Met Base27 eenvoudig migreren van de ISO 27001:2017 naar 2022
Migratie ISO 27001:2017 → 2022
De Nederlandstalige ISO 27001:2017 (en de Engelstalige ISO 27001:2013) zijn geüpdatet naar de nieuwe ISO 27001:2022. Deze nieuwe norm is beschikbaar in Base27 naast de bestaande versie. De nieuwe norm is aangepast aan de huidige dreigingen, inzichten en technieken. Hiermee sluit het beter aan bij de praktijk van informatiebeveiliging.
Uiteraard moet het ISMS hierop aangepast worden. Het goede nieuws is dat je er niet alleen voor staat; met behulp van Base27 bieden wij je alle ondersteuning om deze migratie mogelijk te maken.
Wanneer moet je aan de slag met de migratie?
Er is een tijdsplanning voor het migreren van een bestaand ISMS naar de nieuwe norm. Een kort overzicht van de relevante data:
- Vanaf 1 februari 2023 is het al mogelijk om gecertificeerd te worden tegen de nieuwe norm;
- Tot 1 mei 2024 mogen initiële audits nog op de oude ISO 27001:2017 uitgevoerd worden, daarna dus niet meer.
- Tot 1 oktober 2025 geldt een transitieperiode voor bestaande certificeringen; voor dit moment dient het ISMS dus gemigreerd en geaudit (hercertificatie) te worden.
Nieuwe implementaties worden door Axxemble uitsluitend nog op basis van de nieuwe norm gedaan.
En hoewel je dus nog wel wat tijd hebt, kunnen migraties vanaf nu worden gestart en worden op verschillende manieren ondersteund.
Let op: ben je ook gecertificeerd voor de NEN 7510? Deze is nog niet bijgewerkt maar dat zal in de loop van 2023 wel gaan gebeuren. Ons advies is deze update af te wachten voordat een migratie gestart wordt.
Start nu met de migratie
Om met het migratieplan aan de slag te gaan dien je deze aan te schaffen. De kosten hiervoor zijn € 990, = excl. BTW.
Na aanschaf wordt het migratieplan beschikbaar gemaakt in je eigen Base27 omgeving en kun je aan de slag.
Uiteraard versturen we je ook een factuur om de betaling te bevestigen.
Hoe ondersteunt Base27 in de migratie?
Base27 biedt de volgende mogelijkheden ter ondersteuning van de migratie naar de nieuwe norm:
- Migratiewizard: deze mogelijkheid is standaard beschikbaar in Base27 en maakt het mogelijk om de norm-referenties voor beleid, risico’s, maatregelen, controles, audits etc. en ook de Verklaring van Toepasselijkheid aan te passen. Deze migratie past voornamelijk referenties aan en maakt geen inhoudelijke wijzigingen.
- Migratieplan: een aanvullend plan om ook inhoudelijk invulling te geven aan de nieuwe norm. Stapsgewijs worden de wijzigingen behandeld en doorlopen; aan het einde is de migratie compleet, ook inhoudelijk.
In dit geval ga je zelf aan de slag met de inhoudelijke wijzigingen (afgezien van de semi-automatische migratie); eventueel met hulp van de online ondersteuning die we bieden in Base27.
Meer ondersteuning benodigd?
Heb je meer ondersteuning nodig qua kennis (of tijd) dan kun je gericht advies en ondersteuning inhuren om met de hulp van een consultant de gehele migratie uit te voeren.
Deze optie stelt je in staat om zaken snel en volledig te migreren, inclusief een interne audit op basis van de nieuwe norm. Deze optie wordt door ons en onze partners aangeboden. Afspraken hierover kun je maken met je eigen contactpersoon.
Benieuwd of Base27 bij uw organisatie past?
Hoe werkt de migratiewizard?
De migratiewizard is voor alle klanten reeds beschikbaar in Base27 via Normenkaders ISO/IEC 27001:2017 (de oude norm dus) Migratie. De migratiewizard maakt het mogelijk om referenties naar het oude normenkader aan te passen naar het nieuwe normenkader. Dit omvat de volgende onderdelen:
- Controls, met name de Verklaring van Toepasselijkheid
- Artikelen (beleid)
- Risico's
- Maatregelen
- Controlelijsten
- Audits
Per onderwerp kan aangegeven worden of en hoe de migratie moet worden uitgevoerd. De migratiewizard kan meerdere keren uitgevoerd worden om stapsgewijs invulling te geven aan de migratie.
Tip: de wizard activeert automatisch het nieuwe normenkader. Mocht deze dus nog niet actief zijn in de Base27 omgeving dan kan dit m.b.v. de wizard. Zijn verder geen wijzigingen gewenst, zet dan alle migratie-opties uit; de wizard zal dan alleen het nieuwe normenkader activeren.
Let op: Na migratie dient het managementsysteem (beleid, maatregelen etc.) verder aangepast te worden aan het nieuwe normenkader. De wizard wijzigt alleen referenties van het oude normenkader naar het nieuwe normenkader!
Om ook inhoudelijk invulling te geven aan de migratie kan het migratieplan gebruikt worden.
Hoe ziet het migratieplan er uit?
Het migratieplan is opgedeeld in verschillende stappen waarbinnen een aantal taken worden onderscheiden; net zoals bij de gebruikelijke operationele planning. Hierbinnen worden wijzigingen in de ISO 27001, vereisten voor de transitie-audit en het juiste gebruik van de migratiewizard behandeld.
Het migratieplan werkt dus samen met de migratiewizard en hiermee wordt een gedeelte van de migratie uit handen genomen en (semi-)automatisch uitgevoerd. In het migratieplan wordt precies aangegeven bij welke stappen met de migratiewizard een bepaalde taak uitgevoerd dient te worden.
Het migratieplan omvat in grote lijnen de onderstaande stappen. Per stap wordt hieronder een korte toelichting gegeven.
Stap 1: Voorbereiding
De eerste stap is de voorbereiding met het activeren van de nieuwe norm; het aanpassen van de planning en toewijzen van taken.
Stap 2: Beleid actualiseren
Vervolgens dient het beleid bijgewerkt te worden. Hierbij kan de migratiewizard een deel van het werk doen, namelijk alle normreferenties van de artikelen naar de nieuwe norm omzetten.
Vervolgens moeten de artikelen en het beleid inhoudelijk geüpdatet worden. Onderdeel hierbij is ook de wijziging in hoofdstuk 4 van de norm over het proces informatiebeveiliging zelf binnen het managementsysteem.
Stap 3: Risico / GAP analyse
Het volgende onderdeel is het uitvoeren van de risico- en GAP-analyse. Wij hebben hiervoor een speciaal dreigingsmodel ontwikkeld met de risico’s bij de migratie en verschillen met de huidige situatie en de ISO 27001:2022.
Dit model voor de risico- en GAP-analyse is exclusief beschikbaar als onderdeel van het migratieplan!
Voor de geïdentificeerde risico’s wordt verder ingegaan op het bepalen van de risico aanpak en het evalueren van de rest-risico’s. De bestaande risico’s zijn gekoppeld aan ‘oude’ normreferenties, dit kan met de migratiewizard omgezet worden.
Stap 4: Bepaal maatregelen en Verklaring van Toepasselijkheid
Alle risico’s die niet geaccepteerd (kunnen) worden, moeten met maatregelen gemitigeerd worden. Voor de bestaande maatregelen geldt dat deze ook aan de nieuwe norm gekoppeld kunnen worden met behulp van de migratiewizard.
Vervolgens de Verklaring van Toepasselijkheid. Deze is vernieuwd op basis van de nieuwe Bijlage A met de nieuwe structuur en de nieuwe maatregelen. Vervolgens wordt stilgestaan bij de beschikbaarheid van voldoende middelen, in overeenstemming met hoofdstuk 7 van de norm.
Stap 5: Informatiebeveiligingsdoelstellingen
Afhankelijk van het detailniveau van de bestaande informatiebeveiligingsdoelstellingen zouden de doelstellingen heroverwogen moeten worden in verband met nieuwe dreigingen, risico’s en maatregelen.
Ook wordt stilgestaan bij het monitoren van de informatiebeveiligingsdoelstellingen omdat dit een aangescherpte eis is in de nieuwe norm.
Stap 6-9: Realisatie van de nieuwe / gewijzigde beheersmaatregelen
De stappen 6, 7, 8 en 9 gaan over het implementeren van de beheersmaatregelen. De nieuwe structuur van Bijlage A met vier categorieën van maatregelen (organisatorisch, mensgericht, fysiek en technologisch) is ook gehandhaafd in het migratieplan. Hierbinnen worden de nieuwe maatregelen uiteengezet met een vertaling naar de praktische invulling ervan.
Dit geldt ook voor de reeds bestaande maatregelen waarbij een significante wijziging is aangebracht.
Stap 10: Controleprogramma
Bij het implementeren van nieuwe maatregelen en het updaten van de bestaande is het ook nodig de controles hierop aan te passen. De (nieuwe) controles dienen (met behulp van de migratiewizard) te worden voorzien van de juiste normreferenties. Hierbij hoort uiteraard ook het uitvoeren van de controles.
Stap 11: Interne audits
De interne audits zijn gebaseerd op individuele maatregelen en clausules uit de ISO 27001. Aangezien er een nieuwe versie van deze norm is, worden er ook handvatten gegeven voor het opnieuw vaststellen van het auditprogramma en voor de audit plannen.
Na het uitvoeren van de interne audits zullen de bevindingen uitgewerkt worden. Naar aanleiding hiervan kan het nodig zijn dat het auditprogramma aangepast wordt. Na de interne audits dient er zoals gebruikelijk gerapporteerd te worden aan het management.
Stap 12: Hercertificering
De laatste stap heeft betrekking op de hercertificering. Er moet namelijk een auditor gecontacteerd worden waarbij duidelijk wordt aangegeven dat het om de migratie-audit gaat.
Controleer de Verklaring van Toepasselijkheid, of dit de nieuwe, actuele versie is en of de nieuwe (en gewijzigde) maatregelen daadwerkelijk zijn geselecteerd of uitgesloten.
Voor het uitvoeren van de externe audit moet er een directiebeoordeling zijn geweest; hieraan wordt dan ook aandacht geschonken.
Vervolgens het plannen en uitvoeren van de audits, waarbij het goed is om vooraf de vereiste medewerkers beschikbaar te maken. Na de audit kunnen er bevindingen en afwijkingen zijn die opvolging vragen.
Bij goed resultaat ben je gecertificeerd voor de nieuwe ISO 27001:2022!
Hoe kan ik aan de slag met het migratieplan?
Om met het migratieplan aan de slag te gaan dien je deze aan te schaffen. De kosten hiervoor zijn € 990, = excl. BTW.
Na aanschaf wordt het migratieplan beschikbaar gemaakt in je eigen Base27 omgeving en kun je aan de slag.
Uiteraard versturen we je ook een factuur om de betaling te bevestigen.