Dutch IT Chanel Logo mobile
Search icon
Redactie - 23 januari 2014

De ISO27001:2013 revisie is uit

Ict-branche

 

Eind vorig jaar verschenen de langverwachte revisies van zowel ISO27001 als ISO27002. Wellicht ben je nog onbekend met deze standaard en op zoek naar meer informatie. Of je bent je aan het inlezen om een transitie naar deze nieuwe standaard gestroomlijnd te kunnen laten verlopen. Hoe dan ook, het is van belang stil te staan bij de veranderingen.

Compliant zijn aan de nieuwste security standaarden wordt steeds belangrijker. Business partners, je klantenkring, aandeelhouders en zelfs de overheid eisen vandaag de dag een goed overzicht van jouw informatieveiligheidsbeleid met de daarbij behorende certificeringen. Maar een certificeringsproces kan lang duren en is veelal administratief belastend, helemaal als de standaarden veranderen.

De doorgevoerde veranderingen sluiten naadloos aan op de nieuwe manier van werken. Over het algemeen is er nu meer aandacht voor communicatie. Vanaf heden stel je expliciete regels op over informatiebeveiliging, deze worden bewaakt door een vooraf aangewezen risico eigenaar binnen jouw organisatie. Dit stimuleert een duidelijke communicatiestroom tussen jou en iedere betrokken andere partij. Als logisch gevolg brengt dit IT en business op één lijn. Dit is de kracht achter de vernieuwde standaard. Door transparant te zijn over je informatiebeveiligingsplannen en de resultaten ervan, kun je van compliance een echte “value driver” maken.

Hieronder ga ik in op een aantal veranderingen:

Information Security Management System (ISMS)
Er is een nieuwe clausule die vraagt om het in kaart brengen en documenteren van alle geïnteresseerde en/of betrokken partijen. Denk hierbij aan aandeelhouders, autoriteiten, business partners, klanten en wet- en regelgeving. De nieuwe standaard houdt meer rekening met zowel belanghebbende als uitvoerende partijen binnen en buiten de organisatie.

De meeste IT ecosystemen zijn complex en maken veelvuldig gebruik van services van andere organisaties. Ik vind het daarom niet meer dan logisch dat deze partijen genoemd worden in het informatiebeveiligingsplan. Deze transparantie kan alleen maar samenwerkingen bevorderen en vertrouwen wekken tussen jouw organisatie, betrokken business partners en de klant.

Verdwenen clausules
Clausules over zogenaamde preventieve acties zijn verdwenen. Deze stappen zijn nu geïntegreerd in het “risk assessment” proces, waarvoor de vereisten in de nieuwe revisie ook dramatisch zijn veranderd. Je wordt nog steeds geacht om een risk assessment uit te voeren, hiermee bereken je zelf de hoogte van een beveiligingsrisico (voor C, I en A), rekening houdend met de business impact en waarschijnlijkheid. Het is evenwel niet langer vereist om een gedocumenteerde methodologie voor risicoanalyses te hebben.

De nieuwe standaard dwingt je op voorhand een risico eigenaar aan te wijzen die verantwoordelijk is voor het managen van alle mogelijke gevaren binnen de organisatie met betrekking tot informatiebeveiliging. Hij of zij onderhoudt contacten met alle betrokken partijen en is te alle tijden bewust van het van risiconiveau. Je bent zelf vrij om een geschikt risico management te kiezen, passend bij de organisatie, de risico eigenaar en bedrijfsvoorwaarden.

Richtlijnen
Een andere grote verandering zijn de nieuwe clausules betreffende het formuleren en bewaken van duidelijke doelen met betrekking tot informatiebeveiliging. Vanaf heden dien je te kunnen specificeren wanneer, hoe en door wie het behalen van deze doelstellingen wordt bewaakt.

Deze doelen en de gemeten resultaten vormen de nieuwe fundering voor communicatie naar alle betrokken partijen, inclusief je klantenkring. Naar mijn mening is dit de grootste stap richting de toekomst en zorgt deze voor een open en eerlijke samenwerking.

Aansluiting
Er zijn tot slot een aantal veranderingen doorgevoerd om ISO27001 beter te kunnen laten aansluiten bij andere managementsystemen, waaronder:

ISO14001 Environmental Management;

ISO9001 Quality Management;

ISO22301 Business Continuity Management;

ISO20000 IT Service Management.

Kort samengevat, deze veranderingen waren nodig en passen naar mijn mening beter bij een modern ingerichte organisatie maar zullen geen grote impact hebben op het certificeringsproces. De nieuwe standaard is daarmee klaar voor de toekomst.

Nu de nieuwe ISO standaard is geïntroduceerd blijven oudere certificeringen nog twee jaar geldig. Je hoeft dus niet direct aan de slag met de nieuwe richtlijnen. Maar om bij te blijven met de steeds veranderende IT ecosystemen is het aan te raden je nu al vast in te lezen en voor te bereiden op de transitie.

Door: Temme Sikkema, Founding Partner, CumulusTrust

Temme is een IT audit en information security management specialist. Hij heeft een passie voor slimme IT oplossingen en gebruikt een groot deel van zijn tijd om organisaties te adviseren in passende security processen.

E: temme@cumulustrust.com
W: www.cumulustrust.com  https://twitter.com/cumulustrust
T: +31 800 799 999

 

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!