Flinke update voor ISO 27002

door | 22 februari 2021

Medio vorig jaar liet het Nederlands Normalisatie-instituut (NEN) weten dat de internationale norm voor informatiebeveiliging ISO27002 een update krijgt. ISO 27002 is een verdieping op ISO 27001 en geeft praktische handvatten voor het verkleinen van de in kaart gebrachte risico’s. De normen worden periodiek herzien om ze relevant en actueel te houden. Het instituut verwachtte zelf dat bij de herziening aanzienlijke wijzigingen zouden worden doorgevoerd, zowel in de structuur van het document als in de inhoud van de security controls.

Inmiddels is meer duidelijk over de veranderingen die op stapel staan. Vooral de structuur van de norm wordt gewijzigd. Verder worden nieuwe maatregelen toegevoegd en is een aantal bestaande maatregelen aangepast en samengevoegd.

Risicodenken
In de herziene norm worden de maatregelen ingedeeld in vier thema’s: organizational controls, people controls, physical controls en technological controls. Deze nieuwe indeling sluit veel beter aan op de verschillende soorten bedreigingen, zoals risico’s op grond van menselijke fouten en technologie en fysieke risico’s. De soorten risico’s zijn dus eenvoudiger te koppelen aan de desbetreffende maatregelen. Het risicodenken binnen ISO 27001 wordt dus veel belangrijker en voorkomt dat de ISO-maatregelen simpelweg een afvinklijstje worden.

Betere aansluiting
De hoofdstukindeling is ook gewijzigd. De werkgroep verwacht dat de jaarlijkse risicoanalyse zo beter aansluit op de maatregelen, omdat de nieuwe indeling lijkt op een organisatiestructuur. Zie hieronder de nieuwe hoofdstukindeling van ISO 27001/2:

Introduction
1 Scope
2 Normative references
3 Terms, definitions and abbreviated terms
4 Structure of this document
5 Organizational controls
6 People controls
7 Physical controls
8 Technological controls

Aangepaste maatregelen
Het aantal beheersmaatregelen is teruggebracht naar 96. Een aantal bestaande maatregelen is aangepast en samengevoegd en er worden 13 nieuwe maatregelen toegevoegd:

5.7 Threat Intelligence
5.23 Information security for use of cloud services
5.30 ICT readiness for business continuity
7.4 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.13 Information protection using digital rights technologies
8.17 Monitoring activities
8.21 Vulnerability disclosure and handling in delivering ICT products and services
8.24 Web filtering
8.30 Secure coding

Wanneer moeten we aan de nieuwe richtlijnen voldoen?
De herziene versie van ISO 27002 wordt naar verwachting in het vierde kwartaal van dit jaar gepubliceerd. Maar wees gerust, zoals gebruikelijk bij de herziening van een norm zal er sprake zijn van een overgangsperiode. Bij de vorige update was dit een periode van twee jaar. En niet onbelangrijk, je certificaat blijft natuurlijk gewoon geldig. Alleen zul je bij een hercertificering de nieuwe indeling moeten implementeren.

Heeft u vragen over de implementatie van ISO 27001 of  ISO 27002? Of over de impact van de aanpassing op uw huidige ISO 27001/2 certificering? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.