Nieuwe ISO 27001 en 27002 op komst, wat verandert er?

Dit artikel delen:
Cybersecurity-educatie

Normen en standaardisatie-instituut NEN heeft een herziene versie gepubliceerd van ISO 27002. Dat heeft ook gevolgen voor ISO 27001. We zetten op een rij wat er is veranderd, op welke termijn dit gaat gebeuren en wat de gedachte achter die wijzigingen is.

ISO 27002 is een praktijkrichtlijn met beheersmaatregelen voor informatiebeveiliging. ‘Die lijst van mogelijk te nemen maatregelen is een soort van best practice guide om informatiebeveiliging te verbeteren. Het is de bedoeling dat organisaties door middel van een risicoanalyse zelf maatregelen selecteren’, licht Hugo Leisink, senior adviseur cybersecurity bij het NCSC en lid van de NEN-normcommissie voor informatiebeveiligingsnormen, toe. NEN: ‘De norm is ontwikkeld voor organisaties van elk type en elke omvang en moet zaken als afpersing, diefstal van data en uitval van ict-diensten voorkomen.’

Om bij te blijven bij de veranderingen op het gebied van security wordt de norm om de vijf jaar aangepast. De belangrijkste wijzigingen ten opzichte van de vorige versie uit 2017 zijn (volgens NEN): Een nieuwe structuurindeling van de norm, daardoor is het eenvoudiger om te bepalen wie de eigenaar wordt van een beheersmaatregel. Ook zijn die beheersmaatregelen verdeeld in vier hoofdstukken. Namelijk: organisatorische maatregelen, mensen, fysieke maatregelen en technologische maatregelen.’

NEN: 'In het proces moet de norm op Europees niveau nog worden aanvaard. Naar verwachting wordt de norm pas na augustus 2022 aangepast. De Nederlandse vertaling van de herziene versie wordt waarschijnlijk op korte termijn gepubliceerd.'

27001 en 27002

De wijziging van ISO 27002 heeft ook gevolgen voor ISO 27001. ISO 27001 is een norm om informatiebeveiliging op managementniveau in te richten. Voor ISO 27001 kunnen organisaties zich laten certificeren. Leisink: ‘Daarbij wordt dus niet zo zeer gekeken of organisaties hun  beveiliging op orde hebben, maar of het organiseren van informatiebeveiliging op orde is.  Dat moet uiteindelijk leiden tot een daadwerkelijke verbetering van informatiebeveiliging.'

Hij vervolgt: 'Achterin 27001 zit een lijst van de maatregelen, deze worden controls genoemd en die staan in 27002. Zie het als een soort van 27002 index of hoofstukindeling die achter in 27001 staat.’

Hij wijst erop dat, doordat 27002 vernieuwd is, de 27002-index in 27001 niet meer klopt en ook bijgewerkt zal moeten worden. 'Als dat gebeurt, is de kans groot dat ze naast die 27002 index ook wat andere verbeteringen doorvoeren.’ Volgens NEN volgt in mei of juni van dit jaar een nieuwe versie van ISO 27001 die aansluit op ISO 27002.

Webinar

NEN organiseert een informatiebijeenkomst over de herziening van ISO 27002 op 10 maart 2022 van 10.00 tot 11.30 uur. Belanghebbende partijen komen dan meer te weten over de nieuwste ontwikkelingen rondom ISO 27002. Daarnaast is er tijd voor vragen. Aanmelden voor dat webinar kan hier

Dit artikel is aangepast. In een eerdere versie stond onder meer dat ISO 27002 een opvolger van ISO 27001 is. Dat is niet juist, 27001 en 27002 zijn twee aparte normen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-02-24T13:01:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.