ISO27001 gaat op de schop!
Dit jaar zijn er kleine en ook zeer grote wijzigingen doorgevoerd in de meest bekende internationale standaard voor het beheer van een information security management systeem (ISMS) en de daarbij behorende code of practice (ISO27002). Wat is er verandert?
Wat betekent dit als ik al gecertificeerd ben of als ik op weg ben naar certificering? En hoe zit dat nu met die NEN7510 voor de zorg dan of de BIO voor de overheid? In een korte serie video’s met bijgaande informatie leggen wij uit wat er precies is verandert en waar uw onderneming rekening mee moet gaan houden.
Video’s
Wij zijn nog druk bezig met het produceren van een aantal video’s die bij deze kennisbank pagina komen, deze zullen binnen enkele weken aan de pagina worden toegevoegd.
Wat is de ISO27001?
De ISO27001 is de standaard voor het opzetten, onderhouden, en continue verbeteren van uw informatiebeveiliging. Dat doet de standaard door eisen te stellen aan een information security management system (ISMS) waaraan dan weer een set van beveiligingsmaatregelen (controls) is gekoppeld.
Deze internationale standaard legt dus de basis voor een veilige organisatie en stelt daar dan ook eisen aan waaraan uw organisatie moet voldoen, nou ja, moet voldoen als u ook voor de bijbehorende certificering gaat natuurlijk.
De ISO27001 is onderdeel van een hele familie aan standaarden die wij de ISO27000 familie noemen, alle standaarden hebben te maken met informatiebeveiliging en/of privacy. Heel veel van die standaarden zijn een uitbreiding en/of uitwerking van onderdelen uit de ISO27001.
Zo zijn er standaarden voor cloud, privacy in de cloud, industriële systemen en een volledig redelijk recent nieuwe standaard voor een personal information management systeem (PIMS). Deze laatste is een aanvulling op de standaard voor het ISMS en is er gekomen nadat wij in Europa de AVG hebben ingevoerd.
Mocht dit u bekent voorkomen en u bent bijvoorbeeld gecertificeerd, of bezig hiermee, voor bijvoorbeeld de ISO9001 voor kwaliteitsmanagement? Dat kan goed. De ISO (International Standards Organisation) heeft over de laatste jaren de opzet van standaarden die een management systeem hebben redelijk tot zeer ver gelijk getrokken in opzet en in eisen, zover als die hoog-over kunnen worden neergezet. Natuurlijk zijn er per standaard ook onderwerp specifieke zaken, kwaliteit is toch wat anders dan informatiebeveiliging. Maar de structuur is wel gelijk en het is dan ook goed dat dit geharmoniseerd is of wordt.
ISO27001:2013 vs. ISO27001:2022
Eigenlijk, eerlijk gezegd, verandert er niet zo heel erg veel. Er zijn hier en daar wat tekstuele wijzigingen doorgevoerd en de harmonisatie, waar we het net al over hadden, is verder doorgevoerd. Zo zijn er wijzigingen doorgevoerd zodat de ISO27001 nog meer aansluit op de wijze waarop de ISO9001 werkt. Alleen maar fijn als je voor beide gecertificeerd bent of wil worden.
De grootste wijziging in de standaard betreft de tekst die gaat over de verklaring van toepasselijkheid en de te selecteren controls (maatregelen).
Die wijziging is opzich wel interessant. Waar de oude standaard sprak over “Bijlage A bevat een uitgebreide lijst van beheersdoelstellingen en beheersmaatregelen.”, heeft de nieuwe standaard het over “Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. ”
Twee dingen vallen op:
- De term beheersdoelstellingen is verdwenen
- “uitgebreide” is vervangen door “mogelijke”
Het lijkt een kleine wijziging, maar waar de oude standaard de bijlage A aanmerkte als een uitgebreide lijst en daarmee het idee gaf dat die lijst best wel eens compleet zou kunnen zijn, doet de nieuwe versie van de norm dat duidelijk niet meer en spreekt van een mogelijke lijst zonder daaraan het idee te koppelen dat die volledig is of dat je die volledig moet implementeren. Dat is overigens niet het geval.
Waarom het is gewijzigd is lastig te achterhalen, maar het zou zo maar kunnen zijn dat te veel bedrijven gewoon de controls uit de annex A overnamen en niet verder keken of ze nog wat miste.
De bedoeling van dit stuk uit de standaard is om voor jouw bedrijf een passende lijst aan controls te kiezen, de lijst in bijlage A kan je helpen om te zien of je niets gemist hebt. Dat is 180 graden gedraaid ten opzichte van hoe veel organisaties het doen, zoals we hierboven al aangaven.
Het ligt dus voor de hand dat dit zeker heeft meegespeeld in deze wijziging.
En de ISO27002 dan?
Nog een standaard? Ja, maar niet eentje waarvoor je gecertificeerd kan worden. Hierboven schreven we al dat de meeste standaarden uit die ISO27000 familie een aanvulling of uitbreiding zijn op de ISO27001 en dat is dus ook hier het geval.
Maar wel een direct gelinkte uitbreiding.
Hoe zit dat?
De bijlage bij de ISO27001, bijlage A, is een directe link met de ISO27002 standaard. De controls in de bijlage verwijzen namelijk direct naar de hoofdstukken en paragraven uit de andere standaard.
Die hoofdstukken en paragraven zijn natuurlijk een stuk uitgebreider en geven veel meer een zet van richtlijnen per control (paragraaf) aan die je kan gebruiken om de controls verder te vertalen naar jouw wijze van implementatie.
Moet je die controls uit bijlage A (ISO27002) allemaal implementeren?
Zeker niet, het kan best goed zijn dat er een aantal voor jouw niet van toepassing zijn. Neem bijvoorbeeld een aantal veiligheidsmaatregelen rond software ontwikkeling, als je dat niet doet hoef je die natuurlijk ook niet te implementeren. Sterker nog, feitelijk mag je je eigen lijst aan controls kiezen en voldoe je daarmee ook prima aan de standaard.
De bijlage A lijst is, zeker in de nieuwe versie, een richtlijn en zeker geen verplichting. Nu was dat in de oude standaard ook al zo, maar stond het er wat strikter.
En ja, een auditor zal het fijn vinden als je jouw lijstje natuurlijk koppelt aan het lijstje uit die bijlage A, scheelt hem of haar werk. Maar het hoeft niet.