Hernieuwde ISO 27001 norm goedgekeurd

Een nieuwe versie van de ISO 27001 norm hing al langer in de lucht en was eigenlijk nodig om de norm aan te passen aan het sterk veranderde IT landschap. De huidige versie dateert immers al van 2013, met een minuscule, lokale aanpassing in 2017.

Sinds 2013 is het IT landschap enorm veranderd, denk alleen al maar aan de exponentiële toename van cloud applicaties, opkomst van platformen zoals MS Azure, vermindering van het aantal on-prem servers, etc.  De nieuwe ISO 27001:2022 speelt daar handig op in.

Even ter herinnering, ISO 27001 draait om het beheer van uw informatie beveiliging.
ISO 27001 is geen technische oplijsting van aanvaarde en niet-aanvaarde tools en configuraties. Integendeel, ISO27001 laat u zelf nadenken over de risico’s, de context en de mogelijkheden van uw bedrijf om tot een efficiënte en performante informatiebeveiliging te komen.

De huidige ISO 27001:2013 norm bestaat uit 2 delen: een high level structuur die grote gelijkenissen vertoont met ISO 9001 en een annex met 114 technische controles.
De nieuwe ISO 27001:2022 is vernieuwend, zowel in de algemene high level structuur als in die technische controles.

In de high level structuur zijn er slechts beperkte vernieuwingen, waarbij de aandacht voor change management en een audit programma het meest in het oog springt.

In de annex met technische controles is er wel veel veranderd:

• ISO 27001:2013 telt 114 controles verdeeld over 14 hoofdstukken.
• ISO 27001:2022 telt 93 controles verdeeld over 4 domeinen: menselijke, organisatorische, technologische en fysieke beveiliging.

Aha, veel minder controles en minder hoofdstukken, dus eenvoudiger … zie ik u nu denken.
Helaas,  schijnt bedriegt, want in ISO 27001:2022 zijn vele controles uit de ISO 27001:2013 samengebald tot 1 controle.

Vb: ISO 27001:2013 heeft 4 controles: inventaris van bedrijfsmiddelen (assets), eigendom van bedrijfsmiddelen, aanvaardbaar gebruikt van bedrijfsmiddelen en teruggave van bedrijfsmiddelen.
ISO 27001:2022 brengt dat terug tot 1 controle.

Meer nog, tov ISO 27001:2013 zijn er zelfs 11 normeisen (in de controles) bijgekomen.​

Indien jouw bedrijf een geldig ISO 27001 certificaat heeft, blijft dit geldig tot de vervaldag, eender welke versie.
Omschakelen naar de nieuwe ISO 27001:2022 voor het jaarlijkse opvolgbezoek van de auditor mag, maar moet niet.

Bij hercertificatie of bij de allereerste certificatie geldt er een overgangsperiode 3 jaar. Dus pas eind 2025 is de nieuwe norm ISO 27001:2022 volledig verplicht.
Maar waarom zo lang wachten, ISO 27001:2022 beantwoordt waarschijnlijk beter aan de reële context van uw onderneming.​

Bij Lumeron bieden wij u hands-on overgangstrajecten aan om uw ISO 27001:2013 volledig in lijn te brengen met ISO 27001:2022.
Vaak is zo’n overgangstraject minder ingrijpend dan u denkt, uw Lumeron specialist informeert er u graag over.

Sta je nog in de startblokken? Ook bij een implementatie staan we voor je klaar. Start met je readiness scan.

​​ Contacteer ons gerust, wij helpen u graag verder.