Wat is ISO 27001:2022?
Overzicht
ISO 27001:2022 is de huidige internationale norm die de eisen specificeert voor het vaststellen, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). De norm werd gepubliceerd in oktober 2022 ter vervanging van ISO 27001:2013 en biedt een wereldwijd erkend raamwerk voor organisaties om informatiebeveiligingsrisico's systematisch te beheren.
Wat het in de praktijk betekent
ISO 27001:2022 is zowel een set eisen waaraan je organisatie moet voldoen als een certificering die je kunt behalen via een geaccrediteerde externe auditor. Zie het als de "spelregels" voor informatiebeveiligingsmanagement - het vertelt je wat je moet doen, maar geeft je flexibiliteit in hoe je dit aanpakt, gebaseerd op jouw specifieke context.
De waarde van certificering: Een ISO 27001-certificaat toont aan klanten, toezichthouders en partners aan dat een onafhankelijke auditor heeft geverifieerd dat jouw organisatie internationaal erkende beveiligingspraktijken volgt. Het is vaak een vereiste voor overheidscontracten en aanbestedingen door grote ondernemingen.
Belangrijkste wijzigingen ten opzichte van ISO 27001:2013
Herstructurering van Annex A beheersmaatregelen
De meest ingrijpende wijziging was een volledige reorganisatie van de beveiligingsmaatregelen:
2013 versie: 114 beheersmaatregelen verdeeld over 14 domeinen
2022 versie: 93 beheersmaatregelen verdeeld over 4 thema's (Organisatorisch, Personen, Fysiek, Technologisch)
Resultaat: 11 nieuwe maatregelen toegevoegd, 24 maatregelen samengevoegd, een gestroomlijnde structuur
Nieuwe beheersmaatregelen voor moderne dreigingen
ISO 27001:2022 introduceerde maatregelen voor de huidige beveiligingsuitdagingen:
A.5.7 Threat intelligence - Het monitoren van en reageren op opkomende dreigingen
A.5.23 Cloudbeveiliging - Het beheren van informatiebeveiliging in clouddiensten
A.8.9 Configuratiemanagement - Het controleren van beveiligingsconfiguraties
A.8.10 Verwijderen van informatie - Procedures voor het veilig verwijderen van gegevens
A.8.11 Datamaskering - Bescherming van gevoelige gegevens in niet-productieomgevingen
A.8.12 Voorkomen van datalekken - Detecteren en voorkomen van ongeoorloofde gegevensoverdracht
A.8.16 Monitoringactiviteiten - Detecteren van afwijkend gedrag
A.8.23 Webfiltering - Controleren van internettoegang
A.8.28 Veilig programmeren - Beveiliging integreren in softwareontwikkeling
Afstemming met ISO 27002:2022
De attributen voor beheersmaatregelen in ISO 27002:2022 (de bijbehorende implementatierichtlijn) bevatten nu eigenschappen zoals type maatregel, beveiligingsdomeinen en operationele capaciteiten, waardoor het makkelijker is om maatregelen te koppelen aan specifieke usecases.
Overgangsdeadline: Organisaties die gecertificeerd zijn volgens ISO 27001:2013 moeten voor 31 oktober 2025 overstappen naar de 2022-versie. Certificeringen die na mei 2024 worden afgegeven, moeten voldoen aan de 2022-versie. Begin nu met het plannen van je transitie als je dat nog niet hebt gedaan.
Structuur van ISO 27001:2022
Hoofdstuk 1-3: Inleiding en toepassingsgebied
Definieert het doel van de norm, de toepasbaarheid en verwijst naar gerelateerde normen zoals ISO 27000 voor terminologie.
Hoofdstuk 4: Context van de organisatie
Vereist inzicht in de context van je organisatie, belanghebbenden (stakeholders) en het bepalen van de reikwijdte (scope) van het ISMS. Je moet interne en externe kwesties identificeren die de informatiebeveiliging beïnvloeden.
Hoofdstuk 5: Leiderschap
Het topmanagement moet leiderschap en betrokkenheid tonen door het vaststellen van beveiligingsbeleid, het toewijzen van rollen en verantwoordelijkheden, en het waarborgen dat het ISMS wordt geïntegreerd in de bedrijfsprocessen.
Hoofdstuk 6: Planning
Vereist processen voor risicobeoordeling en risicobehandeling, waarbij wordt gedefinieerd hoe je risico's identificeert, evalueert en maatregelen selecteert om deze aan te pakken. Ook moet je meetbare informatiebeveiligingsdoelstellingen vaststellen.
Hoofdstuk 7: Ondersteuning
Behandelt middelen, competentie, bewustzijn, communicatie en gedocumenteerde informatie. Je moet zorgen voor voldoende middelen, personeel trainen, het beveiligingsbewustzijn verhogen en de vereiste documentatie opstellen.
Hoofdstuk 8: Uitvoering
Het implementeren en uitvoeren van geplande processen, inclusief risicobeoordeling, risicobehandeling en operationele beveiligingsmaatregelen.
Hoofdstuk 9: Evaluatie van de prestaties
Monitoren, meten, analyseren en evalueren van de beveiligingsprestaties door middel van interne audits en directiebeoordelingen. Volg of je de doelstellingen behaalt.
Hoofdstuk 10: Verbetering
Verbeter afwijkingen via corrigerende maatregelen en werk continu aan het verbeteren van de effectiviteit van het ISMS.
Annex A: Beveiligingsmaatregelen
Bevat een lijst van 93 beveiligingsmaatregelen verdeeld over vier thema's, waaruit organisaties kiezen op basis van de resultaten van hun risicobeoordeling. Dit is het "menu" voor de aanpak van geïdentificeerde risico's.
De vier thema's van beheersmaatregelen in Annex A
Organisatorische maatregelen (37 maatregelen, A.5.1-A.5.37)
Governance, beleid, risicomanagement, activabeheer, toegangsbeheer, leveranciersbeheer, incidentmanagement, bedrijfscontinuïteit en compliance. Dit zijn maatregelen op managementniveau die bepalen hoe de organisatie opereert.
Personen-gerelateerde maatregelen (8 maatregelen, A.6.1-A.6.8)
Screening van medewerkers, arbeidsvoorwaarden, beveiligingstraining, disciplinaire processen, uitdiensttredingsprocedures, NDA's, werken op afstand en incidentmeldingen. Deze maatregelen beheren mensgerelateerde risico's.
Fysieke maatregelen (14 maatregelen, A.7.1-A.7.14)
Beveiliging van faciliteiten, fysiek toegangsbeheer, bescherming van apparatuur, omgevingsbeveiliging (stroom, klimaat), kabelbeveiliging, veilige afvoer, clean desk beleid, verwijderen van activa, opslagmedia, nutsvoorzieningen, bekabeling, onderhoud en monitoring. Deze beschermen de fysieke omgeving.
Technologische maatregelen (34 maatregelen, A.8.1-A.8.34)
Endpointbeveiliging, geprivilegieerde toegang, beperking van informatietoegang, toegang tot broncode, authenticatie, capaciteitsbeheer, bescherming tegen malware, logging, monitoring, kloksynchronisatie, netwerkbeveiliging, encryptie, beveiliging bij ontwikkeling, wijzigingsbeheer, testen, kwetsbaarheidsbeheer en meer. Dit zijn de technische en IT-maatregelen.
Niet alle maatregelen zijn van toepassing: Je risicobeoordeling bepaalt welke van de 93 maatregelen relevant zijn voor jouw organisatie. Kleine organisaties implementeren er misschien 40-60, terwijl complexe bedrijven ze alle 93 nodig kunnen hebben. Documenteer je beslissingen in de Verklaring van Toepasselijkheid (SoA).
Verplichte versus optionele eisen
Verplichte eisen (Hoofdstuk 4-10)
Elke organisatie die certificering nastreeft, moet alle eisen in de hoofdstukken 4 tot en met 10 implementeren. Hierover valt niet te onderhandelen; ze omvatten onder meer:
Het definiëren van de scope van het ISMS
Het uitvoeren van risicobeoordelingen
Het opstellen van een Verklaring van Toepasselijkheid (SoA)
Het documenteren van het beveiligingsbeleid
Het uitvoeren van interne audits
Het houden van directiebeoordelingen
Het beheren van afwijkingen
Risicogebaseerde selectie van maatregelen (Annex A)
De maatregelen in Annex A worden geselecteerd op basis van jouw risicobeoordeling. Je kunt maatregelen uitsluiten als ze niet relevant zijn voor jouw risico's, maar je moet uitsluitingen motiveren in de Verklaring van Toepasselijkheid.
Veelgemaakte fout: Organisaties gaan ervan uit dat ze alle 93 Annex A-maatregelen moeten implementeren. De norm staat uitsluitingen expliciet toe wanneer maatregelen geen betrekking hebben op geïdentificeerde risico's of niet van toepassing zijn op jouw context. De verplichte eisen uit hoofdstuk 4-10 kun je echter niet uitsluiten.
Hoe certificering werkt
Fase 1: Beoordeling van documentatie
De auditor beoordeelt je ISMS-documentatie, inclusief scope, beleid, risicobeoordeling, Verklaring van Toepasselijkheid en procedures. Ze verifiëren of je alle verplichte eisen hebt behandeld en passende maatregelen hebt gedocumenteerd.
Fase 2: Verificatie van implementatie
Een audit op locatie of op afstand waarbij auditors medewerkers interviewen, bewijsmateriaal onderzoeken, maatregelen testen en verifiëren of je ISMS werkt zoals gedocumenteerd. Ze trekken steekproeven uit alle thema's en organisatieonderdelen binnen de scope.
Besluit over certificering
Als er geen grote afwijkingen (major non-conformities) zijn, geeft de certificerende instantie een certificaat af dat drie jaar geldig is. Kleine afwijkingen moeten binnen de afgesproken termijnen worden hersteld.
Surveillance-audits
Jaarlijkse vervolgaudits verifiëren de voortdurende naleving en verbetering. Deze zijn korter dan de initiële certificeringsaudit, maar belichten telkens andere onderdelen.
Hercertificering
Om de drie jaar vindt een volledige hercertificeringsaudit plaats, vergelijkbaar met fase 2, om je certificaat voor een nieuwe cyclus van drie jaar te vernieuwen.
Onderhoud is vereist: Certificering is geen eenmalige actie. Je moet je ISMS onderhouden, inspelen op veranderingen in je organisatie of risico's, doorlopend bewijs verzamelen van de werking van maatregelen en voortdurende verbetering aantonen. Verwaarlozing hiervan leidt tot afwijkingen tijdens surveillance-audits.
Wie moet ISO 27001-certificering nastreven?
Gereguleerde sectoren
Financiële diensten, gezondheidszorg, telecommunicatie en kritieke infrastructuur hebben vaak te maken met wettelijke eisen waaraan ISO 27001 helpt te voldoen (AVG/GDPR, NIS2, DORA, PCI DSS).
B2B-dienstverleners
SaaS-bedrijven, cloudproviders, managed service providers en outsourcers van bedrijfsprocessen gebruiken certificering om hun volwassenheid op het gebied van beveiliging aan zakelijke klanten aan te tonen.
Overheidsleveranciers
Aanbestedingen in de publieke sector vereisen of prefereren steeds vaker ISO 27001-certificering als bewijs van beveiligingscompetentie.
Organisaties die gevoelige gegevens verwerken
Elk bedrijf dat persoonsgegevens, intellectueel eigendom of vertrouwelijke informatie verwerkt, heeft baat bij systematisch risicomanagement.
Bedrijven die streven naar concurrentievoordeel
Bij concurrerende offertes onderscheidt ISO 27001-certificering leveranciers en kan het de doorslaggevende factor zijn.
ISO 27001 versus andere beveiligingsraamwerken
SOC 2
SOC 2 is een Noord-Amerikaanse attestatie gericht op serviceorganisaties. ISO 27001 is breder qua scope en wereldwijd erkend. Veel organisaties streven naar beide.
NIST Cybersecurity Framework
NIST CSF is een richtlijn, geen certificeerbare norm. ISO 27001 biedt wel certificering. De raamwerken zijn compatibel en organisaties maken vaak mappings tussen beide.
PCI DSS
PCI DSS is specifiek gericht op betaalkaartgegevens. ISO 27001 richt zich op alle informatiebeveiliging. Veel PCI DSS-eisen overlappen met ISO 27001-maatregelen.
AVG (GDPR)
De AVG is een wettelijke vereiste voor gegevensbescherming. ISO 27001 helpt bij het aantonen van naleving van de AVG via beveiligingsmaatregelen (Artikel 32) en verantwoordingsmaatregelen.
Synergie tussen raamwerken: De risicogebaseerde aanpak van ISO 27001 stelt je in staat om aan meerdere compliance-eisen tegelijk te voldoen. Maatregelen geselecteerd voor ISO 27001 voldoen vaak ook aan de AVG, SOC 2, PCI DSS en andere raamwerken. Gebruik ISMS Copilot om maatregelen tussen verschillende raamwerken in kaart te brengen.
Voordelen van ISO 27001:2022 adoptie
Minder beveiligingsincidenten
Systematische risico-identificatie en implementatie van maatregelen verminderen de kans op en de impact van inbreuken aanzienlijk.
Naleving van wet- en regelgeving
Veel ISO 27001-maatregelen adresseren direct de AVG, NIS2, DORA en sectorspecifieke regelgeving, wat de last van compliance vermindert.
Klantvertrouwen
Onafhankelijke certificering biedt zekerheid aan klanten, vooral tijdens inkoopprocessen en contractonderhandelingen.
Operationele efficiëntie
Gedocumenteerde processen, duidelijke verantwoordelijkheden en systematische verbetering verminderen fouten en herstelwerkzaamheden.
Verzekering en aansprakelijkheid
Sommige cyberverzekeraars bieden betere voorwaarden voor gecertificeerde organisaties omdat zij het verminderde risico erkennen.
Business resilience (Bedrijfsveerkracht)
Maatregelen voor incidentrespons en bedrijfscontinuïteit zorgen voor een sneller herstel bij beveiligingsincidenten en verstoringen.
Implementatieplanning en kosten
Typische tijdlijn voor implementatie
Kleine organisatie (10-50 medewerkers): 6-9 maanden
Middelgrote organisatie (50-250 medewerkers): 9-12 maanden
Grote organisatie (250+ medewerkers): 12-18 maanden
Kostenfactoren
Interne middelen: Projectmanager, ISMS-team, vakspecialisten
Externe ondersteuning: Consultants (€10K-€100K+ afhankelijk van scope en omvang organisatie)
Tools: GRC-platforms, beveiligingstools, documentatiesystemen
Certificeringsaudit: €5K-€50K+ voor fase 1 en fase 2 audits
Jaarlijkse surveillance: €2K-€15K+ per jaar
Implementatie van maatregelen: Variabel, gebaseerd op de huidige volwassenheid en benodigde maatregelen
Strategieën voor kostenbesparing: Gebruik AI-tools zoals ISMS Copilot om documentatie, risicobeoordeling en gap-analyses te versnellen. Maak gebruik van bestaande investeringen in beveiliging en stem deze af op andere compliance-inspanningen. Overweeg een gefaseerde implementatie, beginnend bij de gebieden met het hoogste risico.
Veelvoorkomende uitdagingen bij implementatie
Definiëren van de scope
Organisaties hebben moeite met het definiëren van een passende ISMS-scope - te nauw mist risico's, te breed wordt onbeheersbaar. De scope moet kritieke informatieactiva en raakvlakken met derden dekken.
Methodiek voor risicobeoordeling
Het ontwikkelen van een risicobeoordelingsmethode die zowel conform de norm als praktisch is, vereist een balans tussen nauwkeurigheid en pragmatisme. Te complexe methodologieën vertragen de implementatie.
Verzamelen van bewijslast
Auditors hebben bewijs nodig dat maatregelen effectief werken. Organisaties implementeren vaak wel maatregelen, maar vergeten systematisch bewijs van de werking ervan te verzamelen.
Behouden van momentum
ISMS-implementatie vereist maandenlang aanhoudende inspanning. Het aanvankelijke enthousiasme ebt weg zonder zichtbare steun van het management en snelle successen.
Succesfactor: Behandel ISO 27001 als een initiatief voor bedrijfsverbetering, niet als een compliance-project. Koppel het aan bedrijfsdoelstellingen zoals klantenwerving, operationele efficiëntie en risicoreductie. Vier mijlpalen en communiceer breed over de voortgang.
Gerelateerde concepten
Information Security Management System (ISMS) - Het systeem dat ISO 27001 definieert
Annex A Beheersmaatregelen - De 93 beveiligingsmaatregelen in ISO 27001:2022
Verklaring van Toepasselijkheid (SoA) - Document waarin staat welke maatregelen je implementeert
Risicobeoordeling - Proces voor het identificeren van beveiligingsrisico's
Hoe te beginnen met ISO 27001 implementatie met behulp van AI
Hulp krijgen
Klaar om ISO 27001:2022 te implementeren? Gebruik ISMS Copilot om je implementatie te versnellen met AI-gestuurde risicobeoordelingen, beleidsgeneratie en gap-analyses die zijn afgestemd op de 2022-versie.