Nieuwe versie ISO/IEC 27002 gepubliceerd
- 14 maart 2022
- Posted by: veerle
- Category: Kennisdeling
Volgens Cybercrime Magazine wordt verwacht dat de kosten van cybercriminaliteit wereldwijd met 15% per jaar zullen toenemen en in 2025 zullen zijn opgelopen tot 10,5 biljoen dollar. Informatiebeveiliging blijft dan ook een van de meest uitdagende aspecten voor organisaties wereldwijd.
De normen ISO/IEC 27001 en ISO/IEC 27002 geven een kader om de informatiebeveiliging van een organisatie te beheersen en te verbeteren. ISO/IEC 27001 biedt een raamwerk (‘Information Security Management System’, kortweg ISMS) voor beheren van informatiebeveiliging, terwijl ISO/IEC 27002 richtlijnen/ goede praktijken beschrijft om de in ISO/IEC 27001 geïdentificeerde risico’s inzake informatiebeveiliging te beheersen, te verminderen of te elimineren.
Informatieveiligheid omvat de CIA (confidentiality, integrity & availability) van alle informatie en dus niet enkel de privacygevoelige informatie. Hiervoor is in 2019 de ISO/IEC ISO 27701 gepubliceerd. ISO/IEC 27701 specificeert eisen en geeft richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor privacy-informatie (‘Privacy Information Management System’, PIMS) in de vorm van een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacy management binnen de context van de organisatie.
Kortom, een ISMS (eventueel uitgebreid als PIMS) garandeert de beheersing en continue verbetering van bedreigingen van buitenaf, maar ook de garantie tot beschikbaarheid, juistheid en bescherming van (privacy-)informatie voor de stakeholders van de organisatie.
De bijgewerkte versie van ISO/IEC 27002 is gepubliceerd op 15 februari 2022 en de laatste wijzigingen zullen ook in Bijlage A van de ISO/IEC 27001:2013 (aangeduid als ISO/IEC 27001:2013+A1:2022) aangepast worden met een normatieve versie van de 93 nieuwe controles.
De officiële publicatie van de ISO/IEC 27001-wijzigingen zullen naar verwachting in juni 2022 worden gepubliceerd.
De belangrijkste wijzigingen in ISO/IEC 27002:2022
Aantal controles
In de herziene versie van ISO/IEC 27002 wordt het aantal controles op informatiebeveiliging teruggebracht van 114 naar 93 controles, verdeeld over vier secties:
- Organisatorische beveiligingsmaatregelen (clausule 5)
- Persoonscontroles (clausule 6)
- Fysieke controles (clausule 7)
- Technologische controles (clausule 8)
Er wordt van uitgegaan dat op basis van de nieuwste structuur het proces van het aanwijzen van verantwoordelijkheden en de toepasbaarheid van controles eenvoudiger zal zijn.
Nieuwe controles
Daarnaast zijn er 11 nieuwe controles opgenomen:
- 5.7 Informatie over bedreigingen
- 5.23 Informatiebeveiliging voor het gebruik van cloud-diensten
- 5.30 ICT-paraatheid voor bedrijfscontinuïteit
- 7.4 Toezicht op fysieke beveiliging
- 8.9 Configuratiebeheer
- 8.10 Verwijdering van informatie
- 8.11 Afscherming van gegevens
- 8.12 Voorkomen van lekken in gegevens
- 8.16 Bewakingsactiviteiten
- 8.23 Webfiltering
- 8.28 Beveiligde codering
Samengevoegde controles
Hoewel het aantal controles is verminderd, zijn er in de nieuwste versie van de norm geen controles uitgesloten. Ze zijn echter samengevoegd. Twee voorbeelden van samengevoegde clausules zijn hieronder weergegeven:
- De controles 5.1.1 Beleid voor informatiebeveiliging en 5.1.2 Evaluatie van het beleid voor informatiebeveiliging werden samengevoegd tot 5.1 Beleid voor informatiebeveiliging.
- De controles 11.1.2 Fysieke toegang en 11.1.6 Leverings- en laadruimten werden samengevoegd in 7.2 Fysieke toegang.
Gevolgen voor uw ISMS volgens ISO/IEC en overgangsperiode
De nieuwe wijziging van ISO/IEC 27001, zal alleen wijzigingen in bijlage A bevatten, terwijl de hoofdstukken 4 tot en met 10 hetzelfde zullen blijven.
Waarmee moet u dus rekening houden bij deze wijziging?
- Zodra de bijgewerkte Bijlage A van ISO/IEC 27001 is gepubliceerd, zult u de Verklaring van Toepasselijkheid of Statement of Applicability moeten bijwerken, zodat deze kan worden afgestemd op de nieuwe lijst van beveiligingsmaatregelen.
- Volgens de eis 6.1.3.c) van de norm ISO/IEC 27001:2013 dienen de risicobehandeling op het gebied van informatiebeveiliging en de gekozen opties voor risicobehandeling gelinkt te worden aan de controles uit Annex A. Deze koppeling zal u dienen te herzien volgens de nieuw structuur van Annex A volgens de nieuwe ISO/IEC 27002:2022 na publicatie van de ISO/IEC 27001:2022 update.
- De overgangsperiode voor deze wijzigingen is nog niet bekendgemaakt, maar zal waarschijnlijk 2 jaar bedragen vanaf de datum van de officiële ISO/IEC 27001:2022-update.
Neem contact op met ons kantoor of laat uw vraag achter via ons contactformulier.
Open opleiding VCA basis
Slechts enkele medewerkers die een opleiding VCA nodig hebben? Sluit aan op de open opleiding en wij zoeken een locatie in de regio.
18 maart 2024-
Forma maakt deel uit van Amelior Group
Forma maakt vanaf eind februari deel uit van de Amelior Group. Hiermee bundelen we de krachten op vlak van operational excellence, kwaliteit, veiligheid, milieu, energie en informatieveiligheid.
14 maart 2024 -
Amendement klimaatverandering voor alle ISO normen
Klimaatverandering is toegevoegd aan alle managementsysteem standaarden. Lees hier hoe je dit toepast in uw managementsysteem.
11 maart 2024 -
Kies voor werkbaar werk in 2024 samen met Forma
In 2024 zijn er opnieuw werkbaarheidscheques beschikbaar! Krijg tot 10 000 euro steun om knelpunten rond werkbaar werk in uw organisatie in kaart te brengen en aan te pakken.
21 december 2023 -
Open opleiding VCA basis en VCA VOL
Slechts enkele medewerkers die een opleiding VCA nodig hebben? Sluit aan op de open opleiding en wij zoeken een locatie in de regio.
2 november 2023 -
Aanbod kwaliteitsopleidingen i.s.m. Voka
Neem deel aan een kwaliteitsopleiding georganiseerd door Voka. Versterk het kwaliteitsmanagement met een opleiding gegeven door Forma.
12 juli 2023 -
Geslaagde eerste stuurgroep ziekenhuizen
De Europese richtlijn NIS2 is in 2022 aangenomen. Op basis hiervan zal de huidige regelgeving op het gebied van cyberbeveiliging worden aangescherpt. Wat betekent dat nu in de praktijk? Ontdek het op de gratis infosessie van 23 maart 2023.
6 juli 2023 -
Gratis infosessie en netwerkevent NIS2
De Europese richtlijn NIS2 is in 2022 aangenomen. Op basis hiervan zal de huidige regelgeving op het gebied van cyberbeveiliging worden aangescherpt. Wat betekent dat nu in de praktijk? Ontdek het op de gratis infosessie van 23 maart 2023.
15 februari 2023 -
Forma is ISO 9001 én ISO 27001 gecertificeerd
We komen het niet zeggen, we komen het doen! En bovenal doen we het ook zelf. Forma is nu ook ISO 9001 én ISO 27001 gecertificeerd.
1 februari 2023 -
Flitscontroles sociale inspectie van 2023 – Wanneer bent u aan de beurt?
De sociale inlichtingen- en opsporingsdienst (SIOD) heeft de de sectoren bekend gemaakt waar en wanneer er flitscontroles verwacht worden. Bereid je voor met de voorziene checklists.
18 januari 2023
