Het werd in de zomer van 2020 al aangekondigd: de ISO 27002 wordt herzien! Momenteel wordt er druk gewerkt aan de nieuwe versie, waardoor de publicatie waarschijnlijk in oktober dit jaar plaatsvindt. Dat wordt dan de ISO 27002:2021. Maar waarom komt er eigenlijk een ISO 27002 herziening en wat betekent dat voor jouw certificering? Wij zochten het uit.
Waarom een herziening van ISO 27002?
ISO 27002 is een norm die hoort bij de ISO 27001 voor informatiebeveiliging. In ISO 27001 staat gespecificeerd hoe een ISMS (Information Security Management System) eruit moet zien en in de ISO 27002 staan de best practices en suggesties om het ISMS in te richten. Voldoe je aan deze richtlijnen, dan kun je met een certificering wereldwijd aantonen dat jij informatiebeveiliging op orde hebt.
Maar de wereld van cybersecurity staat natuurlijk niet stil, dus is het na bijna 8 jaar (de huidige norm stamt uit 2013) tijd om te kijken of de richtlijnen, best practices en suggesties nog wel aansluiten op de realiteit. Bovendien schrijft ISO voor om periodiek de normen opnieuw te bekijken.
Het gaat dus om een gebruikelijke, periodieke herziening die ervoor zorgt dat je systeem ook daadwerkelijk je informatie beveiligt en je helemaal up to date bent.
Wat verandert er in de ISO 27002?
Volgens de verwachtingen bevat deze herziening best wel wat (grote) wijzigingen. Maar er ligt nog niks vast, want er wordt nog druk aan de nieuwe versie gewerkt. En daarna moet er in de internationale vergadering bij ISO nog over gestemd worden. Het kan dus ook zomaar gebeuren dat er meer wijzigingen bij komen. Wat er echt gaat veranderen zien we pas in oktober, als de definitieve versie gepubliceerd wordt. Maar een paar dingen zijn al duidelijk:
Minder beheersmaatregelen in ISO 27002
De grootste veranderingen zitten in de beheersmaatregelen. Zo staan er in ISO 27001:2013 (de huidige versie) 14 hoofdstukken (Annex 5 tot en met 18) en in de ISO 27001:2021 nog maar 4. Dat betekent dat de volgende hoofdstukken overblijven:
- Annex 5: Organisatie -> maatregelen die organisatiebreed gelden
- Annex 6: Mens -> maatregelen die slaan op mensen/gebruikers en hun gedrag
- Annex 7: Fysieke beveiliging -> maatregelen die betrekking hebben op fysieke beveiliging
- Annex 8: Technologie -> maatregelen die gaan over technische beveiliging.
En er zijn ook minder beheersmaatregelen: van 114 naar 95. Maar dat komt vooral doordat veel maatregelen zijn samengevoegd. Er komen namelijk ook 13 nieuwe maatregelen bij, een aantal voorbeelden:
| Annexnummer | Maatregel |
|---|---|
| 5.7 | Threat Intelligence |
| 5.23 | Information Security for use of cloud services |
| 5.30 | ICT readiness for business continuity |
| 7.4 | Physical security monitoring |
| 8.9 | Configuration management |
| 8.10 | Information deletion |
| 8.11 | Data masking |
| 8.12 | Data leakage prevention |
| 8.13 | Information protection using digital rights technologies |
| 8.17 | Monitoring activities |
| 8.21 | Vulnarability disclosure and handling in delivering ICT products and services |
| 8.24 | Web filtering |
| 8.30 | Secure coding |
Zoals je ziet zijn er vooral veel nieuwe maatregelen op technologisch vlak. Daarmee wordt een beroep gedaan op nog meer beveiliging die in programmatuur verwerkt is.
Introductie van de hashtag
Daarnaast wordt er in de nieuwe vorm gewerkt met (hash)tags die gekoppeld zijn aan de maatregelen. Die zijn daardoor veel makkelijker te doorzoeken. Dat kan op verschillende manieren, namelijk op:
- type (#preventief, #detectief, #correctief),
- classificatie (#vertrouwelijkheid, #integriteit, #beschikbaarheid) en op
- NIST cybersecurity concepten (#identificeren, #beschermen, #detecteren, #reageren, #herstellen).
Herziening ISO 27002 – wat betekent dat voor jouw certificering?
Op de korte termijn verandert er eigenlijk niks in de certificering, want ISO voorziet in een overgangsperiode van oud naar nieuw. Er is onderscheid te maken in organisaties die nog geen certificering hebben en organisaties die ‘m al wel hebben.
Nog niet 27001-gecertificeerd
Moet je je certificering nog halen? Daarvoor kan je na het verschijnen van de herziening nog één of twee jaar de huidige versie gebruiken. Dat is vooral erg prettig als je al bezig bent met alle voorbereidingen. Je hoeft dus niet opnieuw te beginnen en je aanstaande certificering ‘oude stijl’ behoudt gewoon zijn waarde.
Wel 27001-gecertificeerd
Je certificering geldt nog steeds. En je jaarlijkse verlenging gaat ook gewoon door. Je hoeft ook dan pas na de gebruikelijke drie jaar opnieuw te certificeren. Maar dan ben je wel verplicht om dat volgens de nieuwe versie te doen. En dat betekent dat je je nog ruim kunt inlezen en voorbereiden voor de nieuwe variant. Je hoeft niet ineens alles om te gooien. Wel zo prettig.
Hoeveel werk kost het dan?
Handig: er komt een kruisreferentietabel waarmee je de oude en de nieuwe maatregelen met elkaar vergelijkt. Daarmee stel je eenvoudig een nieuwe Verklaring van Toepasselijkheid op.
Daarnaast raden we aan om ook even de beschreven implementatie van de nieuwe maatregelen te checken. Misschien dat er op detailniveau dingen gewijzigd zijn.
We zullen, zodra de norm definitief is, een migratieset maken waarmee huidige ISMS implementaties compliant gemaakt kunnen worden met de nieuwe standaard. Maar geen stress, dit is niet iets voor 2021.
Hoe zit het met gerelateerde normen?
Er zijn behoorlijk wat normen die gebaseerd zijn op ISO 27001 (en dus ook op ISO 27002). Dus dat ISO 27002 wordt herzien, heeft gevolgen voor die normen, omdat ze misschien niet meer volledig aansluiten. Denk bijvoorbeeld aan ISO 27017, ISO 27018, ISO 27701, ISO 27799/NEN 7510 en de BIO. Gaan deze dan ook veranderen? Uiteindelijk wel, anders wijken ze te veel af, maar meestal duurt dat een paar jaar. Zij hebben namelijk hun eigen herzieningscyclus.
Dat kan dus wel betekenen dat er een soort duale fase ontstaat als je ook een certificering voor (een van) de andere normen hebt: je 27001-certtificering heeft al de nieuwe nummering, je andere certificering nog niet. Maar dat levert doorgaans geen enkel probleem op. Bovendien helpen we je daar gewoon mee.
Jouw ISO-certificering
Als je wil weten hoe het nu zit met jouw audit of als je iemand zoekt om mee te sparren over de herziening van ISO 27001 en ISO 27002, Jasper is your man!
