ISO 27001:2013 en ISO 27001:2017 wat is het verschil?

Het verschil in ISO 27001-versies

IPraktisch gezien is er tussen 2013 en 2017 heel weinig veranderd ISO 27001 normen, op een paar kleine cosmetische punten en een kleine naamswijziging na.

De laatst gepubliceerde versie van de ISMS-standaard is – BS EN ISO/IEC 27001: 2017.

De ISO versie van de standaard (2013) werd niet beïnvloed door de publicatie uit 2017 en de wijzigingen geen eventuele nieuwe eisen introduceren.

Voor wie op zoek is naar een UKAS geaccrediteerd ISO 27001-certificeringUKAS accrediteert de ISO-norm, dus er zijn geen wijzigingen die uw certificeringsstatus beïnvloeden en daarom worden er door deze herziening geen extra transitieactiviteiten geïntroduceerd.

De wijziging uit 2017 werd geïntroduceerd om de goedkeuring door CEN/CENELEC voor de EN-aanduiding (“Europese norm”) aan te geven.

de bijgewerkte BS neemt echter wel twee eerder uitgebrachte corrigenda/amendementen op ISO 27001:2013 op, met name in clausule 6.1.3 en bijlage A, clausule 8.1.

Laten we eens kijken naar wat deze corrigenda behandelden:

Rectificatie 1: ISO/IEC 27001:2013/Cor.1:2014(en) - gepubliceerd 2014

A.8.1.1 (Inventaris van activa), vervangt de objectieve tekst van de controle van:

“Activiteiten die verband houden met informatie en informatieverwerkingsfaciliteiten moeten worden geïdentificeerd en er moet een inventaris van deze activa worden opgesteld en bijgehouden.”

tot:

“Informatie, andere activa die verband houden met informatie en informatieverwerkingsfaciliteiten moeten worden geïdentificeerd en er zal een inventaris van deze activa worden opgesteld en bijgehouden.”

De wijziging maakte dat expliciet informatie zelf moet ook als een actief worden beschouwd en in de inventaris worden opgenomen.

Voor degenen die gebruik maken van ISMS.online, de richtlijnen in Subclausule A.8.1.1, samen met onze ISO 27001 Virtuele Coach, houd hier volledig rekening mee.

In tegenstelling tot sommige van de oudere tools op de markt, ISMS.online gebruikt een op informatie gebaseerde benadering van risicobeheer U kunt er dus zeker van zijn dat dit belangrijke amendement is aangepakt.

Lees meer over Hoe u een activa-inventaris ontwikkelt.

Klik om een ​​grotere afbeelding te bekijken van hoe we het ISMS.online-platform gebruiken voor ISO 27001

Rectificatie 2: ISO/IEC 27001:2013/Cor.2:2015(en) – gepubliceerd op 1/12/2015

Dit bracht wijzigingen in de subclausule met zich mee. 6.1.3 (Behandeling van informatiebeveiligingsrisico's), en specifiek naar punt d), over de Verklaring van Toepasselijkheid (SoA). Het was slechts een cosmetische aanpassing, waarbij de vereiste inhoud voor een SoA van de hoofdparagraaf werd gescheiden in afzonderlijke opsommingstekens, waardoor het duidelijker werd dat een SoA ten minste vier elementen moet bevatten:

• De noodzakelijke controles om de behandeling van informatiebeveiligingsrisico's, waarbij niet alleen wordt gekeken naar de controles in bijlage A, maar ook naar controles die door de organisatie zijn ontworpen zoals vereist, evenals naar andere die uit welke bron dan ook zijn geïdentificeerd (bijvoorbeeld controles uit de NIST SP 800-documentatieserie)

• Rechtvaardiging voor het opnemen van deze controles

• De status van de controles (bijvoorbeeld geïmplementeerd of niet)

• De rechtvaardiging voor het uitsluiten van een van de Bijlage A-controles

De ISO 27001 Verklaring van Toepasselijkheid wordt vaak beschouwd als een van de lastigste taken in de norm, zowel bij het opstellen als bij het up-to-date houden ervan. U kunt ons artikel lezen, Verklaring van toepasbaarheid vereenvoudigd om meer te leren.

Klik om een ​​groter beeld te bekijken van hoe wij onze producten onderhouden Verklaring van toepasbaarheid op het ISMS.online-platform

Hoe je de veranderingen aanpakt

/software-functies/Met ISMS.online, zijn de Corrigendum-items opgenomen, zowel wat betreft de richtlijnen als de hulpmiddelen die u gaat gebruiken om uw ISO 27001-implementatie te versnellen en verminder de doorlopende beheertijd van uw ISMS.