MSP Kennisbank

De GAP-analyse: Zonder gedoe overstappen naar ISO 27001:2022

Lees je dit artikel, dan is de kans groot dat jullie momenteel al gecertificeerd zijn voor ISO 27001:2013 of een oudere versie. Maar sinds kort is ISO 27001:2022 live gegaan en zijn er een aantal zaken veranderd.

Zo zijn er nu een stuk minder controls – 93 in plaats van 114 – en zijn deze nu verdeeld over vier categorieën:

Organizational controls: Alle controls omtrent beleid, procedures en processen.
Organization of information security: Heel concreet hoe je de beveiliging van je informatie inpast binnen je bedrijf. Wie doet wat?
Physical controls: Hiermee worden de echte sloten en grendels bedoeld.
Technological controls: Deze zijn tegen hackers en cyberaanvallen.

Een groot gedeelte van de controls zijn simpelweg samengevoegd, hernoemd of opnieuw ingedeeld, maar er zijn ook een aantal nieuwe controls – daarover lees je meer in dit blog.

Wanneer je nog niet gecertificeerd bent maken deze wijzigingen weinig uit, je begint dan sowieso vanaf 0. Maar wanneer je gecertificeerd bent voor bijvoorbeeld ISO 27001:2013 en de overstap wilt maken naar de nieuwe versie, komt er wat meer bij kijken.

Het is dan namelijk verplicht om een GAP-analyse uit te voeren, je moet daarmee aan een externe auditor aantonen dat je ISMS voldoet aan de nieuwe standaard.

Waarom een goede GAP-analyse de overstap eenvoudiger maakt

Als je overgaat naar de nieuwe ISO 27001:2022-norm, moet je in kaart brengen wat je daarvoor nodig hebt. Door de aanpassingen die zijn doorgevoerd, is je huidige ISMS namelijk niet meer (volledig) in lijn met de nieuwe standaard. Maak je overigens geen zorgen dat je helemaal opnieuw moet beginnen; de kans is groot dat je al veel op orde hebt.

Bij onze klanten die het Security Officer abonnement afnemen, zijn we in sommige gevallen binnen een dag klaar met het nieuwe beleid en zit de grootste winst erin dat ze kunnen leunen op onze expertise en nieuwste beleidsstukken in plaats van zelf alles uit te moeten zoeken. Maar als je wilt dat die overgang bij jullie ook zo soepel verloopt, is het wel belangrijk dat je een goede GAP-analyse uitvoert.

Waarom die GAP-analyse zo belangrijk is?

Je bespaart tijd: Met een GAP-analyse weet je precies waar de pijnpunten zitten. Focus op deze specifieke punten, in plaats van alles overhoop te halen. Vaak zijn een paar aanpassingen genoeg om je beleid en procedures weer up-to-date te krijgen.

Je hebt een duidelijke roadmap: Zet de GAP-analyse in als een duidelijk stappenplan. Het laat zien waar je nu staat en wat je moet doen om aan de nieuwe standaard te voldoen. Dit plan helpt je bij het plannen en doorvoeren van aanpassingen en zorgt dat je informatiebeveiligingssysteem stevig staat onder de nieuwe standaard.

Waar moet je beginnen?

Bij het uitvoeren van een GAP-analyse, is het belangrijk om systematisch te werk te gaan. Wij raden aan om te beginnen met het in kaart brengen van veranderingen op het gebied van de High-Level Structure.

Veranderingen op het gebied van HLS: Bestudeer hoe de structuur en terminologie zijn veranderd in de nieuwe norm.
Beoordeling van controls: Analyseer de nieuwe en gewijzigde controls. Kijk hoe deze zich verhouden tot jouw huidige ISMS.
Prioriteer acties: Bepaal welke wijzigingen de hoogste prioriteit hebben en plan deze als eerste in.
Betrokkenheid van stakeholders: Zorg ervoor dat alle relevante partijen binnen de organisatie betrokken zijn bij de GAP-analyse.
Documentatie: Documenteer je bevindingen en actieplannen duidelijk. Dit helpt niet alleen bij de implementatie, maar is ook essentieel tijdens audits.

Bovenstaande is natuurlijk een voorbeeld qua werkwijze, maar welke zaken moet je nu concreet meenemen in de GAP-analyse?

Risicoanalyse en -behandeling

Integratie van nieuwe normelementen: De eerste stap is het integreren van de nieuwe normelementen in je huidige risicobeheerdocumenten. Het doel is om te bepalen hoe deze nieuwe elementen invloed hebben op je bestaande risicobeheer strategieën.

Afstemming van risico’s op nieuwe maatregelen: Nadat je de nieuwe normelementen hebt geïntegreerd, is het essentieel om je huidige risico’s af te stemmen op deze nieuwe maatregelen. Dit kan betekenen dat sommige risico’s opnieuw moeten worden beoordeeld of geclassificeerd, terwijl andere risico’s nieuwe maatregelen vereisen.

Uitvoering van een nieuwe risicoanalyse: Aan de methodiek is niets veranderd; het is echter wel belangrijk om – na het afronden van de GAP-analyse – de risicoanalyse opnieuw uit te laten voeren. Deze analyse moet in lijn zijn met je operationele planning en rekening houden met de geïntegreerde nieuwe normelementen. Dit zorgt ervoor dat je risicomanagement up-to-date is en effectief blijft onder de nieuwe norm.

Normverwijzingen in beleid

Evaluatie en integratie in huidig beleid: Om je beleid in lijn te brengen met ISO 27001:2022, begin je met een grondige evaluatie. Loop elk hoofdstuk van je beleid door en vervang waar nodig de verwijzingen naar oudere normversies door de actuele ISO 27001:2022-verwijzingen. Dit zorgt ervoor dat je beleid accuraat en up-to-date is. Een handige strategie is om je oude Verklaring van Toepasselijkheid erbij te pakken en te controleren hoe je bestaande beleidsstukken en maatregelen hierin zijn opgenomen.

Consolidatie en actualisatie: Werk je beleid bij door relevante onderdelen te combineren of te vernieuwen, zodat het logisch en uitvoerbaar blijft. Overweeg het toevoegen van een extra kolom aan je Verklaring van Toepasselijkheid voor de nieuwe norm. Hierin kun je per maatregel noteren hoe en waar deze in je beleid en operationele processen is geborgd. Dit helpt bij het creëren van een duidelijk overzicht van hoe je beleid aansluit bij de nieuwe eisen. Let wel op dat de High-Level Structure (HLS) niet direct gekoppeld is aan je beheersmaatregelen, dus zorg dat deze integratie zorgvuldig en doordacht gebeurt.

Combinatie met andere normen

Huidig beleid als basis gebruiken: Vanuit deze basis is het mogelijk om bestaande normen te actualiseren, door nieuwe referenties en standaarden te integreren waar deze voldoende ontwikkeld zijn. Let wel op; als je bijvoorbeeld ISO 9001 of NEN 7510 hebt, is deze structuur hetzelfde als de oude ISO 27001. Denk dus goed na voordat je het beleid omgooit dat zaken nog logisch en vindbaar zijn en houd rekening met de oude verwijzing als je nieuwe en oude normen combineert.

Ondersteunende documenten en procedures controleren: Het is ook belangrijk om bestaande ondersteunende documenten en procedures regelmatig onder de loep te nemen. Dit houdt in dat deze documenten en procedures geëvalueerd moeten worden om te bepalen of ze nog steeds relevant zijn en of ze voldoen aan de huidige standaarden. Waar tekortkomingen worden vastgesteld, moeten deze documenten en procedures worden aangescherpt om zo effectiviteit en compliantie te verzekeren.

Verklaring van Toepasselijkheid

Opstellen van een nieuwe VvT: De VvT moet een overzicht zijn van alle relevante controls voor jouw organisatie. Daarom moet je bij de overgang de nieuwe ISO 27001:2022 elementen opnemen, elke relevante maatregel identificeren en het beheer ervan vastleggen.

Managementbeoordeling

Updaten van het managementbeoordelingstemplate: Begin met het doorlopen van nieuwe normelementen en actualiseer waar nodig je huidige managementbeoordelingstemplate, zodat alle vereisten aanwezig zijn Essentieel is de integratie van nieuwe eisen in het beoordelingsproces. Dit kan inhouden dat je delen van het template moet verbreden of wijzigen om nieuwe punten goed te beschrijven.

Managementbeoordeling uitvoeren na interne audit: De managementbeoordeling na de interne audit is belangrijk om de laatste auditresultaten en normvereisten te verwerken, zodat er een volledig en actueel beeld ontstaat van de naleving van de norm door de organisatie.

Interne Audit

Nieuwe interne audit: Voor het valideren is een nieuwe interne audit essentieel. De audit dient alle nieuwe normelementen te omvatten en te toetsen binnen jouw organisatie.

Bevindingen en verbeterplannen: Documenteer auditbevindingen en stel waar nodig specifieke, meetbare en tijdgebonden actieplannen op.

Kennis

Bewustwording en training: Het is belangrijk dat iedereen binnen je organisatie de veranderingen begrijpt. Zorg voor een (externe) expert die middels trainingen en workshops inzicht in de nieuwe norm biedt.

Bespreek de GAP-analyse met je team: Bespreek GAP-analyse resultaten en veranderingen met het team. Dit zorgt ervoor dat iedereen inzicht krijgt in de huidige prestaties en de doelstellingen. Zorg tijdens deze besprekingen voor een open dialoog zodat teamleden de gelegenheid krijgen om onduidelijkheden aan te kaarten en hun inzichten te delen. Aan de hand van deze besprekingen kun je waar nodig aanvullende procedures en instructies realiseren.

Procedures

Implementatie van nieuwe eisen: Analyseer huidige procedures en bepaal waar aanpassingen of toevoegingen nodig zijn. Bestaande procedures moeten herzien en waar nodig geactualiseerd worden om ze in lijn te brengen met de nieuwe norm.

Aantoonbaarheid transitie

Documentatie van de GAP-analyse: Deze documentatie moet uitgebreid zijn en alle aspecten van de analyse omvatten, je moet hiermee aan kunnen tonen dat je organisatie ‘in control’ is. In hetzelfde document waarin de GAP-analyse is vastgelegd, beschrijf je gedetailleerd alle acties die zijn ondernomen als resultaat van de analyse. Dit omvat updates in beleid, procedurewijzigingen, trainingen, risicobeoordelingen, en andere relevante activiteiten.

Integratie in beleid en procedures: Zorg ervoor dat de resultaten en bevindingen van de GAP-analyse worden geïntegreerd in het beleid en de operationele procedures van je organisatie. Dit dient als concreet bewijs dat de acties die zijn ondernomen om aan de nieuwe norm te voldoen, zijn vastgelegd en geïmplementeerd in de dagelijkse praktijk.