Blog

Flinke update voor ISO 27002

Medio vorig jaar liet het Nederlands Normalisatie-instituut (NEN) weten dat de internationale norm voor informatiebeveiliging ISO27002 een update krijgt. ISO 27002 is een verdieping op ISO 27001 en geeft praktische handvatten voor het verkleinen van de in kaart gebrachte risico’s. De normen worden periodiek herzien om ze relevant en actueel te houden. Het instituut verwachtte zelf dat bij de herziening aanzienlijke wijzigingen zouden worden doorgevoerd, zowel in de structuur van het document als in de inhoud van de security controls.

Inmiddels is meer duidelijk over de veranderingen die op stapel staan. Vooral de structuur van de norm wordt gewijzigd. Verder worden nieuwe maatregelen toegevoegd en is een aantal bestaande maatregelen aangepast en samengevoegd.

Risicodenken

In de herziene norm worden de maatregelen ingedeeld in vier thema’s: organizational controls, people controls, physical controls en technological controls. Deze nieuwe indeling sluit veel beter aan op de verschillende soorten bedreigingen, zoals risico’s op grond van menselijke fouten en technologie en fysieke risico’s. De soorten risico’s zijn dus eenvoudiger te koppelen aan de desbetreffende maatregelen. Het risicodenken binnen ISO 27001 wordt dus veel belangrijker en voorkomt dat de ISO-maatregelen simpelweg een afvinklijstje worden.

Betere aansluiting

De hoofdstukindeling is ook gewijzigd. De werkgroep verwacht dat de jaarlijkse risicoanalyse zo beter aansluit op de maatregelen, omdat de nieuwe indeling lijkt op een organisatiestructuur.

Zie hieronder de nieuwe hoofdstukindeling van ISO 27001/2:

  1. Scope
  2. Normative references
  3. Terms, definitions and abbreviated terms
  4. Structure of this document
  5. Organizational controls
  6. People controls
  7. Physical controls
  8. Technological controls

Aangepaste maatregelen

Het aantal beheersmaatregelen is teruggebracht naar 96. Een aantal bestaande maatregelen is aangepast en samengevoegd en er worden 13 nieuwe maatregelen toegevoegd:

5.7 Threat Intelligence
5.23 Information security for use of cloud services
5.30 ICT readiness for business continuity
7.4 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.13 Information protection using digital rights technologies
8.17 Monitoring activities
8.21 Vulnerability disclosure and handling in delivering ICT products and services
8.24 Web filtering
8.30 Secure coding

Wanneer moeten we aan de nieuwe richtlijnen voldoen?

De herziene versie van ISO 27002 wordt naar verwachting in het vierde kwartaal van dit jaar gepubliceerd. Maar wees gerust, zoals gebruikelijk bij de herziening van een norm zal er sprake zijn van een overgangsperiode. Bij de vorige update was dit een periode van twee jaar. En niet onbelangrijk, je certificaat blijft natuurlijk gewoon geldig. Alleen zul je bij een hercertificering de nieuwe indeling moeten implementeren.

Heb je nog vragen over de implementatie van ISO 27001 of ISO 27002? Of over de impact van de aanpassing op uw huidige ISO 27001/2 certificering? We helpen je bij inTECHrity graag verder. Je kunt altijd contact met ons opnemen. Je kunt ook meer informatie vinden op onze website www.intechrity.nl of in onze andere blogs.

inTECHrity is officieel ACP-partner van BSI

Gepubliceerd: 22-02-2021
Geschreven door: Rudi Düpper
Deel blog:

Neem contact op om kennis te maken met de specialisten van inTECHrity. Wij helpen u graag verder!

Meer weten over de diensten en knowhow van inTECHrity? Wij maken graag kennis en onze specialisten helpen u graag verder!