De ISO 27001 2022 versie verving in oktober 2022 de 2013 editie. Voor bestaande certificaathouders geldt een transitie periode tot oktober 2025. Voor organisaties die hun her certificering of surveillance audit daarna gepland hebben, betekent dat al een transitie heeft plaatsgevonden of binnenkort moet. De wijzigingen zijn niet ingrijpend op niveau van de management clauses, wel substantieel op niveau van Annex A controls.
Wat er fundamenteel verandert
Annex A is herzien van 114 controls naar 93, in vier categorieen (Organisatorisch, Mensen, Fysiek, Technologisch). Elf controls zijn nieuw, waaronder threat intelligence, information security for cloud services, ICT readiness for business continuity, fysieke security monitoring en data leakage prevention. Bestaande controls zijn op sommige punten verfijnd of samengevoegd.
Wat de transitie in de praktijk vraagt
Een nieuwe Statement of Applicability die de mapping vastlegt tussen uw oude en nieuwe controls. Voor de elf nieuwe controls een gerichte implementatie waar deze niet al ergens in uw bestaande beleid zaten. Documentatie updates en eventueel beleids aanpassingen. Uw certificerende instantie zal tijdens de transitie audit alles tegen 2022 toetsen.
Hoe wij werken
Een ISO 27001 specialist met 2022 ervaring brengt uw bestaande implementatie in kaart, identificeert de wijzigingen die u nog moet door voeren en helpt bij de SoA en documentatie aanpassing. Doorgaans drie tot zes maanden voor een goed voorbereide transitie audit.
Plan een eerste gesprek via het formulier hieronder. Verwant: Annex A 2022 controls implementeren.
Verwant: Freelance ISO 27001 consultant, ISO 27001 projectplan voor bestuur.