In 7 stappen naar ISO 27001:2022

ISO 27001, de wereldwijd erkende norm voor informatiebeveiliging, kreeg onlangs een update. De herziene standaard ISO 27001:2022 werd gepubliceerd op 25 oktober 2022 en bevat een aantal technische correcties en een volledig gewijzigde bijlage A met beheersmaatregelen. Voor de vernieuwde norm geldt een transitieperiode van drie jaar, wat betekent dat gecertificeerde organisaties uiterlijk op 1 november 2025 moeten zijn overgestapt. Hieronder leest u welke zeven stappen nodig zijn voor uitvoering van de overgangsaudit.

Stap 1: Gap-analyse

Hierin wordt vastgelegd wat de gevolgen van de nieuwe standaard zijn. Wat is de impact? Op welke elementen van het managementsysteem heeft de vernieuwde standaard invloed? Denk hierbij aan de Verklaring van Toepasselijkheid, risicoanalyse, interne audit, beleidsstukken, (bedienings-)procedures, richtlijnen, etc.

Stap 2: Actieplan

Uit de gap-analyse komen acties voort. Maak per actie een plan waarin wordt vermeld hoe de acties vormkrijgen én wie deze uitvoert en wanneer.

Stap 3: Aanpassen van risicoanalyse en behandelplan

In de bestaande risicoanalyse is vastgelegd welke maatregelen zijn genomen om de risico’s te mitigeren. Deze maatregelen moeten worden vergeleken met de bijlage A, om te verifiëren of er geen noodzakelijke maatregelen zijn vergeten. Doordat de bijlage A gewijzigd is, moet de risicoanalyse nogmaals uitgevoerd en aangepast worden.

Stap 4: Beheersmaatregelen aanpassen

Er zijn elf nieuwe beheersmaatregelen opgenomen. Ook zijn er verschillende beheersmaatregelen samengevoegd. Breng door het uitvoeren van een risicoanalyse in kaart welke beheersmaatregelen van toepassing zijn en hoe deze geïmplementeerd worden/zijn.

Stap 5: Verklaring van Toepasselijkheid aanpassen

Herzie de Verklaring van Toepasselijkheid en verwerk hierin de nieuwe set beheersmaatregelen.

Stap 6: Interne audit uitvoeren

Voer een (aanvullende) interne audit uit. Deze moet minimaal bevatten:

  • De aangepaste risicoanalyse en het bijbehorende behandelplan;
  • De nieuwe en gewijzigde (samengevoegde) beheersmaatregelen uit de bijlage A.
Stap 7: Directiebeoordeling

Voer een (aanvullende) directiebeoordeling uit. Aangezien elementen als risicoanalyse, risicobehandelplan en interne audit zijn aangepast, dienen deze door directie/management beoordeeld te worden.

Op welk moment kunt u de overstap maken naar ISO 27001:2022?

Naar aanleiding van een update vanuit het International Accreditation Forum:

  • Bij de hercertificering
    Hierbij wordt, in tegenstelling tot eerdere berichtgeving, een halve dag extra audittijd berekend.
  • Bij de jaarlijkse opvolgings- of controle audit
    Kiwa zal hiervoor een dag extra inplannen en in rekening brengen, evenals de kosten voor een nieuw certificaat.

Wanneer u de overstap wil maken, verzoeken we u dit zo snel mogelijk (bij voorkeur vier maanden voorafgaand aan de audit) kenbaar te maken. Onze planningsafdeling zal aanvullende afspraken met u maken.

Hoe ziet de transitieperiode eruit?

Bij de herziening van een norm wordt een transitieperiode vastgesteld. Er wordt een overgangstermijn van drie jaar aangehouden. Binnen deze periode moeten alle certificaathouders aan de ISO 27001:2022 voldoen. Hieronder vindt u de tijdslijn voor deze overgangsperiode:

Tijdslijn herziening ISO 27001 en ISO 27002.png

Download de tijdslijn ISO 27001:2022 hier (versie 28 juni 2024).

In het kort

  • Vanaf 1 maart 2023 kan Kiwa audits uitvoeren volgens de ISO 27001:2022;
  • De transitieperiode voor ISO 27001:2022 eindigt op 1 november 2025;
  • Tot 1 mei 2024 mag Kiwa initiële audits en hercertificeringen uitvoeren tegen ISO 27001:2017, hierna zullen deze typen audits tegen ISO 27001:2022 uitgevoerd worden;
  • Opvolgings- of controleaudits kunnen tot 1 november 2025 tegen ISO 27001:2017 uitgevoerd worden.

Contact

Cyber Security Certification
Nederland
+31 (0)88 998 49 00

De nieuwe ISO 27001:2022