Blog door Nandenie Moenielal, strategisch adviseur security bij Legian.

ISO27001, waarom ook alweer?
De ISO27001 is een wereldwijd erkende standaard op het gebied van informatiebeveiliging. Veel organisaties zijn gecertificeerd om aan te tonen dat zij informatiebeveiliging (of information security) serieus nemen. Geïnitieerd vanuit klanteisen, andere stakeholders of vanuit een eigen intrinsieke motivatie. De ISO27001 wordt ook wel gezien als een kwaliteitskeurmerk.

Mocht je certificering niet nodig vinden, ook dan is de ISO27001 standaard een gedegen instrument om informatiebeveiliging als managementsysteem in te richten binnen je eigen organisatie.

Deadline
Er geldt een overgangsperiode van 3 jaar, waarin zowel de oude als de nieuwe norm geldig zijn. Organisaties hebben tot 1 november 2025 de tijd om hun bestaande certificaten over te zetten naar de nieuwe versie.

Nieuwe norm
‘The international organization of standardization’ (ISO) ontwikkelt de ISO-standaarden, die zij ook benoemen als ‘Een formule die beschrijft hoe de dingen te doen op de beste manier’.

Periodiek worden de standaarden bijgeschaafd. Voor de ISO27001 is dit een update in 2022 (officieel ISO/IEC 27001:2022) ten opzichte van de voorlaatste versie in 2013. Bepaalde wijzigingen hebben een impact op de organisatie, bedrijfsvoering en processen. Dit houdt in dat er bepaalde acties genomen moeten worden.

Over het algemeen zijn er de volgende wijzigingen:

In de norm zien we een aantal belangrijke tekstuele aanpassingen in de hoofdstukken 4, 6 en 8.
Zo is bijvoorbeeld meer aandacht voor de behoeften en verwachtingen van de stakeholders (4.2). Een andere wijziging is dat in hoofdstuk 8 gesproken wordt over het beheersen van extern geleverde processen en diensten, relevant voor het ISMS. Deze toevoeging kan een behoorlijke impact hebben, namelijk het opzetten dan wel uitbreiden van de leveranciersselectie en de bijbehorende producten en diensten. Let wel, het gaat dus niet alleen om kritische leveranciers of outsourcing maar over alle externe geleverde processen, diensten en producten.

Ook in de andere hoofdstukken (5,7,9 en 10) zitten er (kleine) aanpassingen.

Dan kijken we naar Annex A, ook de bijlage van de standaard genoemd.

In het algemeen zien we:
- 11 nieuwe controls
- 24 controls samengevoegd
- 58 controls hernoemd  

Voorheen waren er 14 categorieën van controls. Nu zijn er 4 thema’s, namelijk:
- People
- Organizational
- Technological
- Physical

Belangrijk zijn de 11 nieuwe controls, die voor reeds gecertificeerde organisaties impact zullen hebben. Zo is er aandacht voor Threat Intelligence. Organisaties die voor dit onderwerp nog niets geregeld hebbenebben, zullen dit moeten integreren in hun risicoanalyse, evaluatie en mitigatie. Door middel van Threat intelligence kan de informatie over dreigingen gekoppeld worden aan de mitigatie van risico’s.

Een overzicht van de 11 nieuwe controls:

1. A.5.7 Informatie en analyses over dreigingen;
2. A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten;
3. A.5.30 ICT gereedheid voor bedrijfscontinuïteit;
4. A.7.4 Monitoren van de fysieke beveiliging;
5. A.8.9 Configuratiebeheer;
6. A.8.10 Wissen van informatie;
7. A.8.11 Maskeren van gegevens;
8. A.8.12 Voorkomen van gegevenslekken;
9. A.8.16 Monitoring activiteiten;
10. A.8.23 Het toepassen van webfilters;
11. A.8.28 Veilig coderen.

Aanvullend is er een nog update verschenen: ISO-IEC 27001:2022/Amd 1: 2024 (Climate action changes) *. Hierin wordt geadresseerd om rekening te houden met de mogelijke effecten van klimaatverandering, Dit is vooral van toepassing voor clausule 4.1 en 4.2 van de norm.

*)
ISO/IEC 27001:2022/Amd 1:2024 - Information security, cybersecurity and privacy protection — Information security management systems — Requirements — Amendment 1: Climate action changes.

Hoe nu verder?
Ben je als organisatie ISO27001 gecertificeerd? Dan hoef je je niet direct zorgen te maken. Zoals eerder verteld is er een transitie periode, waarin de ruimte wordt geboden om te voldoen aan de wijzigingen en toevoegingen in de nieuwe norm.
Het is aan te raden om:

• Te beginnen met een gap analyse: maak een mapping tussen de bestaande controls en de hernieuwde norm en controls. Bepaal of en welke wijzigingen nodig zijn om te voldoen aan de nieuwe norm en controls.
    
• Implementeer de nieuwe controls en aanvullende maatregelen/activiteiten: op basis van het inzicht verkregen uit de gap analyse kun je aan de slag. Zo kun je de nieuwe controls vertalen naar de huidige bedrijfsvoering en ook de aanvullende acties en maatregelen uitvoeren en borgen.
    
• Voer een nieuwe interne audit en management review uit op basis van de nieuwe versie van ISO27001.
    
• Zorg voor een goede planning van voorgaande stappen zodat je tijdig een nieuwe audit bij een Certificerende Instelling (CI) kan inplannen. Vergeet daarbij niet dat ook de CI’s een drukke periode tegemoet gaan!

Zo ben jij straks op 1 november 2025 ISO27001‘ready’!