zorgt er bovendien voor dat je al een flinke voorsprong hebt áls je straks voor de hernieuwde ISO 27001 opgaat.

Hulp nodig bij de gap-analyse? Een concreet advies over hoe je je huidige ISMS ISO 27002:2022-proof kunt maken? Met onze gap-analyse zorgen we er in één dagdeel voor, dat je een helder beeld hebt. Voor een vast bedrag van 1950 euro (ex. BTW), weet jij welke stappen je organisatie moet zetten, om je informatiebeveiliging weer helemaal up to date te brengen. Neem contact op voor de mogelijkheden.