Wat is er veranderd in de ISO 27001:2013?

Wat is er veranderd in de ISO 27001:2013?

Sommige zaken gaan langer mee dan andere. Zo wissel ik om de paar jaar van telefoon, terwijl ik bij het schrijven een balpen gebruik die ik al zeker tien jaar heb. Dat is niet alleen te wijten aan druk van je omgeving, wie nu nog rondloopt met een Swing 200 (?) wordt vreemd aangekeken, het ligt ook aan de eisen die je als gebruiker stelt. Bij een pen wil ik namelijk enkel comfortabel schrijven, voor een mobiele telefoon is het lijstje van wensen inmiddels een heel stuk langer dan dat het eind jaren ’90 was.

Niet heel veel anders is het bij normen. Veranderlijk toepassingsgebied en veel ontwikkelingen in de markt? Vaker de norm herzien. Waar sommige versies meer dan een decennium meegaan, volgen andere publicaties elkaar (relatief) snel op. Zo kwam in oktober van vorig jaar, acht jaar na de vorige versie, de nieuwe versie uit van zowel ISO 27001 als ISO 27002. Beide normen die van groot belang zijn bij de borging van de systematiek rondom informatiebeveiliging, een steeds heter hangijzer. Een goed Informatiebeveiligingsmanagementsysteem (ISMS) biedt uitkomst.

Populariteit

Uit onderzoek van ISO blijkt dat ISO 27001 aan populariteit wint: de cijfers laten zien dat er maar twee normen zijn die een sterkere groei laten zien in het aantal managementsystemen dat tegen ze gecertificeerd is (koploper is ISO 50001, gevolgd door ISO 22000). Ook in ons land groeit het aantal organisaties met een gecertificeerd ISMS snel. In Nederland nam het aantal certificaten tegen deze norm tussen 2011 en 2012 zelfs toe met ruim 50%. Ons land sluit daarmee de top 10 van ‘groeiers’ af. De nieuwe, en verbeterde, versie van de norm zou deze ontwikkeling alleen maar moeten versterken.

“Maar wat staat er dan voor nieuws in de 2013 versie van ISO 27001 en aanverwanten?”, hoor ik u denken. Geen paniek, daar gaan we het juist over hebben.

Een aantal veranderingen

Niet heel verrassend is het gegeven dat de High Level Structure (HLS) is toegepast: een gedeelde hoofdstukindeling die moet zorgen voor meer compatibiliteit. Zo wordt het in de toekomst makkelijker om één overzichtelijk managementsysteem te hebben, waarin meerdere normen geïmplementeerd zijn. Zonder dat het geheel inboet aan bruikbaarheid of de mogelijkheid om het systeem te auditen, kunnen meerdere schema’s geïntegreerd worden.

Bijkomend voordeel van de nieuwe structuur is de centrale plek voor zaken die met prestaties van de organisatie en het ISMS te maken hebben. Het betreffende hoofdstuk neemt de plaats in van voorheen verspreide onderdelen als controleren en beoordelen, interne audits en de directiebeoordeling. Door deze zaken samen te voegen worden de onderlinge verbanden inzichtelijker.

Een andere aanpassing betreft de eisen die gesteld worden aan de risicoanalyse. Die wordt namelijk verplicht volgens een voorgeschreven methodiek uitgevoerd, terwijl de keuze voorheen min of meer vrij was. Voor alle ISO-fanaten: de methode die in de huidige versie gehanteerd wordt, is gebaseerd op ISO 31000.

Ook in ‘broertje’ ISO 27002, de praktijkrichtlijn, is een aantal wijzigingen te vinden. Zo zijn nieuwe maatregelen toegevoegd, en sommige bestaande beheersmaatregelen samengevoegd. Deze aanpassingen hebben onder andere tot doel meer nadruk te leggen op de beveiliging binnen de keten: complexere producten vragen nu eenmaal om meerdere leveranciers en betrokken partijen, waardoor de ketenbeveiliging van groter belang wordt.

En nu?

De nieuwe versie van deze normen is nog maar een paar maanden uit (een Nederlandse vertaling laat nog even op zich wachten), en er zijn wat aanpassingen die actie behoeven indien u reeds een managementsysteem conform ISO 27001 heeft. Naar alle waarschijnlijkheid wordt echter een overgangsperiode van twee jaar vastgesteld, en tot die tijd kan de voorgaande versie gehanteerd worden.

Hulp nodig? We zijn slechts een telefoontje ver weg. Of lees dit even.


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *