Publicatie nieuwe ISO 27002 norm
Juni 2023 Nederlandstalige versie
ISO 27002 bevat beheersmaatregelen voor informatiebeveiliging ten aanzien van risico’s en bedreigingen die in een Information Security Management System verankerd moeten zijn. ISO 27002 maakt onderdeel uit van ISO 27001 en moet dan ook door ieder ISO 27001 gecertificeerd bedrijf geïmplementeerd worden. Net als bij iedere herziening van een ISO-norm geldt er een overgangstermijn van drie jaar.
Remco Glashouwer
Auteur
Minder beheersmaatregelen
Het aantal beheersmaatregelen is verlaagd van 114 maatregelen in de oude norm naar 93 beheersmaatregelen in de ISO 27002:2022. De verlaging van het aantal beheersmaatregelen heeft met name te maken met samenvoegingen. Met de nieuwe norm en minder maatregelen wordt er wel van bedrijven verwacht dat er meer zelf wordt nagedacht en eventuele eigen maatregelen worden toegevoegd.
Nieuwe indeling
De nieuwe norm kent wel een nieuwe indeling van de beheersmaatregelen. Waar de oude norm nog een verdeling kende van 14 inhoudelijke hoofdstukken is dit teruggebracht naar 4 hoofd onderwerpen, te weten:
- Organisatorische beheersmaatregelen (hoofdstuk 5).
- Mensgerichte beheersmaatregelen (hoofdstuk 6).
- Fysieke beheersmaatregelen (hoofdstuk 7).
- Technologische beheersmaatregelen (hoofdstuk 8).
Nieuwe beheersmaatregelen
In de nieuwe ISO 27002 norm zijn 11 nieuwe beheersmaatregelen opgenomen. Deze maatregelen spelen in op nieuwe ontwikkelingen binnen informatiebeveiliging en clouddiensten. De nieuwe beheersmaatregelen zijn:
- 5.7 Informatie en analyses over dreigingen
- 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
- 5.30 ICT-gereedheid voor bedrijfscontinuïteit
- 7.4 Monitoren van fysieke beveiliging
- 8.9 Configuratiebeheer
- 8.10 Wissen van informatie
- 8.11 Maskeren van gegevens
- 8.12 Voorkomen van gegevenslekken
- 8.16 Monitoren van activiteiten
- 8.23 Toepassen van webfilters
- 8.28 Veilig coderen