Als je als organisatie al gecertificeerd bent volgens de ISO 27001 dan zal, gegeven een adequate implementatie, de inhoudelijke toepassing niet grootschalig verschillen. Hoewel de link met het managementsysteem en referenties wel aanzienlijk is veranderd.

Onlangs is er een nieuwe ISO 27002 update uitgekomen en in dit blog vertellen wij wat dat inhoudt voor uw organisatie.

De ISO 27002 is gerelateerd aan de ISO 27001 en is een verdieping, of uitwerking, van bijlage A uit de ISO 27001 norm. Waar bijlage A in de ISO 27001 ongeveer twee regels per maatregel beschrijft is dit bij ISO 27002 veel gedetailleerder, inclusief een toelichting hoe dit te implementeren.

In dit blog bespreken wij de volgende punten:

  • Uitleg van de nieuwe norm
  • Belangrijkste verschillen met de bestaande norm
  • Impact op het behalen van de certificering
  • Toekomstige ontwikkelingen

Uitleg van de nieuwe norm

De naam van de nieuwe update is officieel: ISO/IEC 27002:2022.

Naar aanleiding van de nieuwe versie zijn de huidige eisen aangepast en geüpdatet, waardoor deze een betere aansluiting vormt voor verschillende normenkaders, perspectieven en de implementatie.

De ISO 27002 vormt dus de basis voor concrete beheersmaatregelen ten aanzien van de informatiebeveiliging en is een aanvulling op het bestaande en gecertificeerde ISO 27001 managementsysteem.

Bekijk hieronder de Cyber normen landkaart voor een duidelijk inzicht waar de 27002 onder valt.

normenlandschap-cybersecurity
(NEN SPICE, Hivebrite, 2022)

Belangrijkste verschillen met de bestaande versie

Voor uw organisatie is het belangrijk om in te zien wat de meest belangrijke verschillen zijn in vergelijking met uw huidige managementsysteem.

De update ISO 27002 brengt het volgende met zich mee:

Het aantal beheersmaatregelen verandert van 114 naar 93, hoewel de scope (de inhoudelijke dekking) zich verder uitbreidt.

Verschillende maatregelen zijn samengevoegd of juist gesplitst in nieuwe maatregelen. En zo zijn er ook geheel nieuwe beheersmaatregelen, namelijk:

  • Threat intelligence (5.7)
  • Information security for use of cloud services (5.23)
  • ICT readiness Business continuity (5.30)
  • Physical security monitoring (7.4)
  • Configuration management (8.9)
  • Information deletion (8.10)
  • Data masking (8.11)
  • Data leakage prevention (8.12)
  • Monitoring activities (8.16)
  • Web filtering (8.22)
  • Secure coding (8.28)

Er is een nieuwe indeling op gebied van de inhoudelijke hoofdstukken in de ISO 27002. De nieuwe indeling is veranderd van 13 naar 4 hoofdstukken en is als volgt:

  • Organizational Controls (H5)
  • People Controls (H6)
  • Physical Controls (H7)
  • Technological Controls (H8)
Elke beheersmaatregelin de ISO 27002 heeft ook een aantal attributen (tags) die inzicht geven in de volgende perspectieven:
  • Beheertype
    Preventief, Detectief en Correctief
  • Informatiebeveiliging eigenschappen
    Beschikbaarheid, Integriteit en Vertrouwelijkheid
  • Cyber security concepten
    Identify, Protect, Detect, Respond en Recover
  • Operationele mogelijkheden (capabilities)
    Hierin vindt u een hele set aan opties, waaronder Governance, Continuïteit, Wetgeving, IAM etc.
  • Beveiligingsdomeinen
    Governance & Eco-systeem, Beveiliging, Defensief en Weerstand (resilience)

Tot slot hebben de beheersmaatregelen in de ISO 27002 ook een ander karakter gekregen. Voorheen was de formulering wisselend (must, shall of should). Dit is veranderd naar een vaste gebruiksvorm ‘should’. Hiermee is het minder geformuleerd als best practice en meer als vereiste beheersmaatregel.

Het karakter van de audit is hiermee ook veranderd.

Bijvoorbeeld: de bestaande norm met betrekking tot clear desk/clear screen (11.2.9):

‘’Er behoort een clear desk voor papieren documenten en verwijderbare opslagmedia en een clear screen-beleid voor informatieverwerkende faciliteiten te worden ingesteld.”

Is in de ISO 27002 veranderd naar (7.7, vrij vertaald):

“Clear desk voor papieren documenten en verwijderbare opslagmedia en clear screen-beleid voor informatieverwerkende faciliteiten dient vastgesteld en afgedwongen te worden.” 

Door het toevoegen dat dit beleid ook afgedwongen dient te worden zal een auditor dus niet alleen naar het beleid vragen, maar ook naar de controle hierop.

Impact op behalen van  certificering

Als je als organisatie al gecertificeerd bent volgens de ISO 27001 dan zal, gegeven een adequate implementatie, de inhoudelijke toepassing niet grootschalig verschillen. Hoewel de link met het managementsysteem en referenties wel aanzienlijk is veranderd.

Hiervoor is er een bijlage met kruisverwijzingen naar de oude norm referenties bijgevoegd  in de nieuwe norm (bijlage B).

Voor dit jaar zal er nog weinig gebruik gemaakt worden van de nieuwe aanpak voor nieuwe en bestaande certificeringen die zijn opgesteld in de ISO 27002. Dit gaat veranderen zodra de ISO 27001 deze nieuwe set aan beheersmaatregelen ‘adopteert’ en dus ook de certificeringen betreft.

De verwachting hierbij is dat nieuwe (her-)certificeringen vanaf volgend jaar op basis van de nieuwe set worden uitgevoerd. De overgangsperiode hiervoor zal tussen de twee en drie jaar liggen. Dan zullen de bestaande certificeringen ook hierop getoetst worden.

Om hiermee actief aan de slag te gaan zouden de volgende punten opgepakt moeten worden:

  • Een nieuwe indeling adopteren
    Zorg dat u bekend bent met de nieuwe norm, de aanpak en de verschillen. Pas hierop uw documentatie en managementsysteem aan.
  • ISMS/GRC Tooling
    Dit zal tevens verwerkt moeten worden in het ISMS/GRC tooling. Base27 zal het nieuwe normenkader binnenkort al beschikbaar maken.
  • Risicoanalyse
    Loop de risicoanalyse na en koppel de risico’s aan nieuwe beheersmaatregelen. Base27 zal hiervoor nieuwe suggesties geven op basis van de onderliggende dreigingen.
  • Verklaring van Toepasselijkheid
    Ook de Verklaring van Toepasselijkheid zal opnieuw moeten worden opgesteld. Hiervoor zal Base27 ook ondersteuning bieden.
  • Dekkingscontrole
    Als laatste (en wellicht meest belangrijkste) zult u na moeten gaan of de daadwerkelijke implementatie nog dekkend is voor de nieuwe definities van de beheersmaatregelen.

Toekomstige ontwikkelingen

De ISO 27001 wordt dus niet direct volledig geïmplementeerd.

Let wel op dat er gesuggereerd wordt dat de ISO 27001 medio mei/juni dit jaar al wordt vervangen als basis voor Verklaring van Toepasselijkheid in de vorm van een aanvulling. Deze informatie kan gevonden worden in bijlage A van de nieuwe norm.

Tevens zijn de volgende data bekend:

  • Een geheel nieuwe ISO 27001 zal over enkele jaren verschijnen, reken drie tot vijf jaar. Hierin worden verwijzingen naar termen en definities aangepast, alsook dat de behoeften en verwachtingen van belanghebbenden belangrijker worden.

  • De Nederlandse vertaling van de ISO 27002 zal in de tweede helft van 2022 verschijnen.

  • De wijzigingen hebben ook betrekking op afgeleide normen (van de ISO 27001 en ISO 27002). Zo zal de BIO (Baseline Informatiebeveiliging Overheid) eind 2022 opnieuw ingevuld worden. Meer informatie vindt u op www.bio-overheid.nl. Ook de NEN 7510 zal aangepast worden, hoewel hiervoor nog geen termijnen bekend zijn.

Referenties / bronnen:
NEN (2022). Norm ISO/IEC 27002:2022 en. Information security, cybersecurity and privacy protections - Information security controls. Geraadpleegd op 16 maart 2022 (https://www.nen.nl/iso-iec-27002-2022-en-293144).

NEN SPICE, Hivebrite (2022). SPICE Community. SPICE = Standards, Privacy, Information, Cyber, Engagement. Geraadpleegd op 16 maart 2022 (https://nen.hivebrite.com/).

Wij helpen bedrijven met hun digitale veiligheid