ISO 27002:2022 Wijzigingen, updates en vergelijking

ISO / IEC 27002 is herzien om de informatiebeveiligingscontroles bij te werken om de ontwikkelingen en huidige informatiebeveiligingspraktijken in verschillende sectoren van bedrijven en overheden te weerspiegelen.

In dit bericht leggen we de belangrijkste wijzigingen in de standaard uit en hoe u deze succesvol kunt aanpakken.

Er bestaat een groot aantal normen en andere soortgelijke beveiligingsframeworks die verband houden met of gebaseerd zijn op ISO 27002:2013. De wijziging van deze standaard naar een nieuwe versie zal gevolgen voor hen hebben.

ISO 27002 2013 originele reikwijdte

Het primaire doel van ISO 27002:2013 was het bieden van een uitgebreid informatiebeveiligings- en assetmanagementprogramma voor elke organisatie die ofwel een nieuw informatiebeveiligingsbeheerprogramma nodig had of haar bestaande informatiebeveiligingsbeleid en -praktijken wilde verbeteren. De praktijkcode gaf de aanbevelingen voor het beheren van informatiebeveiliging aan degenen die verantwoordelijk zijn voor het initiëren, implementeren en onderhouden van informatiebeveiliging in een organisatie.

Wat is er veranderd in ISO 27002 2022?

In ISO 27002:2022 is de naam van de standaard gewijzigd. In plaats van "Informatie Technologie – Beveiligingstechnieken – Praktijkcode voor informatiebeveiligingscontroles”, is de naam nu “Informatiebeveiliging, cyberbeveiliging en privacybescherming – Informatiebeveiligingscontroles” in de herziening van 2022.

Veranderingen in het compliancelandschap, bijvoorbeeld regelgeving zoals GDPR (Algemene verordening gegevensbescherming), POPIA (Protection of Personal Information Act), APPs (Australian Privacy Principles), de veranderende bedrijfscontinuïteit, cyberrisico's en compliance-uitdagingen waarmee organisaties over de hele wereld worden geconfronteerd en de introductie van ISO 27701 resulteerden in de behoefte aan ISO 27002 om de reikwijdte te verbreden van zijn controles vanuit de oorspronkelijke focus op informatiebeveiliging, naar verantwoording voor cyberbeveiliging en informatieprivacy en kwetsbaarheidsbeheer.

De ISO-organisatie hoopt de intentie te verbeteren door een referentieset aan te bieden informatiebeveiliging controledoelstellingen voor gebruik bij contextspecifiek informatiebeveiligings-, privacy- en cyberveiligheidsrisicobeheer.

Wanneer is het live gegaan?

De nieuwe ISO 27002 2022 herziening is op 15 februari 2022 gepubliceerd.

Het interpreteren van de veranderingen

Onze eerste indruk van de herziene standaard is dat deze een eenvoudigere structuur biedt die organisatiebreed kan worden toegepast en nu ook kan worden gebruikt om een ​​breder risicoprofiel te beheersen. Dit kan informatie omvatten beveiliging en de meer technische aspecten van fysieke beveiliging, vermogensbeheer, cyberbeveiliging en de HR-beveiligingselementen die bij privacybescherming horen.

De eerste belangrijke verandering in de standaard is het afstappen van een “Code of Practice” en het positioneren ervan als een reeks controlemechanismen die ofwel stand-alone of bestaan ​​als onderdeel van een ISO 27001-informatiebeveiligingsbeheersysteem.

Wat is er veranderd?

Het aantal controles in de nieuwe versie ISO 27002 2022 is afgenomen van 114 controles in 14 clausules in de editie van 2013 naar 93 controles in de editie van 2022. Deze controles zijn nu onderverdeeld in vier ‘controlethema’s’, namelijk ‘Organisatiecontroles’, ‘Mensencontroles’, ‘Fysieke controles’ en ‘Technologische controles’.

Wat is een controle?

Een ‘controle’ wordt gedefinieerd als een maatregel die risico’s wijzigt of in stand houdt. Een informatiebeveiligingsbeleidkan bijvoorbeeld alleen het risico in stand houden, terwijl naleving van het informatiebeveiligingsbeleid het risico kan wijzigen. Bovendien beschrijven sommige controles dezelfde generieke maatregel in verschillende risicocontexten.

Controlebegeleiding

Het gedeelte Begeleiding voor elke controle is herzien en bijgewerkt (waar nodig) om de huidige ontwikkelingen en praktijken weer te geven. Bovendien is elk besturingselement nu uitgerust met een 'Purpose'-verklaring en een reeks 'kenmerken' om ook verband te houden met cyberbeveiligingsconcepten en andere best practices op het gebied van beveiliging.

Welke controles zijn veranderd?

Binnen de 93 controles (en vergeleken met de editie van 2013) zijn 11 controles nieuw, 24 samengevoegd en 58 bijgewerkt (voornamelijk voor de sectie Richtsnoeren).

De controlesets zijn nu georganiseerd in vier (4) categorieën of thema's in plaats van veertien (14) controledomeinen. De vier categorieën omvatten:

• Organisatorisch
• Mensen
• fysiek
• Technologisch

Het totale aantal controles is verlaagd: er zijn 21 controles minder in de nieuwe versie van ISO 27002:2022.

Er werd een gezamenlijke inspanning geleverd om controleredundantie te voorkomen. De versie van 2022 bevat 24 bedieningselementen die zijn samengevoegd uit de versie van 2013.

De standaard heeft er nu 11 nieuwe controles die de huidige informatiebeveiliging weerspiegelen, fysieke beveiliging en cyberbeveiligingslandschap.

De controledoelstelling voor een groep controles is in de versie van 2022 vervangen door een ‘doel’-element.

Om het risicobeperkings-, beoordelings- en behandelingsproces te verbeteren, is het concept van “attributen aan controles” geïntroduceerd. Bovendien kunt u verschillende weergaven van controles creëren, dat wil zeggen, categoriseringen van controles vanuit een ander perspectief dan de controlethema's.

Nieuwe bedieningselementen

Het toepassingsgebied van ISO/IEC 27002:2022 omvat nu 11 nieuwe controles. Dit zijn:

1. Bedreigingsintelligentie – het begrijpen van aanvallers en hun methoden in de context van uw IT-landschap.
2. Informatiebeveiliging voor het gebruik van clouddiensten – de introductie door operatie naar exit-strategie met betrekking tot cloudinitiatieven moet nu alomvattend worden overwogen.
3. ICT gereed voor bedrijfscontinuïteit – de vereisten voor het IT-landschap moeten worden afgeleid van de algehele bedrijfsprocessen en het vermogen om operationele capaciteiten te herstellen.
4. Fysieke beveiligingsmonitoring – het gebruik van alarm- en monitoringsystemen om ongeoorloofde fysieke toegang te voorkomen heeft meer nadruk gekregen.
5. Configuratie beheer – versteviging en veilige configuratie van IT-systemen.
6. Verwijdering van informatie – naleving van externe vereisten, zoals concepten voor het verwijderen van gegevensbescherming, moet worden geïmplementeerd.
7. Gegevensmaskering – het gebruik van technieken die gegevens maskeren, zoals anonimisering en pseudonimisering, om uw gegevensbescherming te versterken.
8. Preventie van gegevenslekken: stappen ondernemen om te voorkomen dat gevoelige gegevens lekken.
9. Activiteiten monitoren – uw organisatie moet de netwerkbeveiliging monitoren en applicatiegedrag om eventuele netwerkafwijkingen te detecteren.
10. Web filtering – helpt voorkomen dat gebruikers specifieke URL's bekijken die kwaadaardige code bevatten.
11. Veilige codering – het gebruik van tools, het plaatsen van commentaar, het bijhouden van wijzigingen en het vermijden van onveilige programmeermethoden zijn manieren om veilige codering te garanderen.

Dat geeft ons:

• 93 bedieningselementen in de nieuwe versie van 27002.
• 11 bedieningselementen zijn nieuw.
• Er zijn in totaal 24 bedieningselementen samengevoegd uit twee, drie of meer bedieningselementen uit de versie van 2013; En
• 58 controles uit de versie van 2013 zijn beoordeeld en herzien om aan te sluiten bij de huidige informatieomgeving veiligheid en cyberveiligheid.
• Bijlage A, welke bevat richtlijnen voor de toepassing van attributen, en
• Bijlage B, wat overeenkomt met ISO/IEC 27001 2013. Het is feitelijk een tabel met twee tabellen die kruisverwijzingen naar controlenummers/identificaties biedt, zodat u gemakkelijk kunt zien wat er nieuw is en wat is samengevoegd.

Wat zijn kenmerken

De nieuwe versie van ISO-norm 27002 introduceert een attributensectie voor elk besturingselement. Attributen zijn een manier om besturingselementen te categoriseren. Hiermee kunt u uw besturingsselectie snel afstemmen op de gangbare branchetaal en standaarden. Deze kenmerken identificeren belangrijke punten:

• Besturingstype
• InfoSec-eigenschappen
• Cyber ​​security concepten
• Operationele mogelijkheden
• Beveiligingsdomeinen

Het gebruik van attributen ondersteunt het werk dat veel bedrijven al doen op het gebied van risicobeoordeling verklaring van toepasselijkheid (SOA).

Bijvoorbeeld, de Cybersecurityconcepten van NIST en CIS Controls kunnen duidelijk worden onderscheiden, en de operationele capaciteiten met betrekking tot andere standaarden kunnen worden herkend.

Hoe beïnvloedt dit jou?

De herziening van ISO 27002 2022 zal een organisatie als volgt beïnvloeden:

• Als u al ISO 27001 2013 gecertificeerd bent
• Ben je halverwege de certificering
• Als u op het punt staat zich opnieuw te certificeren

De ISO 27001-certificering duurt drie jaar. Indien uw organisatie al gecertificeerd is hoeft u nu niets te doen, bij verlenging/hercertificering zal de herziene ISO 27002 2022 norm van toepassing zijn. Het spreekt dan ook voor zich dat alle gecertificeerde organisaties zich op een gegeven moment zullen moeten voorbereiden op de herziene standaard.

Welke gevolgen heeft dit voor uw (her)certificering

Stel dat een organisatie momenteel bezig is met ISO 27001 2013-certificering of hercertificering. In dat geval wordt van hen verwacht dat zij hun risicobeoordeling herzien, de nieuwe controles identificeren die van toepassing zijn en hun risicobeoordeling herzien. Verklaring van toepasbaarheid' door de herziene controles van bijlage A te vergelijken. Omdat er een aantal nieuwe controles zijn en gewijzigde of aanvullende richtlijnen voor andere controles, moeten organisaties de herziene ISO 27002 beoordelen op eventuele implementatiewijzigingen.

Hoewel ISO 27001 herziening 2022 nog moet worden gepubliceerd, brengt bijlage B van ISO 27002 de controles in kaart tussen de versies 2013 en 2022 van de norm.

Uw verklaring van toepasbaarheid (SOA) moet nog steeds verwijzen naar bijlage A van ISO 27001, terwijl de controles moeten verwijzen naar de herziene norm ISO 27002:2022, die een alternatieve controleset zal zijn.

Moet u uw documentatie aanpassen?

Het voldoen aan deze wijzigingen moet het volgende omvatten:

• Een update van uw risicobehandelingsproces met bijgewerkte bedieningselementen
• Een update van uw Verklaring van Toepasselijkheid
• Werk waar nodig uw huidige beleid en procedures bij met begeleiding bij elke controle.

Welke invloed heeft dit op ISO 27001 2013?

Totdat er een nieuwe ISO 27001 2022-norm wordt gepubliceerd, zullen de huidige ISO-certificeringsschema's worden voortgezet, hoewel het in kaart brengen van de nieuwe ISO 27002 2022-controles vereist zal zijn via bijlage B en B1.2.

Aankomende wijzigingen in ISO 27001

De meeste mensen die informatiebeveiliging volgen, verwachten dat de ISO 27001-wijzigingen kleine tekstuele wijzigingen zullen zijn met een kleine update van bijlage A om in lijn te komen met de ISO 27002 2022-revisie.

Wanneer wordt ISO 27001 bijgewerkt?

ISO 27001 wordt dit jaar (oktober 2022) breed verwacht. Deze datum is speculatief en moet worden bevestigd.

Zijn er nog andere 27000-normen van invloed?

Managementsysteemstandaarden en raamwerken gerelateerd aan en/of gebaseerd op de ISO/IEC 27002:2013-versie zullen de verandering voelen. Veelgebruikte standaarden en raamwerken zoals ISO 27701 (privacy)Verwacht wordt dat ISO 27017 (clouddiensten) en ISO 27018 (cloudprivacy) zullen volgen, en er kan een verdere impact worden verwacht voor lokale normen en raamwerken.

Ben jij klaar voor de veranderingen?

U kunt beginnen met het voorbereiden van uw organisatie beheersysteem tegen de DIS 27001-versie (DIS betekent Draft International Standard) of wacht tot de herziene standaard definitief is gemaakt.

Enkele stappen die uw organisatie kan nemen om zich voor te bereiden op de herziene standaard zijn:

• Voer een gap-analyse uit van uw huidige controles ten opzichte van de nieuwe controles.
• Voer een risicoanalyse uit in lijn met de bijgewerkte 27002 2022-controles.
• Breng de bedieningselementen via bijlage B in kaart tussen ISO 27002:2013 en ISO 27002:2022.
• Begrijp welke besturingselementen van toepassing zijn en update uw informatiebeveiliging managementsysteem dienovereenkomstig.
• Voer updates uit voor uw Verklaring van toepasselijkheid.
• Onderga een beoordeling en update van uw interne audit programma om de vereiste bijgewerkte controles te identificeren.
• Zorg voor uw beveiligingsstatistieken worden bijgewerkt volgens uw nieuwe risicobeoordeling en bedieningselementen.
• Update en evalueer normen, procedures en beleid volgens veranderingen in uw omgeving.
• Neem stappen om de gegevens van uw organisatie bij te werken Risicobeoordeling, omdat u uw bestaande besturingselementen gaat bijwerken.
• Evalueer alle tools van derden die u momenteel gebruikt om naleving aan te tonen en ervoor te zorgen dat ze de nieuwe revisies kunnen ondersteunen.

Dit zal u helpen een voorsprong te nemen op het gebied van hercertificering of adoptie van aanvullende ISO 27000-familie normen/frameworks, bijvoorbeeld ISO 27018, 27017, 27032, waarvan algemeen wordt verwacht dat ze kort na de herziening van ISO 27001 2022 zullen worden bijgewerkt.

Kan ISMS.online u helpen bij de overgang naar de nieuwe ISO 27002:2022-revisie?

Ja dat kunnen we. Als u al klant bent, nemen we binnenkort contact met u op met een aantal migratieopties. Bent u geen klant, dan hebben wij diverse mogelijkheden om u te helpen migreer uw informatiebeveiligingsbeheersysteem naar ISMS online.