ISO 27002 is een aanvullende standaard voor informatiebeveiliging en daarmee een verdieping op ISO 27001. Het biedt richtlijnen en best practices om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen. ISO 27002 bestaat uit een lijst van potentiële besturingselementen en -mechanismen (controls) die zo zijn ontworpen dat ze met behulp van ISO 27001 kunnen worden geïmplementeerd. Recentelijk zijn er veranderingen doorgevoerd in de ISO 27001 en 27002 richtlijn en daar vertellen we graag meer over.

Wijzigingen ISO 27001:2022

De verandering in de ISO 27001 zijn redelijk beperkt, aanleiding voor de beperkte herziening van ISO was het aansluiten van bijlage A op de wijzigingen in de structuur en opzet van ISO 27002:2022. Aangezien de verwijzing naar de ISO 27002 onderdeel is van de ISO 27001 is deze op een aantal punten beperkt gewijzigd. De grootste wijzigingen: Behoeftes en verwachtingen van stakeholders wordt belangrijker. Plannen van wijzigingen is in de 27001 versie ingevoegd en verdieping op het gebied van Van uitbesteden naar extern geleverde processen, producten en diensten

Wijzigingen ISO 27002:2022

ISO 27002 kent de meeste ingrijpende wijzigingen. De ISO 27002:2022 omvat een aantal nieuwe aanbevelingen en richtlijnen om organisaties te helpen bij het implementeren van effectieve informatiebeveiligingsmaatregelen. Deze herziening heeft onder andere betrekking op Cloud beveiliging, mobiele apparaten en de bescherming van persoonsgegevens.

Wat moet u doen als organisatie?

De veranderingen in de ISO 27001 en 27002 hebben impact op organisaties. Het is belangrijk om processen en beleid te herzien om aan de nieuwe eisen te voldoen. Dit kan bijvoorbeeld betekenen dat er aanpassingen in het risicomanagementproces dienen plaats te vinden, zoals het uitvoeren van regelmatige risicoanalyses en het bijwerken van beveiligingsmaatregelen.

Daarnaast is het essentieel voor organisaties om te investeren in bewustwordingsprogramma’s en trainingen voor medewerkers om ervoor te zorgen dat zij op de hoogte zijn van de nieuwste beveiligingspraktijken. Dit draagt bij aan het verminderen van menselijke fouten en incidenten als gevolg van onvoldoende kennis of begrip.

Wat moet u doen als u al gecertificeerd bent?

Organisaties die al gecertificeerd zijn volgens de vorige versies van ISO 27001 en ISO 27002 verliezen niet direct hun certificering. Er komt een overgangsperiode waarin deze organisaties de tijd hebben om hun systemen en processen aan te passen aan de nieuwe normen. Wel is het raadzaam om zo snel mogelijk te beginnen met de voorbereidingen, zodat uw organisatie klaar is om te voldoen aan de vereisten van ISO 27001:2022 en ISO 27002:2022.

IMR helpt u graag

Wij kijken graag met u mee om herzieningen van ISO 27001 en ISO 27002 zorgvuldig te bestuderen en de nodige acties te ondernemen. Dit doen we onder andere door het opstellen van een GAP Analyse en het toetsen van de veranderingen door wijzigingen aan de hand van de herziene richtlijn. Met als doel het opzetten en onderhouden van een effectief informatiebeveiligingsbeheersysteem is van belang om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen.

Stel uw vraag

Neem gerust contact op met onze collega Tom (Informatiebeveiliging Professional). Hij helpt u graag verder. Samen zorgen we ervoor dat uw organisatie aan de hoogste normen van informatiebeveiliging voldoet.