Nieuwe versie ISO/IEC 27002 gepubliceerd

Volgens Cybercrime Magazine wordt verwacht dat de kosten van cybercriminaliteit wereldwijd met 15% per jaar zullen toenemen en in 2025 zullen zijn opgelopen tot 10,5 biljoen dollar. Informatiebeveiliging blijft dan ook een van de meest uitdagende aspecten voor organisaties wereldwijd. 

De normen ISO/IEC 27001 en ISO/IEC 27002 geven een kader om de informatiebeveiliging van een organisatie te beheersen en te verbeteren.  ISO/IEC 27001 biedt een raamwerk (‘Information Security Management System’, kortweg ISMS) voor beheren van informatiebeveiliging, terwijl ISO/IEC 27002 richtlijnen/ goede praktijken beschrijft om de in ISO/IEC 27001 geïdentificeerde risico’s inzake informatiebeveiliging te beheersen, te verminderen of te elimineren.

 

Informatieveiligheid omvat de CIA (confidentiality, integrity & availability) van alle informatie en dus niet enkel de privacygevoelige informatie. Hiervoor is in 2019 de ISO/IEC ISO 27701 gepubliceerd. ISO/IEC 27701 specificeert eisen en geeft richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor privacy-informatie (‘Privacy Information Management System’, PIMS) in de vorm van een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacy management binnen de context van de organisatie.

 

Kortom, een ISMS (eventueel uitgebreid als PIMS) garandeert de beheersing en continue verbetering van bedreigingen van buitenaf, maar ook de garantie tot beschikbaarheid, juistheid en bescherming van (privacy-)informatie voor de stakeholders van de organisatie.

 

De bijgewerkte versie van ISO/IEC 27002 is gepubliceerd op 15 februari 2022 en de laatste wijzigingen zullen ook in Bijlage A van de ISO/IEC 27001:2013 (aangeduid als ISO/IEC 27001:2013+A1:2022) aangepast worden met een normatieve versie van de 93 nieuwe controles.

De officiële publicatie van de ISO/IEC 27001-wijzigingen zullen naar verwachting in juni 2022 worden gepubliceerd. 

De belangrijkste wijzigingen in ISO/IEC 27002:2022

Aantal controles

In de herziene versie van ISO/IEC 27002 wordt het aantal controles op informatiebeveiliging teruggebracht van 114 naar 93 controles, verdeeld over vier secties:

  • Organisatorische beveiligingsmaatregelen (clausule 5)
  • Persoonscontroles (clausule 6)
  • Fysieke controles (clausule 7)
  • Technologische controles (clausule 8)

Er wordt van uitgegaan dat op basis van de nieuwste structuur het proces van het aanwijzen van verantwoordelijkheden en de toepasbaarheid van controles eenvoudiger zal zijn.

Nieuwe controles

Daarnaast zijn er 11 nieuwe controles opgenomen:

 

  • 5.7 Informatie over bedreigingen
  • 5.23 Informatiebeveiliging voor het gebruik van cloud-diensten
  • 5.30 ICT-paraatheid voor bedrijfscontinuïteit
  • 7.4 Toezicht op fysieke beveiliging
  • 8.9 Configuratiebeheer
  • 8.10 Verwijdering van informatie
  • 8.11 Afscherming van gegevens
  • 8.12 Voorkomen van lekken in gegevens
  • 8.16 Bewakingsactiviteiten
  • 8.23 Webfiltering
  • 8.28 Beveiligde codering
Samengevoegde controles

Hoewel het aantal controles is verminderd, zijn er in de nieuwste versie van de norm geen controles uitgesloten. Ze zijn echter samengevoegd. Twee voorbeelden van samengevoegde clausules zijn hieronder weergegeven:

 

  • De controles 5.1.1 Beleid voor informatiebeveiliging en 5.1.2 Evaluatie van het beleid voor informatiebeveiliging werden samengevoegd tot 5.1 Beleid voor informatiebeveiliging.
  • De controles 11.1.2 Fysieke toegang en 11.1.6 Leverings- en laadruimten werden samengevoegd in 7.2 Fysieke toegang.

Gevolgen voor uw ISMS volgens ISO/IEC en overgangsperiode

De nieuwe wijziging van ISO/IEC 27001, zal alleen wijzigingen in bijlage A bevatten, terwijl de hoofdstukken 4 tot en met 10 hetzelfde zullen blijven.

Waarmee moet u dus rekening houden bij deze wijziging?

  • Zodra de bijgewerkte Bijlage A van ISO/IEC 27001 is gepubliceerd, zult u de Verklaring van Toepasselijkheid of Statement of Applicability moeten bijwerken, zodat deze kan worden afgestemd op de nieuwe lijst van beveiligingsmaatregelen.
  • Volgens de eis 6.1.3.c) van de norm ISO/IEC 27001:2013 dienen de risicobehandeling op het gebied van informatiebeveiliging en de gekozen opties voor risicobehandeling gelinkt te worden aan de controles uit Annex A. Deze koppeling zal u dienen te herzien volgens de nieuw structuur van Annex A volgens de nieuwe ISO/IEC 27002:2022 na publicatie van de ISO/IEC 27001:2022 update.
  • De overgangsperiode voor deze wijzigingen is nog niet bekendgemaakt, maar zal waarschijnlijk 2 jaar bedragen vanaf de datum van de officiële ISO/IEC 27001:2022-update.