ISO 27001-norm bijgewerkt naar versie 2022 - wat is er veranderd?

Na negen jaar is ISO 27001, 's werelds toonaangevende norm voor informatiebeveiliging, bijgewerkt. De laatste update voor de norm kwam op 25.10.2022, hoewel de controlelijst van ISO 27002 al eerder was bijgewerkt.

Deze update brengt slechts matige veranderingen, maar het is belangrijk om ze goed te begrijpen. Wat is er veranderd als je de versie van 2013 vergelijkt met die van 2022 en hoe zijn deze updates zichtbaar op Cyberday?

Samenvatting van de update van ISO 27001 2022

Het belangrijkste deel van de norm, d.w.z. clausules 4 tot en met 10 in ISO 27001, kreeg geen significante wijzigingen bij de herziening.

De beveiligingscontroles van ISO 27002 (of Annex A, als je dat liever hebt) werden op hun beurt matig gewijzigd:

• 11 totaal nieuwe besturingselementen worden geïntroduceerd
• Er worden geen controles helemaal uit de standaarden verwijderd, maar veel controles worden samengevoegd
• Door de samenvoegingen daalde het totale aantal controles uiteindelijk van 114 naar 93, hoewel de controles als geheel meer inhoud kregen.
• De besturingselementen zijn in 4 secties geplaatst, in plaats van de vorige 14

Nieuwe controles in ISO 27001/27002:2022

De 11 volledig nieuwe controles in ISO 27002 zijn:

• 5.7 Informatie over bedreigingen: De organisatie moet duidelijke processen hebben voor de manier waarop informatie over beveiligingsbedreigingen wordt verzameld en geanalyseerd.
• 5.23 Informatiebeveiliging voor gebruik van clouddiensten: Organisatie dient top-level principes te hebben voor hoe clouddiensten worden gebruikt en hoe gerelateerde risico's worden beheerd, samen met criteria voor bijvoorbeeld het selecteren van veilige aanbieders, het monitoren van de activiteiten of aanbieders van clouddiensten en het gebruik van overeenkomsten om voldoende beveiligingsmaatregelen van partners te eisen.
• 5.30 ICT klaarmaken voor bedrijfscontinuïteit: Continuïteitsvereisten voor belangrijke ICT-diensten moeten duidelijk worden geïdentificeerd en afgeleid van andere belangrijke continuïteitsplannen van de organisatie.
• 7.4 Toezicht op fysieke beveiliging: De organisatie moet duidelijk definiëren wat voor soort bewakingssystemen worden gebruikt op haar fysieke locaties en zorgen voor voldoende bewaking van faciliteiten met kritieke systemen.
• 8.9 Configuratiebeheer: Standaardsjablonen voor veilige configuraties van datasystemen, netwerken en andere apparatuur moeten worden gebruikt en er bestaan andere processen om de juiste configuraties te bewaken.
• 8.10 Verwijderen van informatie: Gegevens die zijn opgeslagen in datasystemen, apparaten of andere opslagmedia moeten worden verwijderd wanneer ze niet langer nodig zijn.
• 8.11 Maskeren van gegevens: De behoefte aan het verbergen van bepaalde gevoelige gegevens (bijv. door maskering, pseudonimisering of anonimisering) moet worden gebruikt geïdentificeerd en geïmplementeerd waar nodig.
• 8.12 Preventie van datalekken: Op datasystemen, netwerken en andere apparaten die gevoelige gegevens verwerken, opslaan of verzenden, moeten maatregelen ter voorkoming van datalekken worden toegepast.
• 8.16 Bewakingsactiviteiten: Organisatie moet duidelijke processen definiëren voor het monitoren van netwerken en datasystemen op afwijkend gedrag en indien relevant het proces doorzetten naar security incident management.
• 8.23 Webfiltering: De organisatie moet bepalen tot welke soorten websites het personeel wel en geen toegang mag hebben. De toegang tot niet-benodigde, externe websites moet worden beheerd om de blootstelling aan bijvoorbeeld malware te beperken.
• 8.28 Veilige codering: Organisatie moet duidelijke regels hebben gedefinieerd voor veilige codering (bijv. minimale basisregels voor beveiliging), die ervoor zorgen dat software goed wordt geschreven en getest en die het potentieel voor technische kwetsbaarheden in de gecreëerde diensten verminderen.

Daarnaast zijn in deze update veel besturingselementen samengevoegd. Dit betekent dat nog meer controles een behoorlijke omvang beginnen te krijgen en een zorgvuldig geplande en samengestelde uitvoering vereisen.

Daarnaast werden de volgende kleinere wijzigingen in de controles aangebracht:

• 57 controles werden samengevoegd
• 23 controles kregen een andere naam
• 1 controle werd gesplitst

Wij van Cyberday zijn blij met deze ontwikkelingen. We hebben al eerder gezien dat veel controles steeds groter worden en bijvoorbeeld 50% van de inhoud delen met vergelijkbare controles op andere standaarden. Daarom hebben we het generieke "taakniveau" ontwikkeld tussen bijvoorbeeld ISO-controles en taken in je eigen ISMS. Taken vertellen het meer gedetailleerde verhaal van hoe je elke controle implementeert.

Nieuwe controleonderdelen in ISO 27001/27002:2022

De besturingselementen in de nieuwe versie zijn onderverdeeld in 4 secties. De besturingselementen zijn gecategoriseerd als...:

• Mensencontroles, als ze betrekking hebben op individuele mensen‍
• Fysieke controles, als ze betrekking hebben op fysieke objecten‍
• Technologische controles, als ze betrekking hebben op technologie
• en anders als Organisatorische controles

Deze verdeling van beveiligingscontroles benadrukt goed de verschillende benaderingen die bedrijven gewoonlijk kunnen gebruiken om elke vorm van cyberdreiging te bestrijden - organisatorische, menselijke, technische en fysieke acties kunnen allemaal relevant zijn en meestal levert een combinatie de beste resultaten op. Op deze manier zorgt de standaard ervoor dat organisaties niet alleen kijken naar de technische manieren om gegevens te beveiligen.

Naast deze 4 hoofdsecties biedt de nieuwe versie van de standaard veel extra categorieën voor de controles. Deze categorisaties kunnen ook worden gebruikt om organisaties te helpen bij de implementatie van ISMS.

Controles worden ook gecategoriseerd op:

• Controletypes - van preventieve, detectieve tot corrigerende controles
• Eigenschappen voor informatiebeveiliging - of ze nu voornamelijk de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens beschermen
• Cyberbeveiligingsconcepten - Identificeren, Beschermen, Opsporen, Reageren of Herstellen (met behulp van de vergelijkbare methode als bijvoorbeeld NIST CSF heeft)
• Operationele capaciteiten - vanuit het perspectief van de beroepsbeoefenaar en met inbegrip van bijvoorbeeld waarden als bestuur, activabeheer, personeelsbeveiliging, fysieke beveiliging, systeem- en netwerkbeveiliging en dreigings- en kwetsbaarheidsbeheer.

De laatste categorisering ligt relatief dicht bij de 14 domeinen die eerder waren opgenomen in de herziening van 2013. Als je je niet meteen op je gemak voelt met de 4 hoofdsecties, kun je hier op zoek gaan naar extra ondersteuning.

Deze categorisering zorgt ook voor een verbeterde compatibiliteit van de ISO 27001-norm met andere populaire informatiebeveiligingsnormen, zoals NIST CSF, CIS 18 of CSA CCM.

ISO 27001/27002:2022 implementatie in Cyberday

We hebben zojuist het nieuwe ISO 27001:2022 framework gepubliceerd in Cyberday. U kunt het nieuwe framework activeren in de frameworkbibliotheek van Cyberday.

Het overlappingspercentage in Cyberday is meer dan 90%. Dit betekent dat meer dan 90% van de taken waaraan je hebt gewerkt in het raamwerk van 2013 ook je naleving richting de herziening van 2022 verhogen. Om over te stappen, moet je in principe alleen de nieuwe 9% van de taken implementeren. 👍

Het ISO 27001:2022 raamwerk is onderverdeeld in 3 niveaus, net als de versie van 2013:

• ISO 27001:2022 Core: 20% subset van de volledige ISO 27001. Zonder deze cyberessentials is het erg moeilijk om uw klanten te beloven dat hun gegevens veilig zijn.
• ISO 27001:2022 Uitgebreid: 50% subset van volledige ISO 27001. Het biedt u geavanceerde controles om de beveiliging te verbeteren, maar gaat niet tot het certificeringsniveau.
• ISO 27001:2022 Full: Volledig ISMS op certificeringsniveau. Volledige set beveiligingscontroles samen met de vereisten voor goed informatiebeveiligingsbeheer, bijvoorbeeld met betrekking tot interne audits en risicobeheeraspecten.

We hebben ervoor gekozen om de 4 hoofdcategorieën en de categorieën voor operationele capaciteiten te gebruiken in ons kaderrapport / document met de verklaring van toepasselijkheid.

Dit hoofdrapport over naleving bevat ook de verplichte vereisten van ISO 27001, dus het dient als een SoA-document met een turbo, dat laat zien hoe je voldoet aan de ISMS-vereisten en hoe je de 27002 controles hebt geïmplementeerd.

U kunt dit allemaal in actie zien wanneer u ons nieuwe ISO 27001:2022 framework uitprobeert in uw eigen account. Als u er nog geen hebt, meld u dan aan voor een gratis proefversie.

Veelgestelde vragen

V: We hebben met de 2013-versie gewerkt in Cyberday. Kan ik profiteren van het werk aan de nieuwe versie?

Absoluut ja! Het overlappingspercentage in Cyberday voor de 2013 vs. 2022 normherziening is meer dan 90%. Dit betekent dat meer dan 90% van de taken waaraan je hebt gewerkt in het 2013 raamwerk ook je naleving van de 2022 revisie verhogen. Om de overstap te maken, hoef je alleen maar de nieuwe 9% van de taken te implementeren. 👍

V: We hebben ISO 27001 al geïmplementeerd. Hoe snel moeten we reageren?

Bedrijven die gecertificeerd zijn volgens de 2013 revisie moeten voor 31.10.2025 overstappen naar de 2022 revisie. Dit betekent dat er een flinke overgangsperiode van 36 maanden is.

V:Blijft de oude standaardversie beschikbaar op Cyberday?

Ja. Tijdens de overgangsperiode zullen zowel de 2013- als de 2022-versie van ISO 27001 beschikbaar zijn in onze frameworkbibliotheek.