Shamrock Information Security (NL)

"Are you sure your business is secure?"

ISO27001 gaat op de schop!

Dit jaar zijn er kleine en ook zeer grote wijzigingen doorgevoerd in de meest bekende internationale standaard voor het beheer van een information security management systeem (ISMS) en de daarbij behorende code of practice (ISO27002). Wat is er verandert? 
 Wat betekent dit als ik al gecertificeerd ben of als ik op weg ben naar certificering? En hoe zit dat nu met die NEN7510 voor de zorg dan of de BIO voor de overheid? In een korte serie video’s met bijgaande informatie leggen wij uit wat er precies is verandert en waar uw onderneming rekening mee moet gaan houden.

Video’s

Wij zijn nog druk bezig met het produceren van een aantal video’s die bij deze kennisbank pagina komen, deze zullen binnen enkele weken aan de pagina worden toegevoegd.

Wat is de ISO27001?

De ISO27001 is de standaard voor het opzetten, onderhouden, en continue verbeteren van uw informatiebeveiliging. Dat doet de standaard door eisen te stellen aan een information security management system (ISMS) waaraan dan weer een set van beveiligingsmaatregelen (controls) is gekoppeld.
Deze internationale standaard legt dus de basis voor een veilige organisatie en stelt daar dan ook eisen aan waaraan uw organisatie moet voldoen, nou ja, moet voldoen als u ook voor de bijbehorende certificering gaat natuurlijk.

De ISO27001 is onderdeel van een hele familie aan standaarden die wij de ISO27000 familie noemen, alle standaarden hebben te maken met informatiebeveiliging en/of privacy. Heel veel van die standaarden zijn een uitbreiding en/of uitwerking van onderdelen uit de ISO27001.
Zo zijn er standaarden voor cloud, privacy in de cloud, industriële systemen en een volledig redelijk recent nieuwe standaard voor een personal information management systeem (PIMS). Deze laatste is een aanvulling op de standaard voor het ISMS en is er gekomen nadat wij in Europa de AVG hebben ingevoerd.

Mocht dit u bekent voorkomen en u bent bijvoorbeeld gecertificeerd, of bezig hiermee, voor bijvoorbeeld de ISO9001 voor kwaliteitsmanagement? Dat kan goed. De ISO (International Standards Organisation) heeft over de laatste jaren de opzet van standaarden die een management systeem hebben redelijk tot zeer ver gelijk getrokken in opzet en in eisen, zover als die hoog-over kunnen worden neergezet. Natuurlijk zijn er per standaard ook onderwerp specifieke zaken, kwaliteit is toch wat anders dan informatiebeveiliging. Maar de structuur is wel gelijk en het is dan ook goed dat dit geharmoniseerd is of wordt.

ISO27001:2013 vs. ISO27001:2022

Eigenlijk, eerlijk gezegd, verandert er niet zo heel erg veel. Er zijn hier en daar wat tekstuele wijzigingen doorgevoerd en de harmonisatie, waar we het net al over hadden, is verder doorgevoerd. Zo zijn er wijzigingen doorgevoerd zodat de ISO27001 nog meer aansluit op de wijze waarop de ISO9001 werkt. Alleen maar fijn als je voor beide gecertificeerd bent of wil worden.

De grootste wijziging in de standaard betreft de tekst die gaat over de verklaring van toepasselijkheid en de te selecteren controls (maatregelen).
Die wijziging is opzich wel interessant. Waar de oude standaard sprak over “Bijlage A bevat een uitgebreide lijst van beheersdoelstellingen en beheersmaatregelen.”, heeft de nieuwe standaard het over “Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. ”

Twee dingen vallen op:

  • De term beheersdoelstellingen is verdwenen
  • “uitgebreide” is vervangen door “mogelijke”

Het lijkt een kleine wijziging, maar waar de oude standaard de bijlage A aanmerkte als een uitgebreide lijst en daarmee het idee gaf dat die lijst best wel eens compleet zou kunnen zijn, doet de nieuwe versie van de norm dat duidelijk niet meer en spreekt van een mogelijke lijst zonder daaraan het idee te koppelen dat die volledig is of dat je die volledig moet implementeren. Dat is overigens niet het geval.

Waarom het is gewijzigd is lastig te achterhalen, maar het zou zo maar kunnen zijn dat te veel bedrijven gewoon de controls uit de annex A overnamen en niet verder keken of ze nog wat miste.

De bedoeling van dit stuk uit de standaard is om voor jouw bedrijf een passende lijst aan controls te kiezen, de lijst in bijlage A kan je helpen om te zien of je niets gemist hebt. Dat is 180 graden gedraaid ten opzichte van hoe veel organisaties het doen, zoals we hierboven al aangaven.
Het ligt dus voor de hand dat dit zeker heeft meegespeeld in deze wijziging.

En de ISO27002 dan?

Nog een standaard? Ja, maar niet eentje waarvoor je gecertificeerd kan worden. Hierboven schreven we al dat de meeste standaarden uit die ISO27000 familie een aanvulling of uitbreiding zijn op de ISO27001 en dat is dus ook hier het geval.
Maar wel een direct gelinkte uitbreiding.

Hoe zit dat?

De bijlage bij de ISO27001, bijlage A, is een directe link met de ISO27002 standaard. De controls in de bijlage verwijzen namelijk direct naar de hoofdstukken en paragraven uit de andere standaard.
Die hoofdstukken en paragraven zijn natuurlijk een stuk uitgebreider en geven veel meer een zet van richtlijnen per control (paragraaf) aan die je kan gebruiken om de controls verder te vertalen naar jouw wijze van implementatie.

Moet je die controls uit bijlage A (ISO27002) allemaal implementeren?

Zeker niet, het kan best goed zijn dat er een aantal voor jouw niet van toepassing zijn. Neem bijvoorbeeld een aantal veiligheidsmaatregelen rond software ontwikkeling, als je dat niet doet hoef je die natuurlijk ook niet te implementeren. Sterker nog, feitelijk mag je je eigen lijst aan controls kiezen en voldoe je daarmee ook prima aan de standaard.

De bijlage A lijst is, zeker in de nieuwe versie, een richtlijn en zeker geen verplichting. Nu was dat in de oude standaard ook al zo, maar stond het er wat strikter.
En ja, een auditor zal het fijn vinden als je jouw lijstje natuurlijk koppelt aan het lijstje uit die bijlage A, scheelt hem of haar werk. Maar het hoeft niet.

ISO27002 2013 vs. 2022

Maar is er dan helemaal niets verandert? Zeker wel. De ISO27002 en daarmee dus ook de bijlage A van de ISO27001 is volledig op de schop gegaan.
Je vroeg je vast al af waar de titel van deze pagina vandaan kwam, nu hier vandaan dus.

Wat is er verandert?

We zijn van 14 hoofdstukken naar 4 domeinen terug gegaan en van 114 naar 93 controls. Dat lijkt niet spectaculair, maar als je ziet wat er verandert is gaat dat een flinke impact hebben voor wie de transitie moet gaan maken.

De vier domeinen zijn beter geordend en daarmee zijn de controls makkelijker te vinden die bijvoorbeeld bij fysieke beveiliging horen.
Daarnaast hebben ze dus ook het aantal terug gebracht en daarbij:

  • Een aantal controls verwijdert
  • Controls samengevoegd die nagenoeg hetzelfde of soortgelijke beveiliging boden
  • Nieuwe controls geïntroduceerd vooral rond software ontwikkeling en privacy

Dat betekent dus dat voor het eind van de transitie periode, zie hieronder, jouw ISMS moet worden aangepast op de nieuwe standaard. Daarbij is het nuttig vooral eens goed te kijken naar welke controls je nu hebt en welke uit de nieuwe set echt nog van meerwaarde voor de beveiliging van jouw bedrijf zijn. Daarnaast is het altijd goed te kijken of er nog wat extra’s bij moet waardoor het niveau van beveiliging nog beter is.

Overigens helpt de nieuwe standaard je wel, een vertaaltabel tussen de oude en de nieuwe controls is in bijlage B van de ISO27002 opgenomen.
Kom je er niet uit, dan helpen wij je graag.

Overgangsfase 2013 naar 2022

Natuurlijk kan je niet van de ene op de andere dag gaan voldoen aan de nieuwe standaard. Voor de ISO27001 zal dat nog wel gaan, maar voor de ISO27002 gaat je dat echt niet lukken.
Daarom is er een transitie periode beschikbaar en heb je 3 jaar de tijd na de datum waarop de nieuwe ISO27001 is gepubliceerd om die transitie af te ronde. Die datum was op 31 oktober 2022, dus je hebt tot 31 oktober 2025 de tijd.

Zit je tegen een audit voor hercertificering aan? Kijk dan goed of je die nog volgens de oude of de nieuwe norm gaat laten afnemen. Bepalend hierbij is vooral hoe ver je zelf bent met die transitie natuurlijk.

Doe je het nog volgens de oude norm? Geen man over boord, dat kan gewoon. Je certificaat is dan alleen wel korter geldig dan de gebruikelijke drie jaar, namelijk tot uiterlijk 31 oktober 2025. Dus die transitie, die komt er echt aan.

Wijzigt de NEN7510 ook?

Dat moet haast wel. Sterker nog, het zou vreemd zijn als het niet zo was. De NEN7510 deel 1 is namelijk, op een aantal punten na, een kopie van de ISO27001 en voor de NEN7510 deel 2 geldt dat ook maar dan de ISO27002. Hoewel dat laatste wel wat meer en uitgebreidere toevoegingen heeft dan voor deel 1 het geval is.
Feitelijk zou je kunnen stellen dat het beter te onderhouden was geweest als de NEN7510 puur een aanvulling op de ISO normen was geweest, maar laten we dat maar als een punt voor verbetering zien dan.

Wat wel van belang is, naast de wijzigingen die eraan zitten te komen, is dat het voldoen aan de NEN7510 verplicht gaat worden voor de hele zorg sector, van ziekenhuizen tot kleine praktijken aan toe. En ja daar komen wat verschillen in over hoe die verplichting moet worden ingevuld, maar dat die er kom is zo goed als zeker volgens de bronnen die wij erover gesproken hebben.

Dus mocht u daar nog niet mee bezig zijn? Dan wordt dat op korte termijn wel de hoogste tijd.

En hoe zit het met de BIO?

De BIO, of wel de Baseline Informatiebeveiliging Overheid, is vrijwel een letterlijke kopie van de ISO27002 en dus van de lijst aan controls die je als overheidsinstantie deels moet implementeren. Zelfs zo erg een kopie dat er copyright issues over zijn geweest in de begin periode dat de overheid hiermee bezig was.

Feitelijk is de BIO niet meer of minder dan de ISO27002 + een 30 tot 40 specifieke extra en verplichte overheidsmaatregelen. Dat betekend ook dat je er niet voor gecertificeerd kan worden. Nee echt niet.

Wat wel kan is die extra maatregelen meenemen in je verklaring van toepasselijkheid voor je ISO27001 certificering. Daarmee kan je er dus wel aan voldoen, maar er is geen manier dus voor een aparte certificering hiervoor.

En ja, ook deze zal op de schop moeten. Hierboven vertelde we al dat de ISO27002 volledig op de schop is gegaan en omdat de BIO, op die 30 tot 40 controls na, er een vrijwel letterlijke kopie van is, moet die er dus ook aan geloven.

Wanneer en op welke termijn dat gaat gebeuren is niet geheel duidelijk. Wat wel duidelijk is, is dat het traject inclusief de aanpassingen die de gehele overheid (rijk, gemeenten, provincies, waterschappen etc.) moeten doen op 31 oktober 2025 moet zijn afgerond. Dan vervallen namelijk alle certificaten voor de ISO27001 die op de oude norm, en dus de oude BIO, zijn gebaseerd.