Cybersecurity: De impact van de vernieuwde ISO 27001

Op 25 oktober 2022 is de nieuwe versie van de ISO/IEC 27001, de ISO/IEC 27001:2022 ‘’Information technology – Security techniques – Information security management systems – Requirements’’ gepubliceerd. Vanaf 12 maanden na publicatie, dus vanaf 1 november 2023 mogen door CI’s geen initiële of hercertificatie audits meer worden uitgevoerd tegen de ISO/IEC 27001:2013 of NEN-EN ISO/IEC 27001:2017+A11:2020, terwijl de certificaathouders tot uiterlijk eind oktober 2025 tegen de oude versie van de norm mogen zijn gecertificeerd, zo heeft de Raad voor Accreditatie onlangs aangegeven.

Achtergrond informatie

Mede met de opkomst van Saas (Software as a service), outsourcing van IT-processen door organisaties en bedrijven is er een verandering van cybersecurity risico’s. Daarnaast is uit diverse onderzoeken en statistieken gebleken dat het aantal cybersecurity risico’s sterk groeiende is, zowel in aantal als in intensiteit. Een nieuw onderdeel binnen de vernieuwde ISO 27001/27002, de wellicht meest gebruikte norm voor informatiebeveiliging, is het vestigen van meer aandacht op technische aspecten van informatiebeveiliging. Zoals de best practices voor de informatiebeveiliging van cloud services, die ter ondersteuning kunnen dienen bij de mitigatie van de cybersecurity risico’s. De nieuw gepubliceerde ISO 27001 sluit aan op de beste practices van de eerder dit jaar gewijzigde ISO 27002.

Tijdig detecteren van incidenten

Voor het tijdig detecteren en voorkomen van kwetsbaarheden kunnen organisaties en bedrijven gebruik maken van monitoring. Monitoring activities is een nieuw onderdeel binnen de vernieuwde ISO 27002. BDO biedt dit aan door middel van vulnerablility scanning en maakt gebruik van threat intelligence om de nieuwste cyber kwetsbaarheden en dreigingen in kaart te brengen. Naast vulnerability scanning biedt BDO het volgende aan met betrekking tot monitoring activities: Security Operating Centre services (SOC), Security Incident & Event Monitoring (SIEM), Penetration testing, Cyber-attack simulations & Cyber response exercises.

Wat kan BDO voor u betekenen?

BDO heeft de kennis en expertise in huis om u te adviseren en ondersteunen bij het implementeren van uw nieuwe ISMS inrichten conform de (nieuwe) ISO/IEC 27001:2022, zoals deze voluit is genoemd. Ook kunnen wij u helpen indien u uw huidige ISMS (de ISO/IEC 27001:2013 of NEN-EN ISO/IEC 27001:2017+A11:2020) wilt gaan aanpassen aan de nieuwe ISO 27001/27002.

De wijzigingen uit de ISO 27002 komen voort uit de veranderende cybersecurity praktijk en de invloed hiervan op informatiebeveiliging. Het is daarom juist door de combinatie die BDO biedt, waarbij zowel van een technische kant als van een governance kant wordt gekeken naar de inrichting van een ISMS, dat u met een grote zekerheid kunt vertrouwen op een juiste implementatie door BDO.

Rekenen en afwegen

Dat vanaf 1 november 2023 geen initiële of hercertificatie audits meer worden uitgevoerd tegen de ISO/IEC 27001:2013 of NEN-EN ISO/IEC 27001:2017+A11:2020 door Certificerende Instellingen, zal inhouden dat organisaties die al een ISO 27001 certificaat hebben en voor 2023 een hercertificering hebben staan, deze moeten laten uitvoeren voor 1 november 2023 en dat huidige implementatietrajecten voor 1 november 2023 gecertificeerd moeten worden (geldig tot eind oktober 2025), of dat in beide gevallen gekozen zal worden voor de nieuwe ISO 27001/27002 norm.

Als organisaties kiezen voor een hercertificering of initiële certificering voor 1 november 2023, zal het zo zijn dat deze in een korte fase komen, aangezien ze voor eind oktober 2025 weer een audit krijgen, terwijl de normale termijn tot hercertificering 3 jaar is. Binnen een korte periode een audit tegen een “nieuwe norm”, dus zal wellicht duurder zijn dan een normale opvolgingsaudit. Kwestie dus van rekenen en afwegen. Aangeraden wordt niet te lang te wachten, om ook zeker te weten dat de Certificerende Instelling ruimte heeft.

Neem contact op indien u ondersteuning wilt bij de implementatie van de ISO 27001, of bij de afweging of u gaat kiezen voor de ISO 27001:2017 of 2013, danwel voor de (nieuwe) ISO 27001:2022.