ISMS Copilot
ISO 27001-begrippenlijst

Wat is ISO 27001:2022?

Overzicht

ISO 27001:2022 is de huidige internationale norm die eisen stelt aan het vaststellen, implementeren, onderhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging (ISMS). De norm is gepubliceerd in oktober 2022 ter vervanging van ISO 27001:2013 en biedt organisaties een wereldwijd erkend kader om informatiebeveiligingsrisico's systematisch te beheren.

Wat het in de praktijk betekent

ISO 27001:2022 is zowel een reeks eisen waaraan uw organisatie moet voldoen als een certificering die u kunt behalen via een geaccrediteerde externe auditor. Zie het als de "spelregels" voor informatiebeveiligingsmanagement - het vertelt u wat u moet doen, maar biedt flexibiliteit in hoe u het doet, afhankelijk van uw context.

Waarde van certificering: Een ISO 27001-certificering toont aan klanten, toezichthouders en partners aan dat een onafhankelijke auditor heeft geverifieerd dat uw organisatie internationaal erkende beveiligingspraktijken volgt. Het is vaak een vereiste voor overheidscontracten en aanbestedingen door grote ondernemingen.

Belangrijkste wijzigingen ten opzichte van ISO 27001:2013

Herstructurering van Annex A-beheersmaatregelen

De meest significante wijziging was een volledige reorganisatie van de beveiligingsmaatregelen:

  • 2013-versie: 114 beheersmaatregelen verdeeld over 14 domeinen

  • 2022-versie: 93 beheersmaatregelen verdeeld over 4 thema's (Organisatorisch, Mens, Fysiek, Technologisch)

  • Resultaat: 11 nieuwe beheersmaatregelen toegevoegd, 24 samengevoegd, gestroomlijnde structuur

Nieuwe beheersmaatregelen voor moderne dreigingen

ISO 27001:2022 introduceerde maatregelen voor de huidige beveiligingsuitdagingen:

  • A.5.7 Threat intelligence - Het monitoren van en reageren op opkomende dreigingen

  • A.5.23 Cloudbeveiliging - Beheer van informatiebeveiliging in clouddiensten

  • A.8.9 Configuratiemanagement - Het beheren van beveiligingsconfiguraties

  • A.8.10 Informatie verwijderen - Procedures voor het veilig vernietigen van gegevens

  • A.8.11 Data masking - Bescherming van gevoelige gegevens in niet-productieomgevingen

  • A.8.12 Preventie van datalekken - Detecteren en voorkomen van ongeautoriseerde gegevensoverdracht

  • A.8.16 Monitoringactiviteiten - Detecteren van afwijkend gedrag

  • A.8.23 Webfiltering - Beheer van internettoegang

  • A.8.28 Veilig programmeren - Beveiliging integreren in softwareontwikkeling

Afstemming met ISO 27002:2022

De attributen van beheersmaatregelen in ISO 27002:2022 (de bijbehorende implementatierichtlijn) bevatten nu eigenschappen zoals het type maatregel, beveiligingsdomeinen en operationele capaciteiten, wat het eenvoudiger maakt om maatregelen te koppelen aan specifieke use-cases.

Deadline voor overgang: De deadline voor de transitie was 31 oktober 2025. Organisaties moeten nu gecertificeerd zijn volgens de 2022-versie. Certificeringen die na mei 2024 zijn uitgegeven, moeten voldoen aan de 2022-versie.

Structuur van ISO 27001:2022

Artikelen 1-3: Inleiding en toepassingsgebied

Definieert het doel van de norm, de toepasbaarheid en verwijst naar gerelateerde normen zoals ISO 27000 voor terminologie.

Artikel 4: Context van de organisatie

Vereist inzicht in de context van uw organisatie, belanghebbenden (stakeholders) en het bepalen van de reikwijdte (scope) van het ISMS. U moet interne en externe kwesties identificeren die van invloed zijn op de informatiebeveiliging.

Artikel 5: Leiderschap

Het topmanagement moet leiderschap en betrokkenheid tonen door een beveiligingsbeleid vast te stellen, rollen en verantwoordelijkheden toe te wijzen en te zorgen voor de integratie van het ISMS in de bedrijfsprocessen.

Artikel 6: Planning

Vereist processen voor risicobeoordeling en risicobehandeling, waarbij wordt gedefinieerd hoe u risico's identificeert, evalueert en maatregelen selecteert om deze aan te pakken. U moet ook meetbare informatiebeveiligingsdoelstellingen vaststellen.

Artikel 7: Ondersteuning

Omvat middelen, competentie, bewustzijn, communicatie en gedocumenteerde informatie. U moet zorgen voor voldoende middelen, personeel trainen, het beveiligingsbewustzijn vergroten en de vereiste documentatie opstellen.

Artikel 8: Uitvoering

Het implementeren en uitvoeren van geplande processen, waaronder risicobeoordeling, risicobehandeling en operationele beveiligingsmaatregelen.

Artikel 9: Evaluatie van de prestaties

Het monitoren, meten, analyseren en evalueren van beveiligingsprestaties via interne audits en directiebeoordelingen. Houd bij of u de doelstellingen haalt.

Artikel 10: Verbetering

Afwijkingen aanpakken via corrigerende maatregelen en de effectiviteit van het ISMS continu verbeteren.

Annex A: Beveiligingsmaatregelen

Bevat 93 beveiligingsmaatregelen verdeeld over vier thema's, waaruit organisaties selecteren op basis van de resultaten van de risicobeoordeling. Dit is de "menukaart" voor de implementatie om geïdentificeerde risico's aan te pakken.

De vier thema's van beheersmaatregelen in Annex A

Organisatorische maatregelen (37 maatregelen, A.5.1-A.5.37)

Governance, beleid, risicomanagement, activabeheer, toegangscontrole, leveranciersbeheer, incidentbeheer, bedrijfscontinuïteit en compliance. Dit zijn maatregelen op managementniveau die bepalen hoe de organisatie functioneert.

Mensgerichte maatregelen (8 maatregelen, A.6.1-A.6.8)

Screening van werknemers, arbeidsvoorwaarden, beveiligingstraining, disciplinaire processen, uitdiensttredingsprocedures, geheimhoudingsverklaringen (NDA's), werken op afstand en incidentrapportage. Deze maatregelen beheren mens-gerelateerde risico's.

Fysieke maatregelen (14 maatregelen, A.7.1-A.7.14)

Beveiliging van faciliteiten, fysieke toegangscontrole, bescherming van apparatuur, omgevingsbeveiliging (stroom, klimaat), bekabelingsbeveiliging, veilige vernietiging, clean-deskbeleid, verwijdering van activa, opslagmedia, nutsvoorzieningen, onderhoud en monitoring. Deze beschermen de fysieke omgeving.

Technologische maatregelen (34 maatregelen, A.8.1-A.8.34)

Endpointbeveiliging, geprivilegieerde toegang, beperking van informatietoegang, toegang tot broncode, authenticatie, capaciteitsbeheer, bescherming tegen malware, logging, monitoring, kloksynchronisatie, netwerkbeveiliging, encryptie, ontwikkelbeveiliging, wijzigingsbeheer, testen en kwetsbaarheidsbeheer. Dit zijn technische en IT-maatregelen.

Niet alle maatregelen zijn van toepassing: Uw risicobeoordeling bepaalt welke van de 93 maatregelen relevant zijn voor uw organisatie. Kleine organisaties kunnen 40-60 maatregelen implementeren, terwijl complexe ondernemingen ze mogelijk alle 93 nodig hebben. Documenteer uw beslissingen in de Verklaring van Toepasselijkheid (Statement of Applicability).

Verplichte versus optionele vereisten

Verplichte vereisten (Artikelen 4-10)

Elke organisatie die certificering nastreeft, moet alle vereisten in de artikelen 4 tot en met 10 implementeren. Deze zijn ononderhandelbaar en omvatten onder meer:

  • Het definiëren van de reikwijdte (scope) van het ISMS

  • Het uitvoeren van risicobeoordelingen

  • Het opstellen van een Verklaring van Toepasselijkheid

  • Het documenteren van het beveiligingsbeleid

  • Het uitvoeren van interne audits

  • Het houden van directiebeoordelingen

  • Het beheren van afwijkingen

Risicogebaseerde selectie van maatregelen (Annex A)

Annex A-maatregelen worden geselecteerd op basis van uw risicobeoordeling. U kunt maatregelen uitsluiten als ze niet relevant zijn voor uw risico's, maar u moet uitsluitingen rechtvaardigen in uw Verklaring van Toepasselijkheid.

Veelgemaakte fout: Organisaties gaan ervan uit dat ze alle 93 Annex A-maatregelen moeten implementeren. De norm staat uitsluitingen expliciet toe wanneer maatregelen geen geïdentificeerde risico's aanpakken of niet van toepassing zijn op uw context. U kunt echter geen verplichte vereisten uit de artikelen 4-10 uitsluiten.

Hoe certificering werkt

Fase 1: Beoordeling van documentatie

De auditor beoordeelt uw ISMS-documentatie, inclusief scope, beleid, risicobeoordeling, Verklaring van Toepasselijkheid en procedures. Ze verifiëren of u alle verplichte vereisten hebt aangepakt en passende maatregelen hebt gedocumenteerd.

Fase 2: Verificatie van implementatie

Een audit op locatie of op afstand waarbij auditors medewerkers interviewen, bewijsmateriaal onderzoeken, maatregelen testen en verifiëren of uw ISMS werkt zoals gedocumenteerd. Ze nemen steekproeven uit alle thema's en organisatieonderdelen binnen de scope.

Besluit over certificering

Als er geen grote afwijkingen (major nonconformities) zijn, geeft de certificerende instantie een certificaat af dat drie jaar geldig is. Kleine afwijkingen moeten binnen de afgesproken termijnen worden gecorrigeerd.

Surveillance-audits

Jaarlijkse vervolgaudits verifiëren voortdurende naleving en verbetering. Deze zijn korter dan de initiële certificeringsaudit, maar richten zich op verschillende gebieden.

Hercertificering

Elke drie jaar vernieuwt een volledige hercertificeringsaudit, vergelijkbaar met fase 2, uw certificaat voor een nieuwe cyclus van drie jaar.

Onderhoud vereist: Certificering is niet iets wat u eenmalig doet. U moet uw ISMS onderhouden, wijzigingen in uw organisatie of risico's aanpakken, continu bewijs verzamelen van de werking van maatregelen en voortdurende verbetering aantonen. Verwaarlozing hiervan leidt tot afwijkingen tijdens surveillance-audits.

Wie zou ISO 27001-certificering moeten nastreven?

Gereguleerde industrieën

Financiële diensten, gezondheidszorg, telecommunicatie en kritieke infrastructuur hebben vaak te maken met wettelijke vereisten waaraan ISO 27001 helpt te voldoen (AVG, NIS2, DORA, PCI DSS).

B2B-dienstverleners

SaaS-bedrijven, cloudproviders, managed service providers en business process outsourcers gebruiken certificering om hun beveiligingsvolwassenheid aan te tonen aan zakelijke klanten.

Overheidsleveranciers

Bij aanbestedingen in de publieke sector is een ISO 27001-certificering steeds vaker vereist of een pré als bewijs van beveiligingscapaciteit.

Organisaties die gevoelige gegevens verwerken

Elk bedrijf dat persoonsgegevens, intellectueel eigendom of vertrouwelijke informatie verwerkt, profiteert van systematisch risicomanagement.

Bedrijven die op zoek zijn naar concurrentievoordeel

Bij concurrerende offertes onderscheidt een ISO 27001-certificering leveranciers en kan dit de doorslaggevende factor zijn.

ISO 27001 versus andere beveiligingskaders

SOC 2

SOC 2 is een Noord-Amerikaanse attestatie gericht op serviceorganisaties. ISO 27001 heeft een bredere reikwijdte en is wereldwijd erkend. Veel organisaties streven naar beide.

NIST Cybersecurity Framework

NIST CSF is een richtlijn, geen certificeerbare norm. ISO 27001 biedt wel certificering. De kaders zijn compatibel en organisaties maken vaak mappings tussen de twee.

PCI DSS

PCI DSS is specifiek voor betaalkaartgegevens. ISO 27001 richt zich op alle informatiebeveiliging. Veel PCI DSS-vereisten overlappen met ISO 27001-maatregelen.

AVG (GDPR)

De AVG is een wettelijke vereiste voor gegevensbescherming. ISO 27001 helpt bij het aantonen van AVG-naleving via beveiligingsmaatregelen (Artikel 32) en verantwoordingsmaatregelen.

Synergie tussen kaders: De risicogebaseerde aanpak van ISO 27001 stelt u in staat om aan meerdere compliance-eisen tegelijkertijd te voldoen. Maatregelen die voor ISO 27001 zijn geselecteerd, voldoen vaak ook aan de AVG, SOC 2, PCI DSS en andere kaders. Gebruik ISMS Copilot om maatregelen tussen verschillende kaders in kaart te brengen.

Voordelen van de adoptie van ISO 27001:2022

Minder beveiligingsincidenten

Systematische risico-identificatie en implementatie van maatregelen vermindert de kans op en de impact van inbreuken meetbaar.

Naleving van wet- en regelgeving

Veel ISO 27001-maatregelen sluiten direct aan bij de AVG, NIS2, DORA en sectorspecifieke regelgeving, waardoor de last van naleving wordt verminderd.

Klantvertrouwen

Onafhankelijke certificering biedt zekerheid aan klanten, vooral bij inkoop- en contractonderhandelingen.

Operationele efficiëntie

Gedocumenteerde processen, duidelijke verantwoordelijkheden en systematische verbetering verminderen fouten en herstelwerkzaamheden.

Verzekering en aansprakelijkheid

Sommige cyberverzekeraars bieden betere voorwaarden voor gecertificeerde organisaties, omdat zij het verminderde risico erkennen.

Bedrijfsveerkracht

Maatregelen voor incidentrespons en bedrijfscontinuïteit zorgen voor een sneller herstel na beveiligingsgebeurtenissen en onderbrekingen.

Implementatietermijn en kosten

Typische implementatietermijn

  • Kleine organisatie (10-50 medewerkers): 6-9 maanden

  • Middelgrote organisatie (50-250 medewerkers): 9-12 maanden

  • Grote organisatie (250+ medewerkers): 12-18 maanden

Kostenfactoren

  • Interne resources: Projectmanager, ISMS-team, vakexperts

  • Externe ondersteuning: Consultants ($10K-$100K+, afhankelijk van scope en grootte)

  • Tools: GRC-platforms, beveiligingstools, documentatiesystemen

  • Certificeringsaudit: $5K-$50K+ voor fase 1 en fase 2 audits

  • Jaarlijkse surveillance: $2K-$15K+ per jaar

  • Implementatie van maatregelen: Variabel op basis van bestaande beveiligingsvolwassenheid en vereiste maatregelen

Strategieën voor kostenbesparing: Gebruik AI-tools zoals ISMS Copilot om documentatie, risicobeoordeling en gap-analyses te versnellen. Benut bestaande beveiligingsinvesteringen en sluit aan bij andere compliance-inspanningen. Overweeg een gefaseerde implementatie, beginnend bij de gebieden met het hoogste risico.

Veelvoorkomende uitdagingen bij implementatie

Definitie van de reikwijdte (scope)

Organisaties worstelen met het definiëren van een passende ISMS-scope - te nauw mist risico's, te breed wordt onbeheersbaar. De scope moet kritieke informatieactiva en interfaces met derden omvatten.

Methodologie voor risicobeoordeling

Het ontwikkelen van een aanpak voor risicobeoordeling die zowel compliant als praktisch is, vereist een evenwicht tussen grondigheid en pragmatisme. Te complexe methodologieën vertragen de implementatie.

Verzamelen van bewijsmateriaal

Auditors hebben bewijs nodig dat maatregelen effectief werken. Organisaties implementeren vaak maatregelen, maar slagen er niet in om systematisch bewijs van hun werking te verzamelen.

Momentum vasthouden

Implementatie van een ISMS vereist maandenlang aanhoudende inspanning. Het aanvankelijke enthousiasme ebt weg zonder zichtbare steun van de directie en snelle resultaten.

Succesfactor: Behandel ISO 27001 als een initiatief voor bedrijfsverbetering, niet als een compliance-project. Koppel het aan bedrijfsdoelstellingen zoals klantenwerving, operationele efficiëntie en risicoreductie. Vier mijlpalen en communiceer de voortgang breed.

Gerelateerde concepten

  • Informatiebeveiliging Managementsysteem (ISMS) - Het systeem dat ISO 27001 definieert

  • Annex A-maatregelen - De 93 beveiligingsmaatregelen in ISO 27001:2022

  • Verklaring van Toepasselijkheid - Document waarin staat welke maatregelen u implementeert

  • Risicobeoordeling - Proces voor het identificeren van beveiligingsrisico's

  • Hoe u aan de slag gaat met de implementatie van ISO 27001 met behulp van AI

Hulp krijgen

Klaar om ISO 27001:2022 te implementeren? Gebruik ISMS Copilot om uw implementatie te versnellen met AI-gestuurde risicobeoordelingen, beleidsgeneratie en gap-analyses die zijn afgestemd op de 2022-versie.

Was dit nuttig?