Overgang naar iso 27001:2022 – Wat moet je weten?
ISO 27001 is de internationale standaard voor informatiebeveiliging. De versie uit 2013 (ISO 27001:2013) wordt per 31 oktober 2025 ingetrokken. Organisaties moeten uiterlijk vóór die datum overgestapt zijn naar ISO 27001:2022 om gecertificeerd te blijven.
Wat is er nieuw?
Minder, maar nieuwe én herschikte controles in Annex A
Waar iso 27001:2013 werkte met 114 controles verdeeld over 14 domeinen, heeft de nieuwe versie nog 93 controles die zijn herschikt in vier verschillende thema’s:
- Organisatorisch
- Personeel
- Fysiek
- Technologisch
Kleine wijzigingen in de hoofdstukken/clausules 4-10
De basisstructuur van de norm blijft nog hetzelfde, maar er zijn aanpassingen op belangrijke punten zoals:
- Beter inzicht in welke verwachtingen van belanghebbende (zogenoemde interested parties) worden meegenomen in het ISMS.
- Plannen van veranderingen binnen ISMS wordt explicieter verplicht gesteld.
- Doelstellingen voor informatiebeveiliging moeten duidelijker en beter te meten zijn.
Overgangsperiode en deadline
Er is een overgangsperiode ingesteld. Tot 31 oktober 2025 zijn er certificaten op basis van ISO 27001:2013 nog geldig. Na die datum is de oude versie niet meer geldig.
Waarom overstappen?
- Om te blijven voldoen aan de internationale normen én verwachtingen van klanten en toezichthouders.
- Om de informatievoorziening te moderniseren. Denk hierbij aan nieuwe bedreigingen zoals cloud-beveiliging, bedreigingsinformatie (“threat intelligence”) en privacy. Deze worden beter ingepast in de standaard.
- Beter risicomanagement. Dit betekent meer flexibiliteit qua controles dat beter is afgestemd op eigen risico’s en prioriteiten.