Over onsNormenBlog✦ AIOfferte →
Home  /  Blog  /  ISO 27001-certificering

ISO 27001:2022 Certificering — Een Complete Gids

ISO/IEC 27001:2022 is in de definitieve implementatiefase beland. Organisaties die gecertificeerd zijn volgens de 2013-versie moeten onmiddellijk actie ondernemen om hun Information Security Management System (ISMS) bij te werken. Deze gids behandelt alle kritische wijzigingen, de nieuwe Annex A-structuur en een praktisch transitieplan.

ISO 27001ISMSCertificering

 ·  8 min leestijd

Waarom de 2022-revisie ertoe doet

ISO/IEC 27001:2022 verving de 2013-editie in oktober 2022. Het International Accreditation Forum (IAF) stelde een overgangsperiode van drie jaar vast, wat betekent dat alle bestaande ISO 27001:2013-certificaten uiterlijk 31 oktober 2025 moesten overgaan naar de 2022-versie.

Het gaat niet om een kleine administratieve update. Terwijl de managementsysteemclausules (4 tot 10) relatief beperkte wijzigingen ondergingen, werd Annex A volledig herstructureerd. De voormalige 114 maatregelen verdeeld over 14 domeinen zijn geconsolideerd tot 93 maatregelen gegroepeerd in vier thema's. Elf geheel nieuwe maatregelen werden geïntroduceerd.

Belangrijkste wijzigingen in de systeemclausules

  • Clausule 4.2 — Belanghebbenden: Organisaties moeten expliciet vaststellen welke eisen van belanghebbenden via het ISMS worden geadresseerd.
  • Clausule 4.4 — ISMS-scope: Nu moeten noodzakelijke processen en hun interacties worden geïdentificeerd.
  • Clausule 6.3 — Planning van wijzigingen: Nieuwe subclausule. Wijzigingen aan het ISMS moeten gepland worden uitgevoerd.
  • Clausule 8.1 — Operationele planning en beheersing: Criteria voor beveiligingsprocessen moeten worden vastgesteld.
  • Clausule 9.3 — Directiebeoordeling: Input omvat nu expliciet veranderingen in behoeften van belanghebbenden.
  • Clausule 10 — Verbetering: Continu verbeteren (10.1) gaat nu vooraf aan afwijkingen en corrigerende maatregelen (10.2).

Nieuwe Annex A-structuur: vier thema's in plaats van veertien

ThemaMaatregelenBeschrijving
A.5 Organisatorisch37Beleid, rollen, verantwoordelijkheden, dreigingsintelligentie, assetbeheer, toegangscontrole, leveranciersrelaties en compliance.
A.6 Personeel8Screening, arbeidsvoorwaarden, bewustwording, training, disciplinaire processen en thuiswerken.
A.7 Fysiek14Beveiligingsperimeters, toegangscontrole, fysiek toezicht, milieubescherming en clean desk-beleid.
A.8 Technologisch34Eindpuntapparaten, geprivilegieerde toegang, kwetsbaarheidsbeheer, configuratiebeheer, datamaskering, DLP, monitoring en veilig coderen.

De 11 nieuwe maatregelen

ISO 27001:2022 introduceert elf maatregelen zonder direct equivalent in de 2013-versie, waaronder dreigingsintelligentie (A.5.7), cloudbeveiliging (A.5.23), ICT-gereedheid voor bedrijfscontinuïteit (A.5.30), fysiek beveiligingstoezicht (A.7.4), configuratiebeheer (A.8.9), informatieverwijdering (A.8.10), datamaskering (A.8.11), DLP (A.8.12), monitoringactiviteiten (A.8.16), webfiltering (A.8.23) en veilig coderen (A.8.28).

Stapsgewijs transitieplan

Stap 1: Gap-analyse. Vergelijk uw huidige Verklaring van Toepasselijkheid (SoA) met de nieuwe Annex A-maatregelen.

Stap 2: Werk uw risicobeoordeling bij voor de nieuwe maatregelset.

Stap 3: Herzie de SoA om te verwijzen naar de 93 maatregelen van de 2022-versie.

Stap 4: Werk beleid en procedures bij om aan te sluiten bij het nieuwe maatregelraamwerk.

Stap 5: Implementeer de nieuwe maatregelen met duidelijke verantwoordelijkheden en tijdslijnen.

Stap 6: Train uw team, inclusief interne auditors.

Stap 7: Voer een interne audit uit tegen de 2022-vereisten.

Stap 8: Certificeringsaudit. Coördineer met uw certificeringsinstantie.

Hoe BALTUM uw transitie ondersteunt

Het internationale netwerk van auditors en consultants van BALTUM ondersteunt organisaties bij de transitie naar ISO 27001:2022. Onze diensten omvatten gap-analyse, SoA-review, training van interne auditors en pre-certificeringsbeoordeling.