ISO 27001:2022 stappenplan
ISO 27001:2022 is de nieuwe versie voor de ISO-norm voor informatiebeveiliging. De Annex A, de lijst met beheersmaatregelen (controls), gaat helemaal over de kop en 11 beheersmaatregelen zijn helemaal nieuw. Om gecertifceerd te blijven of in een nieuw certificatietraject moet aan deze nieuwe normversie ISO27001:2022 worden voldaan. Dit vraagt om een stappenplan dus.
Met dank aan onze collega's van Meta-audit.nl is een stappenplan uitgewerkt die voorziet in een control framework voor alle beheersmaatregelen ISO 27001:2022. Meer haast? Vraag direct Meta-audit's ISO 27001:2022 QuickStart aan (met oa uitleg 11 nieuwe maatregelen en conversietabellen).
ISO 27001 ISMS
Gecertificeerde bedrijven hebben al een ISMS - Information Security Management System. Deze ISMS zal moeten worden aangepast aan de nieuwe normeisen, met name dan de Annex A want dat is de grote verandering.
Zo'n nieuwe norm is ook een mooi moment om de opzet van het eigen managementsysteem, in dit geval het ISMS, eens onder de loep te nemen. Hoe volwassen is het eigen managementsysteem - ISMS?
Bekijk eens een voorbeeld van een ISMS platform.
ISO 27001:2022 aandachtsgebieden
Om te voldoen aan de managementsysteem norm ISO27001 (en daarvan afgeleid de NEN7510 voor de zorg) moet een organisatie een volledig managementsysteem (ISMS - Information Security Management System) hebben met beheersmaatregelen t.a.v. informatiebeveiliging. Waren het in de ISO27001:2013 114 beheersmaatregelen verdeeld in 14 groepen, in de 2022-versie is het aantal beheersmaatregelen teruggebracht naar 95, verdeeld over 4 groepen. Wel zijn er 11 nieuwe beheersmaatregelen bijgekomen.
De 11 nieuwe beheersmaatregelen (controls) verdeeld over de 4 aandachtsgebieden zijn:
- Organisatorische maatregelen
- Informatie en analyse over dreigingen
- Informatiebeveiliging bij het gebruik van cloud diensten
- ICT-gereedheid voor bedrijfscontinuïteit
- Maatregelen tav mensen
- Fysieke maatregelen
- Monitoren van fysieke beveiliging
- Technsiche maatregelen
- Configuratiebeheer
- Wissen van informatie
- Maskering van gegevens
- Voorkomen van gegevenslekken
- Monitoring van activiteiten
- Toepassen van webfilters
- Veilig coderen
Meer weten, dan kan je terecht bij onze collega's van Meta-audit.nl. Klik hier voor hun volledige overzicht ISO27001:2022 .
ISO27001:2022, stappenplan implementatie
Het actutaliseren van een ISMS is best wel een klus waarvoor een duidelijk stappenplan zoals gezegd zeker nodig is, evenals goede tooling.
Het stappenplan is te splitsten in de volgende stappen:
- Voorbereiding
- Wat is er, wat is er niet - FitGap-analyse (klik hier voor voorbeeld)
- Verbeteren 'Gap's' en implementatie nieuwe maatregelen
- Interne audit, met name mbt de nieuwe beheersmaatregelen
- Laat de externe auditor maar komen ...
ISO27001:2022, FitGap analyse - de praktische aanpak
Een praktische manier om een FitGap analyse uit te voeren is om de beheermaatregelen als een control framework op te zetten. Per beheersmaatregel of groep van beheersmaatregelen stel je vast of ze zijn geïmplementeerd en of ze effectief zijn. Een goede tool is dan praktisch, bijvoorbeeld een die workflow gestuurd is. Je werkt immers meestal samen met meerdere mensen en dan is een gezamenlijk overzicht met toch individuele workflow acties handig. Ze bewaak je de voortgang en is aantoonbaar dat de overgang naar de nieuwe normversie degelijk is aangepakt.
Klik hier voor een demo van een workflow gestuurd control framework ISO27001:2022 of wel Verklaring van Toepasselijkheid (VvT) met aandachtspunten per norm-item.
