Trainingen Referenties
Kennisbank Over ons Cuccibu Contact
Onze diensten
Kwaliteit
Milieu & Energie
Arboveiligheid
Informatiebeveiliging
Risicomanagement
Managementservices
Trainingen Referenties Kennisbank Over ons Cuccibu Contact
Nieuws Vernieuwde ISO 27002:2022 is gepubliceerd

Vernieuwde ISO 27002:2022 is gepubliceerd

Datum: 22-02-2022

ISO 27002 is een verdieping op ISO 27001 en specificeert hoe een Information Security Management System (ISMS) er uit moet zien. De voorgaande versie van deze norm stamde uit 2013 en is inmiddels herzien. De vernieuwde versie, ISO 27002:2022, is op 15 februari 2022 gepubliceerd.  

Wijzigingen en nieuwe beheersmaatregelen

Elke vijf jaar moet voor een norm worden vastgesteld om deze wordt: ingetrokken, doorgezet zonder wijzigingen of herzien. In 2018 is besloten om de ISO 27002:2013 norm te herzien. Naast een aantal technische ontwikkelingen wordt verwacht dat met de nieuwe versie meer wordt aangezet tot zelf nadenken. De norm werd voorheen voornamelijk gebruikt als checklist. Er zijn een aantal wijzigingen doorgevoerd. We zetten de belangrijkste graag voor je op een rijtje.  

  • Vernieuwde lay-out. De lay-out van de beheersmaatregelen is veranderd. De toelichting op een beheersmaatregel in de norm is als volgt opgebouwd: attributen, beheersmaatregel, doelstelling, implementatierichtlijn en overige informatie.
  • De invoering van attributen. Er zijn attributen aan de beheersmaatregelen toegevoegd. Deze worden weergegeven in een tabel. Per maatregel kunnen er bepaalde waarde(s) aan deze attributen worden gekoppeld. De attributen zijn: control types, information security properties, cybersecurity concepts, operational capabilities en security domains.  
  • Minder beheersmaatregelen. Het aantal beheersmaatregelen is verminderd, van 114 naar 93. Dit komt voornamelijk door een aantal samenvoegingen.
  • Hoofdstukindeling gewijzigd. De beheersmaatregelen zijn onderverdeeld in nog maar vier thema’s, namelijk: organizational controls, people controls, physical controls en technological controls.
  • 11 nieuwe beheersmaatregelen. Er zijn 11 nieuwe beheersmaatregelen uitgewerkt. Deze maatregelen spelen in op nieuwe ontwikkelingen binnen informatiebeveiliging. Ook leggen ze meer focus op het preventieve en monitoring gedeelte van het ISMS. 
    • 5.7 Threat Intelligence 
    • 5.23 Information security for use of cloud services
    • 5.30 ICT readiness for business continuity
    • 7.4 Physical security monitoring
    • 8.9 Configuration management
    • 8.10 Information deletion
    • 8.11 Data masking
    • 8.12 Data leakage prevention
    • 8.16 Monitoring activities 
    • 8.23 Web filtering
    • 8.28 Secure coding

In onze Whitepaper over de wijzigingen en nieuwe beheersmaatregelen van de vernieuwde ISO 27002 lees je meer over de bovenstaande wijzigingen. De Whitepaper is onderaan deze pagina te downloaden.  

Gevolgen voor andere normen

Veel standaarden zijn gebaseerd op ISO 27002 en moeten worden aangepast, bijvoorbeeld Annex A van ISO 27001 en de NEN 7510 norm. De nieuwe norm heeft ook impact op uitbreidingsnormen als ISO 27701 en ISO 27017 en 27018. In deze normen wordt gerefereerd naar specifieke maatregelen uit ISO 27002. Een controle op de maatregelen bij deze normen is dus nodig.  

ISO 27001
ISO 27002 specificeert hoe een ISMS er uit moet zien. Het is als het ware een hulpmiddel om de risicoanalyse uit te voeren. De norm bestaat namelijk uit een lijst van beheersmaatregelen waarmee je de risico’s die je hebt geïdentificeerd kunt beperken of verkleinen. Deze beheersmaatregelen kunnen met behulp van ISO 27001 worden geïmplementeerd. De beheersmaatregelen uit ISO 27002 komen dan ook terug in Annex A van de ISO 27001 norm. In ISO 27002 zijn de beheersmaatregelen gedetailleerder uitgeschreven. De wijzigingen in ISO 27002 hebben dus gevolgen voor de organisaties die gecertificeerd zijn conform ISO 27001. Is jouw organisatie ISO 27001 gecertificeerd dan raden wij aan deze veranderingen mee te nemen tijdens de transitie-audit/jaarlijkse tussentijdse audit. Er geldt een overgangstermijn van drie jaar.

NEN 7510
NEN 7510 is de norm voor informatiebeveiliging in de zorg. De norm bestaat uit twee delen, namelijk NEN 7510-1 en NEN 7510-2. In feite is deze Nederlandse norm identiek aan ISO 27001 en ISO 27002. Het verschil is dat NEN 7510 in Annex A aan 33 beheersmaatregelen een specificatie voor de zorg heeft toegevoegd. Daarnaast heeft het nog 3 extra beheersmaatregelen. Wijzigingen in ISO 27002 betekent dus wijzigingen in NEN 7510-2. Deze norm wordt naar verwachting dan ook herzien door de NEN.  

Hulp nodig?

Heeft jouw organisatie hulp nodig bij de transitie naar ISO 27002:2022? Onze Consultants helpen graag! Neem contact met ons op voor de mogelijkheden!

Contact

ISO 27002:2022

Download Whitepaper

ISO 27002, wijzigingen en nieuwe beheersmaatregelen

whitepaper nieuwe versie ISO 27002
  • Een vernieuwde ISO 27002
  • De doorgevoerde wijzigingen
  • De 11 nieuwe beheersmaatregelen